cita

"Solamente aquel que construye el futuro tiene derecho a juzgar el pasado".
Friedrich Nietzsche.

Cloud Computing

Desde hace tiempo los servicios que ofrecen las compañías telefónicas o proveedores de acceso han ido evolucionando hacia el concepto de cloud computing; por ejemplo, Google ofrece servicios de una suite de software en línea que se llama Google documents y que nos permite hacer uso de un procesador de palabras, hojas de cálculo, editor de presentaciones; etc. También hay múltiples servidores de DNS que podemos utilizar y un sin fin de servicios que podríamos tener en appliances dentro de nuestra red, pero que ahora forman parte de la oferta de un proveedor de servicio.

Otro ejemplo son los firewalls, todos queremos redes seguras, y se logran por medio de dispositivos o appliances que eviten ataques aplicando reglas al tráfico que pasa por ellos (firewalls), o por medio de dispositivos que hacen inspección de tráfico (IDS o IPS). Todo esto podríamos implementarlo en una red, pero ¿que pasa si tengo 10 sitios de oficinas? todos conectados a Internet; cada uno debería tener su propio firewall, su propio IDS, su propio proxy, sus propios servers, etc.; todo multiplicado por 10.



Ahora, bajo el concepto de cloud computing, uno puede contratar los enlaces a Internet con valores agregados, tales como prevención de ataques, filtrado de contenido, aplicación de reglas de navegación, administración de ancho de banda, etc.

Nuevo Dominio

Recientemente hice algunos cambios, compré un dominio y desde ahora pueden llegar al blog desde:

http://ipref.blogspot.com  (dirección anterior) o ipref.info o www.ipref.info

Espero seguir contando con sus visitas y comentarios.

¡Feliz Navidad y Próspero año nuevo!

DNS de Google

Cuando nosotros contratamos un servicio de acceso a Internet, el proveedor de Servicios (ISP) nos proporciona una dirección de DNS primario y una de secundario (Servidor de Nombres de Dominio). La idea es que nosotros escribimos google.com y el servidor de DNS nos regresa una IP pública u homologada que está ligada a ese nombre de dominio, y así evitamos tener que recordar los números tan abstractos y podemos recordar palabras o frases más amigables. La idea de una IP de DNS secundaria es dar el servicio en caso de que la IP del DNS primaria esté offline, o saturada o no responda por alguna razón. Hagamos el experimento:

Desde la línea de comandos escribimos:

C:\>nslookup google.com

*** Can't find server name for address 172.16.1.1: Non-existent domain

*** Default servers are not available

Server: UnKnown

Address: 172.16.1.1

DNS request timed out.

timeout was 2 seconds.

Non-authoritative answer:

Name: google.com

Addresses: 74.125.45.103, 74.125.45.147, 74.125.45.104, 74.125.45.106

74.125.45.99, 74.125.45.105

Aquí el Command Prompt nos regresa las direcciones IP ligadas a ese dominio, y hagamos la prueba con una IP

http://74.125.45.106/ y http://www.google.com son lo mismo en un browser.

Google ha puesto al alcance público dos direcciones de un servicio de DNS (aquí podemos consultar sobre el tema).
Ahora bien, ¿para que podríamos usarlo?. Bueno, en mi caso, trabajo en una empresa que tiene políticas de seguridad que bloquea ciertos sitios por DNS, y cuando hacemos una consulta nos regresa una dirección IP que está ligada a una página que nos informa que ese dominio no es permitido en la organización.
De la misma manera, algunos proveedores de servicio de Internet bloquean dominios específicos que son riesgosos o políticamente incorrectos.

No les recomiendo usar esta información para violentar las políticas de su trabajo, pero supongamos que ustedes registran un dominio y quieren saber si funciona fuera de la red de su ISP; pues cambiamos los DNS por los de Google y probamos. Realmente tiene muchas aplicaciones.

Las direcciones son:

8.8.8.8
8.8.4.4

¿Cómo usarlas?

Data Center

Cisco ha estado anunciando este documento por todos lados, y creo que vale la pena darle una leída (está en inglés) y enterarnos de lo que ellos recomiendan como mejores prácticas para un Data Center, que básicamente es un lugar donde se hospedan granjas de servidores que siempre deben estar disponibles, con velocidades de respuesta muy rápidas y que involucran grandes problemas al día de hoy. Incluso en una plática de nuevos productos nos describieron el nuevo enfoque que se está tratando de impulsar para optimizar la energía, espacio, capacidad de enfriamiento, reducción de cableado, etc. para los problemas que se espera enfrentar a corto plazo en data centers que están llegando al límite de su capacidad.

Escribiré un poco sobre centros de datos en otro post, ya que es un mundo de las redes muy especializado y creo que vale la pena por lo menos conocer el tipo de problemas a los que se enfrenta su diseño y mantenimiento. Les dejo el documento:

cita

An expert is a person who has made all the mistakes that can be made in a very narrow field.

Un experto es una persona que ha cometido todos los errores que se pueden cometer en un campo muy concreto.

Niels Bohr (1885 - 1962)

Historia de Internet

History Of The Internet from Billy Wanzi on Vimeo.

Navegando entre blogs di con un artículo de Bitelia que me llevó a un post en sixrevisions sobre una breve historia del Internet que me pareció interesante y que traduciré aún más brevemente. El objetivo es mostrar los logros claves que han formado lo que hoy conocemos como Internet en sus primeros 40 años de vida.

1969 Nace Arpanet, la primera red en utilizar conmutación de paquetes, tal como hoy en día hace TCP/IP que tiene conmutación orientada a conexión (TCP) y no orientada a conexión (UDP). El 29 de octubre de 1969 las computadoras de Stanford y de UCLA se conectaron por vez primera, el primer link de Internet que transmitió el mensaje "login" y que falló en la letra g.

1969 Unix, el sistema operativo que influenció el diseño de Linux y FreeBSD, los sistemas operativos más populares en los servicios de webhosting y webservers. También influyó un poco en el diseño del IOS de Cisco. Y de hecho, uno de los programadores de FreeBSD trabaja en CIsco.

1970 La red de Arpanet se establece entre Harvard, MIT y BBN, la compañía que creó las computadoras usadas para conectar la red en 1970.

banner

cita

The will to be stupid is a very powerful force, but there are always alternatives.

El deseo de ser estúpido es una fuerza muy poderosa, pero siempre hay alternativas.

Lois McMaster Bujold, "Brothers in Arms"

ISBN-10: 1886778744
ISBN-13: 978-1886778740

Guía de Referencia del IOS

En otro post revisamos como se asignan los nombres a las versiones del Cisco IOS, y les dejo este documento que describe los diferentes releases, por ejemplo, sabemos que el IOS 12.4T es para routers de acceso, y en la guía podemos revisar para que son las versiones IOS-XR que van en el release 12.0S y está presente en los routers de Core 12000.

El documento es: White Paper: Cisco IOS Reference Guide Document ID: 15166

También hay un documento muy útil que nos indica el roadmap para actualizar el IOS de un router donde podemos ver la evolución de las versiones del IOS: Cisco IOS Software Roadmap Document ID: 45045

(Roadmap de Cisco.com)

Cisco IOS 12.4

Características y Soporte

El release 12.4 es una sustitución al 12.3 e incluye muchas mejoras para quien busca implementar las características del 12.3T, que está en fin de vida.

En esta versión se incluye administración segura a través de SSHv2, SNMPv3, SSL server para usar HTTPS. También agrega soporte a las nuevas tarjetas y hardware adicional que podemos montar sobre las plataformas existentes, por ejemplo, los routers 1751 usaban tarjetas de puertos FXS VIC-2FXS, en los routers 2800 se puede usar las VIC2-2FXS (fuera del mercado) y ahora las nuevas VIC3-2FXS, que podemos observar en el nombre que son diferentes versiones del mismo hardware: Voice Interfase Card ver3 - 2 ports Foreing eXchange Station.

Lo mismo sucede con las tarjetas E1, había la versión VWIC-1MFT-E1, ahora la VWIC2-2MFT-T1/E1; podemos ver las interfases vigentes en la página de Cisco.

El release 12.4 también incluye caracerísticas de alta disponibilidad (high availability) que reduce el tiempo offline durante cambios de software de IOS por ejemplo, y es posible hacer la actualización desde la red y no necesariamente desde una flash.

cita

"Es posible tener que librar una batalla más de una vez para ganarla."
Margaret Thatcher

Versiones y Feature Sets del Cisco IOS

Como vimos en el post anterior, del show version podemos obtener la versión y feature set que estamos ejecutando, en el ejemplo era:

Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
System image file is "flash:c1841-advipservicesk9-mz.124-15.T1.bin"

Sabemos que se trata de un IOS para router Cisco 1841, con versión "major release" 12.4, release 15 y la T indica que se trata de un Technology Train, que agrega nuevas funcionalidades y soporte a hardware nuevo que la versión principal 12.4 no tiene; el 1 posterior sólo es el consecutivo de la versión T.

Así que tenemos un router que está ejecutando un feature set Advanced IP Services, que tiene SSH (secure shell) y NAC (network access control), versión 12.4(15)T1 almacenado en la flash y podemos ver su nombre de archivo.

La cuestión de las versiones es importante, y no hay que confundirla con los feature sets. El feature set indica el tipo de características que se incluyen en la versión, y podemos revisar todas las características de una versión con el nombre de la imagen en la página de Cisco con la herramienta Software Advisor, (feature = característica).

Usando la herramienta podemos saber que esta versión particular es una ED (early deployment), es decir, de las primeras versiones liberadas y por tanto contiene fallas o bugs de severidad 1 y 2. También nos dice que la última imagen con mantenimiento compatible, es decir, donde se arreglan esos bugs es la 12.4(24)T1, y el release mínimo compatible es el 12.4(2)T3.

Aquí podemos observar como funciona la nomenclatura del IOS, todas son versiones 12.4, hasta ahí pertenecen al mismo grupo, pero la versión 12.4(x)T1 es previa a la versión 12.4(x)T3, porque es un technology train posterior, por tanto, más nuevo.
De esas versiones 12.4 hay las Major Release que son exclusivamente 12.4 y las Technology Train, que son 12.4T y son versiones que agregan soporte como ya mencioné, a nuevas características, como puede ser una nueva tarjeta de voz, una nueva tarjeta de puertos seriales, nuevas características en las políticas que se pueden aplicar, etc.

Ahora, el ser de un feature set de IP Base (IP Voice es el más bajo en las plataformas con capacidades de voz), o Advanced Security nos da versiones más equipadas, siendo el IP Base el más básico, y como vemos en la imagen siguiente, cada nuevo feature set agrega más funcionalidades a nuestro IOS, que por supuesto crece en tamaño (y precio), por lo que la Flash debe ser más grande. Es importante tener ésto en cuenta porque un router 1841 con una flash de 32MB no puede alojar un IOS Advanced Enterprise Services en la Flash y hay que reemplazarla por una más grande; el tamaño de cada imagen se puede consultar también en el software advisor de Cisco.

Visto lo anterior, aquí podemos ver las diferentes licencias de IOS que se manejan para el Cisco IOS ver. 12.4.



Y si se preguntan ¿cuáles son las características que incluye el IOS Advanced IP Services? las listamos a continuación:

¿Cómo interpretar el comando Show Version en un router con IOS Cisco?

Cuando vamos a configurar un router es importante que identifiquemos la información que nos proporciona durante el arranque, y parte de la misma está presente en la salida del comando show version. A continuación vemos un show version de un router Cisco 1841, y voy a poner números para identificar las partes:

1841#show ver

Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1,1 RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team

ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)2

System returned to ROM by power-on 3

System image file is "flash:c1841-advipservicesk9-mz.124-15.T1.bin" 4

This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption.

Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to

export@cisco.com.

Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.5

Processor board ID FTX0947Z18E 6

M860 processor: part number 0, mask 49

2 FastEthernet/IEEE 802.3 interface(s)7

2 Low-speed serial(sync/async) network interface(s)

191K bytes of NVRAM. 8

31360K bytes of ATA CompactFlash (Read/Write) 9 

Configuration register is 0x2102 10

1. Primero vemos la versión y características del IOS que se está ejecutando en el router, en este caso 12.4(15)T1 en un release fc2 del feature set de Advanced IP Services.
2. También la versión de Bootstrap que está presente en el router.
3. Cuál fue la causa del último arranque del router, en este caso fue un arranque manual, pero podría ser por un system reset, o por falta de energía.
4. Después vemos el nombre de la imagen de la cual se obtuvo el IOS (que se descomprime y se almacena en la memoria RAM), en este caso la imagen está en la flash y se llama c1841-advipservicesk9-mz.124-15.T1.bin
5. La memoria RAM del sistema, libre/ocupada.
6. El ID del procesador.
7. El número de interfases presentes y su tipo, aquí dos Fast Ethernet y dos seriales.
8. La memoria no volátil NVRAM.
9. El tamaño de la memoria flash, donde se almacenan la imagen del IOS y la configuración de arranque (start-up config)
10. Y la variable de arranque.
    

Ancho de banda y Throughput

Bandwidth y Throughput son dos conceptos importantes de la comunicación entre redes que a menudo no son completamente entendidos y algunos exámenes sobre neworking incluyen preguntas sobre los conceptos, como el 640-802 para CCNA de Cisco.

Creo que el ancho de banda es algo que casi todos concebimos, que se define técnicamente como la cantidad de información que puede fluir por un elemento de red en un periodo dado de tiempo; por ejemplo, un enlace WAN E1, tiene un ancho de banda simétrico de 2048Kbps; un enlace Fast Ethernet tiene un ancho de banda de 100Mbps. Como vemos, el ancho de banda se mide en bits por segundo, y el prefijo kilo nos indica que hay que multiplicarlo por mil, o el prefijo Mega, por un millón; el prefijo Giga, por mil millones. Un enlace ADSL típicamente tiene 1Mbps o 2Mbps por 256Kbps de upstream (subida).

Es importante notar que usamos bits (b) por segundo, y los archivos se miden en bytes (B); para hacer la conversión dividimos los bits por segundo entre 8:

2048Kbps/8 = 256 KB/sec

Esto podemos notarlo fácilmente cuando descargamos un archivo y nuestro browser (Firefox, Chrome o Explorer) nos dice que está descargando el archivo a 73.4KB/sec,



Ahora bien, este ejemplo fue tomado de un enlace a internet dedicado a través de un E1 (2048Kbps), pero el ancho de banda real utilizable es de 1984Kbps porque se usan 64Kbps para control y administración de mi carrier. Ese es el ancho de banda del enlace, que comparto con más usuarios y por el cual, además de mi archivo, fluyen paquetes de señalización, por ejemplo, en el caso de las comunicaciones basadas en TCP, hay SYN packets, ACK packets, etc, relativos al proceso de windowing y control de flujo, que ocupan ancho de banda pero finalmente no es parte de mi tráfico interesante, que en este caso es un MP3. Y debo considerar que también el otro extremo debe tener un ancho de banda disponible para que mi descarga sea veloz, es decir, si yo usara un E3 (34Mbps) y el servidor tiene un internet de 256Kbps, mi descarga será limitada por ese ancho de banda.

Concluyendo, el ancho de banda es la capacidad teórica disponible de un enlace, 1984Kbps en el ejemplo, pero puedo ver que mi archivo baja a una velocidad real de 74.3KB/sec, lo convertimos a Kbps:

74.3x8 = 594.4Kbps

Aquí podemos ver el throughput, si bien mi ancho de banda es de 1984Kbps, mi throughput es de 594Kbps, es el nivel de utilización real del enlace, o técnicamente es la capacidad de información que un elemento de red puede mover en un periodo de tiempo.

Por ejemplo, un router Cisco 1841 viene equipado con dos puertos Fast Ethernet y sabemos que el ancho de banda de esos puertos es de 100Mbps, pero la capacidad de proceso del router (throughput) es de 75pps, y aquí vemos un ejemplo práctico de esa diferencia. Teóricamente podemos alcanzar los 100Mbps entre ambas interfases, pero el router sólo procesará hasta 38.4Mbps (bajo condiciones ideales, Cisco recomienda que se instalen capacidades de hasta un E1 en esa plataforma).

Adicional a esta consideración, tomemos en cuenta que el delay (latencia) entre dos puntos afecta el throughput entre ellos. Es decir, si tengo dos puntos con una latencia alta, la naturaleza de TCP, basado en acuses de recibo, hará que se inicie el proceso (como vimos en un post anterior) pero con tiempos de espera largos. La latencia es el tiempo en segundos que le toma a un paquete llegar a un destino.

Por ejemplo, supongamos que tenemos un enlace de 34Mbps de internet en la Ciudad de México y queremos pasar un archivo por FTP a dos puntos; si la latencia de México a Suecia es de 400ms, y la latencia entre dos puntos de México es de 40ms, el mismo enlace presentará throughputs diferentes hacia esos dos destinos, donde seguramente rondaremos los 34Mbps en el enlace México-México y podría bajar mucho en el enlace a Suecia, porque al iniciar nuestra sesión de TCP enviaremos un paquete que tomará 400ms en ir y venir, y hasta recibir dicha respuesta podremos establecer la sesión; después el control de flujo de TCP exigirá que haya un paquete de acknowledge cada determinado número de paquetes, y deberemos esperar que llegue, sea procesado y regrese, lo que causa tiempos muertos de utilización del enlace; es decir, tenemos los 34Mbps libres, pero no los estamos usando porque esperamos la respuesta del contro de flujo de TCP para continuar.

Resumiendo, el ancho de banda es la capacidad teórica del elemento de red y el Throughput es la utilización que podemos lograr con dicho elemento (router, puerto, enlace WAN, LAN, etc.).

"Aprender sin pensar es tiempo perdido; pensar sin aprender es peligroso."
Confucio

Worth to see

Algunas fotos interesantes que podemos encontrar en Flickr.

ARP y RARP

Son protocolos de la capa de Enlace de Datos (Data Link Layer)

TCP usa el protocolo de resolución de dirección ARP (Address Resolution Protocol) y el de resolución inversa, Reverse Address Resolution Protocol RARP para iniciar el uso del direccionamiento en una red que usa su propio control de acceso al medio (MAC), como es el caso de Ethernet. ARP permite que un host se comunique con otro cuando sólo se conoce la dirección de internet (IP addess) de su vecino y desconocemos la dirección física. Antes de usar IP, el host origen envía un broadcast a todas las MAC addresses (ff.ff.ff.ff.ff.ff) de ARP con la dirección IP del sistema de destino deseado.

EL formato de ARP es:



Los valores del campo de operación pueden ser:
1 ARP request.
2 ARP response.
3 RARP request.
4 RARP response.
5 Dynamic RARP request.
6 Dynamic RARP reply.
7 Dynamic RARP error.
8 InARP request.
9 InARP reply.

Los RFC involucrados son el 1390, 1293, 826, 2390

Más sobre la capa de enlace de datos, más sobre las direcciones MAC, más sobre el direccionamiento IP

Mapa de Sitios Arqueológicos Mayas

Hice este mapa porque tengo una gran afición a visitar zonas arqueológicas, y me di cuenta de que a veces es difícil encontrar algunas de las zonas para poder planear una ruta y hacer un viaje que valga la pena. Y como no todo en la vida es estudiar, aquí se los dejo:


View Mapa de Ciudades Mayas in a larger map

maya map , mapa maya, mapa de ciudades mayas, mapa arqueológico maya

Fibra Óptica

Creo que a todos los que estamos en las telecomunicaciones nos interesa saber un poco sobre Fibra Óptica, por lo que les dejo este libro de Cisco:

Optical network design and implementation, escrito por Vivek Alwayn (CCIE 2995)
# ISBN-10: 1587051052 ISBN-13: 978-1587051050

cita

A partir de cierto punto no hay retorno. Ese es el punto que hay que alcanzar.
Franz Kafka

Para recordar (2)

Hay que tener presentes los protocolos y procesos de la capa de aplicación; Telnet es un programa de emulación de terminal que te permite entrar a un host remoto y ejecutar programas. FTP es un servicio orientado a conexión que permite transferir archivos. TFTP es un servicio orientado a no conexión que también transfiere archivos. SMTP es un programa que permite enviar correo.

Los protocolos de la capa de host-to-host (transporte) son TCP, que es orientado a conexión y nos da un servicio de red confiable por medio del uso de acknowledgements y control de flujo. UDP es un protocolo sin conexión que con un overhead pequeño nos da un servicio considerado no confiable.

Los protocolos de la capa de Internet son IP, que es un protocolo no orientado a conexión que provee direccionamiento de red y enrutamiento a través de una red. ARP que encuentra direcciones MAC para una IP conocida. RARP que encuentra la IP de una MAC address conocida. ICMP provee diagnóstico y mensajes de estado de los destinos buscados.

Los rangos de clase de las direcciones IP:
Clase A, de 1.0.0.0 a 126.255.255.255 con 8 bits de red y 24 bits de host.
Clase B, de 128.0.0.0 a 191.255.255.255 con 16 bits de red y 16 bits de host.
Clase C, de 192.0.0.0 a 223.255.255.255 con 24 bits de red y 8 bits de host.

Los rangos de direccionamiento privados;
de 10.0.0.0 a 10.255.255.255
de 172.16.0.0 a 172.31.255.255
de 192.168.0.0 a 192.168.255.255

Recordemos que la dirección 127.0.0.1 está asignada al host local, es la dirección de loopback y es usada para diagnósticos sobre el funcionamiento de nuestro propio stack de TCP, cuando hacemos un ping a esta dirección, el paquete no llega a la interfase física.

Para recordar:

Un Dominio de Colisión es un término Ethernet usado para describir un grupo de equipos de dispositivos en red, en el cual un dispositivo en particular envía un paquete hacia un segmento de red, y todo dispositivo en ese segmento es forzado a escuchar. En un Dominio de Broadcast, un conjunto de dispositivos de red sólo escucha los broadcasts enviados, y no cada paquete.

Las posibles causas de congestión en una red son:

• demasiados hosts en el dominio de broadcast
• tormentas de broadcast
• multicasting
• poco ancho de banda

Los hubs crean un dominio de colisión y un dominio de broadcast. un bridge divide el dominio de colisión pero crea un dominio  de broadcast; ambos usan direcciones físicas para filtrar la red. Los switches son realmente bridges con muchos puertos y más inteligencia de filtrado basado en direcciones físicas (MAC addresses), dividen los dominios de colisión pero crean un dominio de broadcast grande por default. Los routers dividen los dominios de broadcast y los dominios de colisión y usan direcciones lógicas para filtrar la red (direcciones IP).

Recuerda las capas del modelo OSI, las capas de Aplicación, Presentación y Sesión son responsables de comunicarse de la interfase de usuario a la aplicación. La capa de Transporte provee segmentación, secuenciamiento y circuitos virtuales. La capa de red provee direccionamiento lógico en la red y ruteo entre las redes (internetwork). La capa de enlace de datos provee en encapsulado en frames o tramas y pone los datos en el medio de red. La capa física es responsable de tomar 1s y 0s en codificarlos en una señal digital para su transmisión en un segmento de red.

Recuerda que la diferencia entre servicios orientados a conexión y no orientados a conexión es que los servicios orientados a conexión (encapsulados en TCP) usan acuse de recibo (acknowledgement) y control de flujo para crear una sesión confiable. Se requiere un overhead mayor que lo usado en un servicio no orientado a conexión. Los servicios no orientados a conexión (UDP) se usan para enviar datos sin un acuse y sin control de flujo; por eso se consideran no confiables.

Debemos recordar que hay 3 tipos de cables Ethernet:

1. los straight-through usados de una PC o un router hacia un hub o un switch
2. los cross-over, usados hub-hub, de router-router, switch-switch o PC-PC;
3. y el rolled, usado para conectarse a la consola de un router o switch desde una PC, recordemos que para usar la Hyperterminal y conectarnos a la consola debemos usar 9600BPS y flow control none

Recordemos también las 3 capas del modelo jerárquico de Cisco, Core, Distribution y Access.

Cisco Guide to Harden Cisco IOS Devices

Esta guía nos da información sobre como asegurar nuestros dispositivos Cisco para incrementar la seguridad de toda la red, y nos basaremos en los 3 planos en los que un dispositivo se puede clasificar.

Los 3 planos funcionales de una red son:

• Management Plane, que administra tráfico enviado al dispositivo Cisco con IOS; y está hecho de aplicaciones tales como SSH y SNMP. 
• Control Plane, parte de un dispositivo de red que procesa el tráfico que es la base para mantener el funcionamiento de una red. Los protocolos que se manejan aquí incluyen BGP, protocolos de gateway interior (IGPs) como EIGRP y OSPF. 
• Data Plane, que reenvía el tráfico de datos a través del dispositivo de red.

Más claramente, pensando en un router, cuando establecemos una sesión de Telnet, o de SSH hacia el router para cambiar la configuración estamos haciendo uso del management plane; y entonces un protocolo de ruteo y quizás una ruta por default para todo el tráfico que no tenga un destino expresamente conocido en el router; esas rutas forman parte de la operación y finalidad de tener un router, son la función del control plane, y por último, es tráfico interesante que el router debe procesar, es decir, lo que se debe llevar de una red a otra es procesado en el data plane.

Ahora, para asegurar los dispositivos debemos seguir una serie de recomendaciones que Cisco nos da:

Asegurar las operaciones, aunque podemos agregar configuraciones para aumentar la seguridad, éstas no pueden funcionar solas; para asegurar la red completamente debemos seguir procedimientos operacionales junto con las configuraciones. Por ejemplo:

Revisar las advertencias de seguridad y respuestas dadas en el Cisco Product Security Incident Response Team (PSIRT)

Leer las políticas en el Cisco Security Vulnerability Policy.

También debemos recurrir al Risk Triage para revisar los anuncios de vulnerabilidad y poder hacer un proceso de evaluación de nuestra seguridad.

Usar AAA en nuestra red (Authentication, Authorization and Accounting), esto es muy importante para dar seguridad al manejo de sesiones hacia nuestros dispositivos.

Centralizar la recolección de logs y su monitoreo; ya que en caso de un incidente, debemos tener toda la información de la red para su análisis; y algunos programas pueden ayudarnos a hacer una correlación entre los logs de los distintos dispositivos para facilitar el análisis y detectar vulnerabilidades.

Usar protocolos seguros cuando sea posible, por ejemplo, en lugar de TFTP o FTP, usar SCP (Secure Copy Protocol); o usar SSH en lugar de telnet, y limitar el uso de dichos protocolos por origen, por ejemplo, permitir sólo sesiones de SSH desde la LAN, bloquear el SNMP desde la WAN (SNMPv3 puede usar autenticación).

Usar Netflow para tener una mejor idea del tráfico en la red, poder identificarlo y rastrearlo hacia su origen en caso necesario.

Asegurando el Management Plane.

Componentes de un router

• Bootstrap, parte del microcódigo del ROM y sirve para iniciar el router durante su arranque; hace el arranque (boot) y entonces carga el IOS.
  
  
• POST (power-on self test), parte del ROM tabién, revisa la funcionalidad básica del hardware en el router y determina cuales interfases están presentes.
  
  
  
• ROM monitor; también es parte del microcódigo del ROM, se usa para manejar, probar y resolver problemas.
  
  
• Mini-IOS, también llamado RXBOOT o bootloader, es un IOS pequeño presente en el ROM que puede levantar una interfase y cargar un IOS en la memoria flash, entre otras funciones de mantenimiento.
  
  
• ROM, usado para arrancar y mantener el router; contiene el mini-IOS, el bootstrap y el POST.
  
  
• Flash memory, por defecto almacena el IOS, no se borra si se reinicia el router, y es una EEPROM.
  
  
• NVRAM (nonvolatile RAM), se usa para contener las configuraciones de routers y switches, no se borra si reiniciamos el router o switch. Aquí se almacena el registro de configuración (config registry).
  
  
• Registro de configuración, controla el cómo arranca el router, es el valor que está al final de un show version y por defecto es 0x2102, lo que indica que el router debe cargar el IOS de la memoria flash y cargar la configuración de la NVRAM.

Router, configuración administrativa y básica de una interfase

Vamos a ver la configuración básica de un router, en este caso un ISR Cisco 2811, para poner un nombre, los passwords de consola, de telnet, de ssh, el enable secret; y haremos la configuración de una interfase serial WIC-1T como DCE para comunicarse al  router 1841 que tenemos conectado.
Es importante saber que un entorno de prueba, donde hay dos routers conectados back-to-back, uno de ellos debe proporcionar la señal de reloj (clock rate).
Comenzamos reiniciando el router, que no tiene configuración de arranque, por lo que nos preguntará si queremos ejecutar el asistente, pero haremos la configuración manualmente, (configuración para Packet Tracer v5.1 aquí)

Mapa de protocolos

He notado que muchas personas se preguntan, ¿en qué capa del modelo OSI se encuentra X protocolo?, o ¿cuáles son los protocolos de la capa de aplicación? o ¿de la capa de transporte?

Bueno, he aquí un mapa con los principales protocolos de red y su ubicación dentro del modelo de referencia OSI:

*update: faltó mencionar Frame Relay en la capa de enlace de datos (Data Link) junto a ATM

Passwords en el IOS

Passwords:

Enable Password:

IPRef>enable
IPRef#configure terminal
IPRef(config)#enable password p@ssword
IPRef(config)#enable secret 0ctoBer

Line Passwords:

Aux port
IPRef(config)#line aux 0
IPRef(config-line)#password @m@zonas
IPRef(config-line)#login
IPRef(config-line)#exit

Console
IPRef(config)#line console 0
IPRef(config-line)#password +equil@
IPRef(config-line)#login
IPRef(config-line)#exec-timeout 0 0
! no caducala sesión por consola
IPRef(config-line)#exec-timeout 5 30
! caduca la sesión a los 5 minutos y 30 segundos
IPRef(config-line)#logging synchronous
IPRef(config-line)#exit

Telnet
IPRef(config)#line vty 0 4
! en el IOS enterprise hay vty desde 0 hasta 1180
IPRef(config-line)#password +elne+
IPRef(config-line)#login
! podemos anular la petición de un password con siguiente comando:
IPRef(config-line)#no login

Secure Shell (SSH)
router>enable
router#configure terminal
router(config)#hostname IPRef
IPRef(config)#ip domanin-name blogspot.com
IPRef(config)#crypto keygenerate rsa general-keys modulus 1024
The name for the keys will be IPRef.blogspot.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
August 15 15:42:30.043: %SSH-5-ENABLED: SSH 1.99 has been enabled
IPRef(config)#ip ssh time-out 60
IPRef(config)#ip ssh authentication-retries 2
IPRef(config)#line vty 0 4
IPRef(config-line)#transport input ssh telnet
IPRef(config-line)#exit
IPRef(config)#service password-encryption

Comandos importantes en el IOS

Modos:
cuando nos conectamos a la consola y oprimimos enter
user mode, limitado a comandos de monitoreo:
router>enable

user exec mode, da acceso a más comandos en el router:
router#configure terminal

global configuration mode, comandos que afectan a todo el router
router(config)#interface fastethernet 0/0

interface configuration mode, se aplican a una interfase o proceso en particular
router(config-if)#interface f0/0.1

subinterfaces, crean interfases lógicas en un router
router(config-subif)#

comandos de línea, para configurar el acceso via puerto auxiliar, de consola, terminal controller (tty), virtual terminal (vty, es decir telnet), o de puertos para modem
router(config)#line vty
configuraciones de ruteo, afectan a todo el router:
router(config)#router rip
router(config-router)#

Ayuda, cuando queremos saber que posibilidad hay en un comando, con un signo de interrogación podemos verificar
router#conf?
router#configure ter?
Si queremos el argumento del comando, después de un espacio usamos la ayuda
router#configure terminal ?
ENTER
si usamos la ayuda con una letra, nos desplegará todos los comandos disponibles que comienzan con esa letra:
router#c?

Configuraciones Administrativas

Aunque no influyen sobre el funcionamiento del router, es importante recordar que hay funciones administrativas que pueden ayudarnos a identificar el router o switch con el que estamos trabajando:

• Hostnames
• Banners
• Passwords
• Interface Descriptions

Hostname, define el nombre administrativo que le damos al router o switch:

router#configure terminal
router(config)#hostname IPREF
IPREF(config)#

Banners, sirven para proporcionar información a quien tenga acceso al router, y hay 4 tipos:

• exec process creation banner, muestra un mensaje cuando alguien crea una conexión a una línea, por ejemplo VTY (telnet) para acceder al router; o activando el modo exec por consola, veremos el exec banner.
• incoming terminal line banner, es un banner que se despliega en terminales usando reverse Telnet, muy útil para dar insstrucciones a los usuarios.
• login banner, se despliega en todas las terminales conectadas, sale después del motd,
• mesage of the day banner (motd), da un mensaje a cualquiera que tenga acceso al router

IPREF(config)#banner motd #
Enter TEXT message. End with the character '#'.
IPREF test router, the access is not allowed, please leave.
#
IPREF(config)#

Caderno

Una de mis diversiones es leer blogs, leo muchos de hypertextual y generalmente lo hago con el lector de Google reader; y siempre hay algo interesante que saber, o un chisme nuevo, pero sobre todo, me gusta ver aplicaciones que nos hacen la vida más fácil.

Ahora, me encontré una aplicación en Bitelia que se llama Caderno, es gratuita y hace algunas mejoras sobre el bloc de notas que viene con Windows.

Personalmente uso mucho el bloc de notas, sobre todo para editar HTML, como por ejemplo, este post, y la idea de tener algunas características extras, como guardar sesiones de trabajo, tener pestañas como en los navegadores y sobre todo, un poco de ayuda con color para ver código java, html, PHP o para revisar configuraciones de routers! =)

Visiten byte podcast también!

IOS y subnetting

Cuando usamos Subnetting en plataformas Cisco y hacemos la división por ejemplo:

172.16.0.0 255.255.192.0

en la máscara tenemos 2 bits de subnetting, que pueden tener 4 valores:

1111 1111.1111 1111.1100 0000.0000 0000

tomando el 3er octeto tenemos las posiblidades:

0000 0000 = 0
0100 0000 = 64
1000 0000 = 128
1100 0000 = 192

lo que implica que hay 4 redes:

172.168.0.0
172.168.64.0
172.168.128.0
172.168.192.0

Cuando usamos esa máscara en el IOS, la primera y última red se deben descartar, lo que nos obliga a usar al menos 1 bit de subnetting, sin embargo, con el comando

ip subnet-zero

ahora incluido por default en las configuraciones, podemos hacer uso de la primera y última red del segmento.

Es importante cambiar el usuario y password que viene por default en los ISR (integrated service router) que siempre es cisco cisco:

telnet router
Password: cisco
router>enable
Password: cisco
router>enable
router#configure terminal
router(config)#username nuevo privilege 15 secret 0 contraseña
router(config)#no username cisco
router(config)#do show running-config
Building configuration...

Current configuration : 1108 bytes
!
version 12.3
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 -contraseña encriptada-
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
ip cef

Aquí vemos en una configuración de un equipo en producción como está presente el comando.

Cómo arranca un router Cisco

Cuando encendemos un router ISR (Integrated Services Router), un 2811 por ejemplo, primero corre un proceso llamado Power-On-Sef-Test (POST); si todo va bien, entonces busca el IOS en la Flash, lo descomprime y lo carga en la memoria RAM, después busca una configuración básica en la NVRAM, en caso de no existir, una configuración básica llamada startup-config se copia de la NVRAM a la RAM y ahora se llama running-config.

Cuando el router no es ISR, un 2610xm por ejemplo, el proceso es el mismo hasta la configuración en la NVRAM, si no está presente, el router hará un broadcast buscando un servidor TFTP con una configuración válida que pueda ser copiada; si el broadcast no es exitoso, el router entrará en un estado llamado setup-mode, que es un proceso paso a paso para configurar el router.

Así que debemos recordar que si el router tiene una interfase conectada, tal vez deberemos esperar unos minutos a que termine la búsqueda. El modo de setup sólo tiene comandos globales y no sirve de mucho, podemos acceder a él desde la CLI en modo privilegiado con el comando setup, aunque no es muy recomendable usarlo, es mejor siempre usar el CLI o el SDM (security Device Manager).
En el caso de que la variable de boot sea distinta e indique que el arranque sea distinto, o que no haya IOS, el router arranca en ROMMON, que es un IOS muy básico para resolución de problemas.

Cisco Router IOS

El IOS es un kernel propietario que provee funciones de ruteo, conmutación (switching) internetworking y comunicaciones; el primero fue desarollado por William Yeager en 1986.

Entre sus responsabilidades están:

• Dar soporte para protocolos de red y funciones
• Conectar tráfico de alta velocidad entre dispositivos
• Agregar seguridad para controlar el acceso y detener usos no autorizados de red
• Proveer escalabilidad para facilidad de uso, crecimiento y redundancia
• Proveer confiabilidad de red para conectar los recursos de red

La interfase de línea de comando (CLI command line interface) se puede alcanzar desde un puerto de consola, o en un router más nuevo, desde el puerto auxiliar (Aux port), desde una sesión de telnet o ssh, y se establece una sesión llamada EXEC session.

El puerto de consola es usualmente un puerto RJ45 que puede o no tener una contraeña; en los nuevos routers ISR el nombre de usuario y el password son cisco por default.

También es posible usar el puerto Auxiliar, que es lo mismo que el de consola, pero que además soporta que le sea conectado un MODEM para administración remota cuando el router está fuera de la red.

También podemos conectarnos al router con una sesión de Telnet desde una interfase ethernet o serial conectada a la red.

Capa de enlace de datos (data link layer)

La capa de enlace de datos hace la transmisión física de los datos y maneja las notificaciones de error, topología de la red y control de flujo; así que se encarga de que el mensaje es entregado al dispositivo apropiado en la LAN usando direcciones de Hardware y traducirán los mensajes de la capa de red en bits para que la capa física los transmita.

La capa de enlace de datos (data link layer) usa unidades de datos llamadas frames; y se construyen con el encabezado que contiene las direcciones físicas o de hardware de destino y de origen. Esta información encapsula el mensaje original para que el viaje por la red local pueda ser exitoso.

La capa de enlace de datos se divide en dos partes:

• La de Media Access Control (MAC), que es la que interactúa con la capa física, y que se define por los estándares 802.5 (token ring) y 802.3 (ethernet), y define como se situán los paquetes en el medio de transmisión, es decir, controla la entrada al medio. También define las direcciones físicas y la topología lógica. También se tienen la disciplina de línea, notificaciones de error (pero no corrección), entrega ordenada de frames, y control de flujo opcional.
• Y la de Logical Link Control (LLC) definida por el estándar IEEE 802.2. Identifica los protocolos de la capa de red y los encapsula con la información de la capa de enlace de datos para construir el frame. También hace el control de flujo y la secuencia de los bits de control.

Los Switches y Bridges leen cada frame que pasa por ellos, obtienen la dirección de origen de ese frame y la guardan en una tabla para relacionarla con la interfase por la que recibió la información. El proposito de todo el direccionamiento, capa 2 y capa 3 es realmente ubicar, ubicar hosts, redes, routers, destinos, etc. Así que con esa información de la dirección física (MAC address) y el puerto de llegada, el switch va ubicando cada host; y cuando recibe un frame con una MAC address desconocida, lo reenvía a todas las interfases, excepto aquella por la que llegó, y cuando el host de destino responde a ese frame que recibió, el switch lee el frame de respuesta y conoce a ese host por el puerto donde recibió la respuesta, y dado que tiene el puerto donde recibió el frame de incio de esa comunicación, ya tiene en su tabla dos MAC addresses ubicadas a través de los puertos donde están conectadas.

Así, cuando recibe un nuevo frame destinado a una MAC address presente en su tabla, sólo reenvía el frame hacia el puerto correcto, reduciendo el tráfico en la red al hacer más exacta su transmisión y evitando tormentas de broadcast. Así es como cada puerto se vuelve un dominio de broadcast, ya que no se hace el reenvío de frames hacia todos los puertos, sólo cuando es un destino desconocido, y se reenvían los frames únicamente hacia el puerto indicado.

Es importante notar que un dispositivo de la capa de red conoce de redes, y un switch o un bridge, que son dispositivos de la capa de enlace de datos, conoce de máquinas o hosts.

Capa de red

Puntos importantes sobre los routers:

• Por definición, no reenvían paquetes de broadcast o multicast.
• Dividen los dominios de broadcast ya que cada interfase representa una red, y dividen los dominios de colisión, al igual que un switch.
• Usan la dirección lógica en la capa de red para determinar el siguiente router al que debe enviar un paquete para que llegue a su destino.
• Pueden usar listas de acceso (Access Control List), creadas por el administradores, para controlar la seguridad sobre que tipo de paquetes se permiten o se bloquean para entrar o salir de una interfase.
• Los routers puede hacer funciones de puenteo (bridge) si es necesario y simultáneamente enrutar a través de la misma interfase.
• Los dispositivos capa 3 (como los routers) proveen conexión entre las LAN virtuales (VLANs).
• Los routers pueden dar calidad de servicio QoS para tipos específicos de tráfico.

La capa de red utiliza distintos elementos:

• Paquetes de datos: son usados para transportar la información de usuario y los protocolos que se utilizan para soportar este transporte se llaman routed protocols (protocolos ruteables), como IP, IPv6, IPX.
• Paquetes de actualización de ruta: usados para que los routers conozcan a sus vecinos conectados a la red. Los protocolos que envían esta información se llaman routing protocols (protocolos de ruteo), como EIGRP, OSPF, RIP, RIPv2, BGP. Cada actualización de rutas se usa para construir y mantener las tablas de ruteo en cada router.
• Direcciones de Red: Son específicas del protocolo de direccionamiento usado, y un router mantiene una tabla de rutas por cada protocolo de ruteo, ya que cada protocolo llega la pista de una red con un esquema de direccionamiento diferente (IP, IPv6 e IPX por ejemplo).
• Interfase: La salida que un paquete tomará para llegar a una red específica.
• Métrica: es la distancia a la red remota. Los protocolos usan diferentes medios para medir la distancia entre redes, pueden ser saltos (cuantos routers hay hacia el destino) anchos de banda, el delay (retraso) en la línea, o hasta tiempo en octavos de segundo.

cita

"Qué vano es sentarse a escribir cuando no te has parado a vivir"
Henry David Thoreau

Cableado 5e (horizontal y backbone)

Como parte del estándar TIA/EIA-568-B.2 se describen los requerimientos de un cableado categoría 5e; y son cables conectando hardware con parámetros de conexión caracterizados hasta 100MHz

• Maximum Category 5e cable propagation delay (retardo): 538 ns/100 m at 100 MHz
• Maximum Category 5e cable delay skew: 45 ns/100 m at 100 MHz

Requerimientos para enlace permanente:

• Maximum link propagation delay: 518 ns at 10 MHz
• Maximum link delay skew: 45 ns at 100 MHz

Requerimientos para Channel:

• Maximum channel propagation delay: 555 ns at 10 MHz
• Maximum channel delay skew: 50 ns at 100 MHz

Impedancia característica de cableado horizontal de 100 Ohms ±15% de un MHz a la frecuencia más alta de referencia (16 o 100MHz) de una categoría particular.

En el cableado horizontal se permite el uso de cables híbridos o en paquete, que cada uno cumpla con las especificaciones TIA/EIA-568-B.2; los códigos de colores deben seguir los estándares para distinguirlos de un cable UTP multipar de backbone.

Para asegurar que el hardware instalado de conexión (tomas, contactos, conectores, páneles, patch cords, bloques de cross-conexión) tendrán un efecto mínimo en el desempeño del cableado, se debe cumplir con lo siguiente:

• Frecuencia: 100MHz
• Insertion Loss (dB): 0.4
• NEXT (dB): 43.0
• FEXT (dB): 35.1
• Return Loss (dB): 20.0

El método preferido de terminación de cableado para todo el hardware de conexión es el contacto de aislamiento despazado (insulation displacement contact IDC). Para asegurar que el sistema de cableado funciona, se debe conectar hardware de la misma categoría o superior.

En los patch cords y jumpers debemos cumplir lo siguiente:

• 20 m (66 ft) in main cross-connect
• 20 m (66 ft) in intermediate cross-connect
• 6 m (20 ft) in telecommunications room
• 3 m (10 ft) in the work area

Deben ser cables flexibles de la misma categoría que los cables horizontales que conectan.

• Frecuencia: 100MHz
• 2m Cord NEXT (dB): 35.1
• 5m Cord NEXT (dB): 34.8
• 10m Cord NEXT (dB): 34.6
• Return Loss (dB): 18
• Insertion Loss (Attenuation): per 100 m (328 feet) at 20°C= horizontal
• UTP cable insertion loss + 20 percent (due to stranded conductors)

TIA/EIA-568-B

Requerimientos Generales:

Hay 6 partes de un sistema de cableado estructurado:

1: Facilidades de Ingreso: (Bulding Entrance Facilities o EF) es el punto en el que el cableado de exteriores se encuentra con el backbone de cableado del interior del edificio. Los requerimientos físicos de la interfase de red están definidos en el estándar TIA/EIA-569-B.



2: El cuarto de Equipo: (equipment room o ER) los aspectos de diseño del cuarto de equipo se especifican en TIA/EIA-569-B. Los cuartos de equipo usualmente albergan equipo de una complejidad mayor que los cuartos de telecomunicaciones. Cualrquiera de las funciones de un cuarto de telecomunicaciones puede ser encontrada en un cuarto de equipo.

3: Cableado de Backbone: Provee interconexión entre cuartos de telecomunicaciones, cuartos de equipo y facilidades de ingreso. Está formado por los cables de backbone, los cross-conectores intermedios y principales, terminaciones mecánicas y cables de parcheo (patch cords) o jumpers usados para cross-conectar de backbone a backbone. Aquí se incluye:

• Cables entre Edificios (Inter-building)
• Cableado entre los cuartos de equipo y las facilidades de entrada
• Conexiones verticales entre pisos

Otros requerimientos de diseño son:

¿Qué es MPLS? parte 1

MultiProtocol Label Switching es una tecnología que usa etiquetas para hacer decisiones de reenvío de tráfico. Con la tecnología MPLS, el análisis capa 3 del encabezado de un paquete se hace sólo una vez, en el punto donde el paquete entra al dominio MPLS, y por medio de la inspección de las etiquetas se maneja el posterior direccionamiento dentro de la red de MPLS.

Así obtenemos una mayor velocidad al no tener que procesar el encabezado de IP en cada salto (o router) porque las decisiones de reenvío se toman comparando las etiquetas con el switch fabric (como en un switch) en lugar de con una base de información de ruteo. Reduce el overhead dentro de los routers de núcleo o de core (tamaño adicional en los paquetes de datos que se adiciona para su direccionamiento o encabezados), obtenemos también ingeniería de tráfico (TE), calidad de servicio (QoS), todo tipo de transporte sobre MPLS (Any Transport over MPLS o AToM) y redes privadas virtuales (VPN). Y podemos aplicarlo a cualquier protocolo de la capa de red.

Una etiqueta es un identificador de 4 bytes, de longitud fija, que es significativa localmente y que se usa para identificar una clase de equivalencia de reenvío (Forwarding Equivalence Class FEC). La etiqueta que se pone en un paquete particular representa el FEC al que se asignó el paquete. Puede haber más de una etiqueta en un paquete.

Una FEC es un grupo de paquetes IP que son reenviados de la misma manera, sobre la misma trayectoria, y con el mismo tratamiento de reenvío. Puede corresponder a una misma subred de IP de destino, pero también corresponde a cualquier clase de tráfico que el router de acceso a la red de MPLS considere significativa. Por ejemplo, todo el tráfico con un cierto valor de precedencia de IP puede constituir una FEC.

La etiqueta se compone de los campos:

• Etiqueta (Label) de 20 bits
  
• EXP experimental, actualmente usado como Clase de Servicio (CoS), 3 bits, afecta a la cola de paquetes y decisiones de descartar paquetes.
  
• S fondo de la pila (botton of stack), 1 bit, si es 0 indica que hay más etiquetas, si es 1 indica que estamos en el fondo de la jerarquía.
  
• y el tiempo de vida o time to live (TTL), 8 bits, se decrementa en cada router, si llega a 0 se descarta el paquete.

bits
|0|1|2|3|4|5|6|7|0|1|2|3|4|5|6|7|0|1|2|3|4|5|6|7|0|1|2|3|4|5|6|7|
|_______|_______|_______|_______|_______|_____| |_______|_______|
|____________etiqueta_20 bits___________|_exp_|S|______TTL______|
|_______________________________________|_____| |_______________|
|_____byte 1____|_____byte 2____|_____byte 3____|_____byte 4____|


Esta etiqueta se sitúa entre el encabezado de la capa de enlace de datos (data link layer, capa 2) y el encabezado de red (network layer, capa 3). El principio de la pila de etiquetas, top label, aparece primero en el paquete y después las demás etiquetas. El paquete de la capa de red aparece inmediatamente después de las etiquetas.

┌──────────────┬──────────────┬───┬──────────────┬──────────────┐
│Layer 2 header│_ Top Label _ │...│ Bottom Label │Layer 3 header│
└──────────────┴──────────────┴───┴──────────────┴──────────────┘

¿Cómo recuperar el password de un router Cisco? (con IOS)

En este post describiré como recuperar las contraseñas, el enable password y el enable secret de un router Cisco. Estos passwords protegen el acceso a los modos de configuración y pivileged EXEC. Podemos recuperar el enable password, pero el enable secret al estar encriptado debe ser retirado o reemplazado por uno nuevo; a continuación describiré como:

Conectamos una PC con un emulador de terminal al puerto de consola del router (hyperterminal usualmente) y usaremos los siguientes parámetros de conexión:







Una vez conectados obtenemos el show version del router y escribimos el registro de configuración (usualmente 0x2102).

Apagamos el router y volvemos a prenderlo con el emulador de terminal conectado (hyperterminal).

Oprimimos Break (o ctrl-break) para interrumpir el proceso de arranque y mandar el router a ROMMON. Una vez que tenemos el cursor de ROMMON, en el CLI escribimos:

rommon> confreg 0x2142
así haremos que el router arranque desde la flash

rommon> reset
reseteamos el router e ignorará la configuración guardada. Debemos responder NO a cada pregunta de setup cuando vuelva a arrancar para evitar sobreescribir la configuración guardada, o evitamos las preguntas con Ctrl-C

Una vez que el router arrancó debemos cambiar el password:

router> enable
router# copy startup-config running-config
router# show running-config

Aquí veremos la configuración del router, y todas las interfases estarán apagadas (shutdown); además veremos los passwords (enable, enable secret, vty, consola) y los que no estén ecriptados podrán ser reutilizados, los que estén encriptados deben ser cambiados.

router# configure terminal
router(config)# enable secret

vamos a cada interfase en uso y la activamos:

router(config)# interface s0
router(config-if)# no shutdown
router(config-if)# exit
router(config)# config-register 0x2102
devolvemos el registro de configuración a su valor original, el cual anotamos previamente.

router(config)# end
router# write memory

apagamos el router y al reiniciar cargará la configuración que tenemos guardada con el nuevo password.

Pueden consultar el documento de Cisco en mi skydrive.live.com

Subneteo (subnetting,subnet)

Subnetting es la técnica para crear múltiples redes lógicas dentro de una red Clase A, B ó C; sin esta herramienta sólo podríamos usar una red por cada red clase A, B o C, lo cual haría que desaprovecháramos los espacios de direcciones.

Cada enlace de datos en una red debe tener un identificador único de red, y cada nodo en ese enlace debe ser miembro de la misma red. Si dividimos una red mayor (Clase A, B o C) en redes más pequeñas, te permite crear una red que interconecta subredes. Cada enlace de datos en esta red tendría entonces un identificador de red o de sub-red único. Cualquier dispositivo o gateway que conecta n redes o subredes tiene n distintas direcciones IP, una por cada red o sub-red que interconecta.

Para poder hacer la división en subredes, aumentamos la máscara natural de red usando los bits más significativos de la porción de host (los de extrema izquierda) para crear el identificador de subnet.

Tomando una dirección Clase B, su máscara de red natural estaría compuesta por 16 bits y le agregaremos dos bits más, creando 4 subnets:

IP _____172.17.10.0__ = 10101100.00010001.00001010.00000000
netmask 255.255.192.0 = 11111111.11111111.11000000.00000000
componentes de la IP: = NNNNNNNN.NNNNNNNN.SShhhhhh.hhhhhhhh
pertenece a la red: _ = ___________________________________
networkID 172.16.0.0_ = 10101100.00010001.00000000.00000000

entonces tendríamos que la dirección 172.17.10.0/18 es parte de la red 172.17.0.0/18, y para saber cuántos hosts tiene esta red haremos la siguiente operación:

tomamos la máscara de red, hay 256 hosts posibles por octeto y sustraemos la máscara de red:
256.256.256.256
255.255.192.0
_______________ restamos
_1_._1_.64_.256

tendremos 1x1x64x256 = 16384 direcciones de red posibles por segmento de subnet, de las cuales, la primera será usada para dirección de subnet y la última como dirección de broadcast.

Ahora, al octeto donde comienza la subnet le sumamos el número que obtuvimos para obtener las direcciones de red, por tanto las redes son:

172.17.0.0
172.17.64.0
172.17.128.0
172.17.192.0

Y recordemos que la primera y última direcciones están reservadas, tenemos:

172.17.0.0 como dirección de red,
172.17.0.1 como primera dirección utilizable
172.17.63.254 como última dirección utilizable
172.17.63.255 como dirección de broadcast de esta red

Es muy útil recordar que cada bit adicional divide en dos el segmento de red, así que tenemos que una máscara de red Clase C de 24 bits:

255.255.255.0 puede subnetearse así:
255.255.255.128 con 25 bits (128) y con dos subredes de 128 direcciones
255.255.255.192 con 26 bits (128+64) y con cuatro subredes de 64 direcciones (el doble de redes, la mitad de direcciones)
255.255.255.224 con 27 bits (128+64+32) y con ocho redes y 32 direcciones
255.255.255.240 con 28 bits (128+64+32+16) y con 16 redes y 16 direcciones
255.255.255.248 con 29 bits (128+64+32+16+8) y con 32 redes y 8 direcciones
255.255.255.252 con 30 bits (128+64+32+16+8+4) y con 64 redes y 4 direcciones, sólo 2 son utilizables y esta máscara es usada en enlaces punto a punto, ya que sólo se pueden comunicar dos direcciones.
255.255.255.254 con 31 bits y dos direcciones,
255.255.255.255 con 32 bits (128+64+32+16+8+4+2+1), donde sólo hay comunicación con la misma dirección IP.

Máscara de red

Una máscara de red identifica que porción de la dirección IP pertenece a la red y que porción identifica al nodo. Las dirección clase A, B y C tienen máscaras predefinidas:

Clase A: 255.0.0.0
Clase B: 255.255.0.0
Clase C: 255.255.255.0

Las máscaras de red son utilizadas en binario y en una red no subneteada la parte de 1's representa la porción de red (N) y la parte de 0's representa la porción de nodo (h):

255.0.0.0
11111111.00000000.00000000.00000000
NNNNNNNN.hhhhhhhh.hhhhhhhh.hhhhhhhh

Para calcular el segmento de red al que pertenece una dirección IP se hace una operación AND lógica entre la dirección IP y la máscara de red:

0 AND 0 = 0
1 And 0 = 0
0 AND 1 = 0
1 AND 1 = 0

____________= Net ID ________ _host ID ________
10.10.10.10 = 00001010.00001010.00001010.00001010
255.0.0.0 __= 11111111.00000000.00000000.00000000
____________= NNNNNNNN.hhhhhhhh.hhhhhhhh.hhhhhhhh
_________________________________________________
10.0.0.0___ = 00001010.00000000.00000000.00000000

Direccionamiento IP

Una dirección IP es un número único de identificación de dispositivo en una red. La dirección se compone de 32 bits, que se agrupan en 4 octetos cuyo valor puede oscilar entre 0 y 255, y que usualmente se dividen en una porción de red y una porción de host por medio de una máscara de red. Cada octeto se convierte a decimal y se separa por un punto, y así tenemos la forma comúnmente conocida:

Binario: 10101100.00010000.00011100.00101101
decimal: 172.16.28.45

Para hacer la conversión debemos usar potencias de 2, asignadas a cada posición, comenzando por el extremo derecho, y tendremos que cada octeto o byte puede valer:

1 1 1 1 1 1 1 1
128+64+32+16+8+4+2+1

así que en el ejemplo anterior tenemos:
(128+32+8+4).(16).(16+8+4).(32+8+4+1)

Estos octetos se dividen para construir un esquema de direccionamiento que acomoda redes grandes y pequeñas. Hay 5 clases de redes, de A a E, pero las redes clase D y E están reservadas.
Es importante destacar que la notación direcciones "Clase A", "Clase B" no se usan mucho en el campo profesional debido a que hay ruteo sin clase (Classless interdomain routing CIDR).

Dada una dirección IP, su clase se puede determinar de los 3 bits más significativos del octeto más significativo, por ejemplo, de la dirección 172.16.28.45, el octeto más significativo es 172, y en binario es:

10101100.00010000.00011100.00101101

172 . 16 . 28 . 45

• Las direcciones clase A comienzan con 0, su primer octateo es el que se considera de red (256 redes y 16,777,214 hosts posibles) y los 3 restantes para host y pueden tener valores de: 0.0.0.0 a 127.255.255.255
• Las direcciones clase B comienzan en 10, tiene dos octetos de red (en gris) y 2 de host (en naranja) (65536 redes Y 65534 hosts posibles) y pueden tener valores de: 128.0.0.0 a 191.255.255.255
• Las direcciones clase C comienzan en 110, tienen 3 octetos de red y 1 de host y pueden tener valores de: 192.0.0.0 a 223.255.255.255
• las direcciones clase D comienzan en 1110, son usadas para multicast y pueden tener valores de: 224.0.0.0 a 239.255.255.255
  las direcciones clase E comienzan en 11110, están reservadas como experimentales y pueden tener valores de: 240.0.0.0 a 255.255.255.255
  

Visitantes

Gracias por sus vistas, espero sus comentarios!


View Untitled in a larger map

Implementando Firewalls en la organización

del documento Deploying Firewalls Throughout Your Organization.
Evitar las intrusiones requiere filtrado de firewalls en múltiples perímetros, tanto internos como externos.
Los firewalls han sido la primera línea de defensa en las infraestructuras de defensa de las redes, y cumplen este objetivo comparando las políticas acerca de los derechos de acceso de red de los usuarios con la información de cada intento de conexión. Las políticas de usuario y la información de conexión deben coincidir, o el firewalll no dará acceso a los recursos de red; así se previenen las intrusiones.
En años recientes, una de las mejores prácticas más aceptadas es implementar firewalls no sólo en los perímetros de red tradicionales, donde la red corporativa y la Internet se encuentran, sino también a través de la red corporativa en ubucaciones internas clave, así como en las fonteras de las oficinas remotas con la WAN. Esta estrategia de firewalls distribuidos ayuda a protegernos contra amenazas itnernas, las cuales han sido históricamente causantes de un enorme porcentaje de cyber-pérdidas, de acuerdo al estudio anual que conduce el Computer Security Institute (CSI).
El crecimiento de las amenazas internas se ha acelerado por el surgimiento de nuevos perímetros de red que se han formado al interior de las LAN corporativas. Algunos ejemplos de esos perímetros o fronteras de confianza, están entre los switches y los servidores de respaldo, entre diferentes departamentos, y donde una red inalámbrica se encuentra con la red cableada. El firewall previene la existencia de brechas de acceso en estas coyonturas de red claves, asegurando, por ejemplo, que el departamento de ventas no podrá entrar al sistema de finanzas.
También se ayuda a cumplir con los últimos mandatos de la industria al ubicar varios firewalls dentro de múltiples segmentos de red. Por ejemplo, Sarbanes-Oaxley, Gramm-Leach-Bliley, etc; tienen requerimientos acerca de la seguridad, auditorías y rastreo de la información.
Protegiendo todos los puntos de acceso.
El borde entre la red pública y la privada es considerado particularmente vulnerable a intrusos, porque la Internet es una red públicamente accesible y cae bajo el manejo de múltiples operadores. Por esa razón, la Internet es una red que se considera no es de confianza; así como las LANs inalámbricas, las cuales sin la seguridad apropiada pueden ser violentadas desde fuera de la empresa, ya que sus señales llegan más allá de las puertas y paredes.
Es por ello que es crítico proteger el borde LAN-WAN; pero ahora los firewalls también deben mantener la comunicación entre segmentos internos de red, y revisar que los empleados internos no puedan acceder a recursos o segmentos que las políticas de la compañía dictan como fuera de su alcance. Haciendo particiones de la intranet con firewalls, los departamentos dentro de la organización ganan defensas adicionales contra amenazas de otros departamentos.
Además, crece la utilización de la red, porque los empleados se vuelven goegráficamente más dispersos, entre las oficinas remotas y el incremento de los medios móviles y redes remotas. De acuerdo a Nemertes Research, una firma especializada en cuantificar el impacto de negocio de la tecnología, ahora, la mayoría de los empleados trabajan en oficinas remotas, lejos de los cuarteles corporativos. Esto resulta en un nuevo borde LAN-WAN en cada oficina filial o remota, donde un router de acceso WAN se encuentra con la Internet pública u otra red WAN. Este nuevo borde debe ser protegido.
El firewall entonces, en su papel de primera línea de defensa tiene un lugar en los siguientes segmentos de red:

• En el perímetro tradicional de la red corporativa (donde el Data Center se encuentra con las redes WAN e Internet).
• Entre departamentos, para segregar el acceso de acuerdo a las políticas entre grupos de usuarios.
• Entre los puertos LAN de los switches y las granjas de servidores Web, de aplicación o de bases de datos del centro de datos.
• Donde la wireless LAN se conecta a la red cableada (entre los LAN switches Ethernet y los LAN controllers)En el borde WAN de la oficina remota.
• En las Laptops, smartphones, y otros dispositivos móviles inteligentes que guardan datos de la organización (en forma de software de firewall personal) y en el caso de trabajadores móviles.

Esta figura es el ejemplo de un despliegue de firewalls en la empresa (tomado de cisco.com)

Se recomienda filtrado básico en cada frontera de confianza, tanto externa como interna por toda la red.

El papel en la arquitectura de seguridad total.