Seguridad: fundamentos de diseño

• Los principales objetivos del diseño de una red en cuanto seguridad, deberían ser:
• Seguridad y mitigación de ataques basados en políticas.
• Implementación de la seguridad a través de la infraestructura (No sólo en dispositivos especializados).
• Admnistración y reportes asegurados.
• Autenticación y autorización de usuarios y administradores hacia los recursos críticos de la red.
• Detección de intrusos para recursos críticos y subnets.
• Soporte para aplicaciones en red emergentes.

La arquitectura de red debe impedir que la mayoría de los ataques afecten exitosamente recursos de red valiosos. Los ataques logren penetrar la primera línea de defensa, o que son originados desde dentro de de la red, deben ser detectados de manera precisa y rápidamente contenidos para evitar su efecto en el resto de la red. EL buen funcionamiento de la red y la apropiada seguridad pueden y deben ser entregados al mismo tiempo.

La seguridad debe ser escalable y confiable, entendiendo que debería existir una redundancia física para protegernos contra la falla de un dispositivo, así como un error de configuración, fallas físicas, o un ataque a la red. Aunque podríamos pensar que un diseño simple podría ser mejor, los ambientes de seguridad son complejos, aunque hay algunas maneras de simplificarlos.

A veces se debe escoger entre la funcionalidad integrada en un elemento de red o un dispositivo especializado. La primera opción es atractiva porque puedes implementarla sobre equipo existente, o porque algunas características no pueden operar con el resto del dispositivo para dar un mejor rendimiento. Se usan dispositivos especializados cuando requerimos un performance muy avanzado (o un gran throughput por ejemplo) o características muy especializadas; y se debe decidir basdo en la capacidad y funcionalidad de los dispositivos contra la ventaja que presenta la integración en un elemento existente. Por ejemplo escoger entre un router de gran capacidad con características de firewall en el IOS, o un router de menor capacidad en combinación con el uso de un firewall separado. En un ambiente corporativo altamente demandante se usan dispositivos especializados por la gran carga de trabajo sobre los elementos de red.

Cisco Carrier Routing System

Volviendo al tema del throughput, ha habido varios comentarios, preguntas, mails, sobre el asunto; y creo que debemos tenr claro que al hablar de throughput, hablamos de una capacidad de proceso, que si bien podemos estimarla o calcularla en base a tablas de los fabricantes, se refiere a la ocupación instantánea del elemento.

Por ejemplo, si tenemos un E1 de acceso a internet, tiene un ancho de banda de 2048kbps, pero usualmente el carrier utilizará 64kbps para señalización o control de ese enlace, lo que nos deja 1984kbps de ancho de banda.

Si yo descargo un archivo desde un ftp server que tiene un acceso de 128kbps, en mi router el ancho de banda disponible es de 1984kbps, y el throughput que alcanzo es de 128kbps por factores externos, pero sigo teniendo el mismo ancho de banda disponible.

Ahora, pensemos en un router de core utilizado por un carrier; tiene una capacidad de procesar y darle servicio de enrutamiento a una cantidad de tráfico impresionante, por ejemplo la plataforma CRS-3 alcanza un throughput de 322 Terabits por segundo, eso es su capacidad total, utilizando todas las interfases, y si en un determinado momento eso llegara a significar que tomaría tráfico de sólo dos interfases, pues así sería, es el máximo de procesamiento que puede alcanzar; pero es muy diferente a decir, en este momento el throughput de mi equipo es de x cantidad, ya que este es un límite de proceso, y el ancho de banda es un límite de transporte generalmente.

Pueden consultar las tablas de throughput por plataforma aquí:

cisco.com

25 años de dominios .com

EL 15 de marzo de 1985 la empresa Symbolics registró su dominio .com y comenzó a escribir en las páginas de esta historia que todos hemos contruido. Esta empresa se dedicaba en aquellos días a la fabricación de computadoras y hoy sigue vigente aunque fue vendida, y podemos leer su historia en la wikipedia, y tienen una página sobre el aniversario aquí.

http://www.25yearsof.com/

El registro de dominios y posterior crecimiento de la web y del internet[working] ha cambiado mucho nuestra vida; desde el hecho de poder compartir nuestros conocimientos en un blog, en wikipedia, o hacer consultas sobre lo que otros piensan; o la manera en la que nos comunicamos con amigos, clientes, proveedores; la manera en que se mueve el dinero y en que las relaciones humanas, de negocios y privadas, se establecen.

Celebremos pues los primeros 25 años del primer dominio .com

cita

The man of knowledge must be able not only to love his enemies but also to hate his friends.

El hombre de sabiduría debe ser capaz no sólo de amar a sus enemigos, sino también de odiar a sus amigos.
- Friedrich Nietzsche

¿Cómo obtener la clave WEP de una red WiFi?

Me encontré este tutorial en video que describe de manera bastante simple como hacer una captura de paquetes en la interfase inalámbrica usando una versión de Linux llamada BackTrack, lo malo del video es que no describe con gran detalle que es lo que está uno haciendo para lograrlo, y el objetivo creo que debería ser aprender, no recomiendo que usen este conocimiento para entrar a redes a las que no tienen autorización de entrar.

Remember, with great power. comes great responsibility.

Yo hice la prueba con mi MODEM-router 2Wire y funcionó después de unas 2 horas; después del video están las instrucciones por escrito.



Si no queremos instalar el Backtrack en una partición del disco duro, reiniciamos la computadora que pretendemos usar y en el menú del BIOS verificamos que podemos arrancar la computadora desde un puerto USB.
Posteriormente descargamos la imagen ISO del sistema operativo Backtrack, y descargamos la herramienta UNetBootin, que nos va a servir para instalar el backtrack en un flash drive (pen drive, o memoria USB). El fash drive debe estar formateado en FAT o FAT32 para que podamos usarlo como arranque. Ejecutamos el UNetBootin y seleccionamos la imagen ISO y el Flash Drive deseados, completamos el proceso de instalación y reiniciamos la computadora para utilizar la nueva imagen.

Una vez que termine de cargar vamos a escribir para iniciar la interfase gráfica:

startx

Abrimos una consola e iniciamos los servicios de red:

/etc/init.d/networking start

aquí es donde inicia el trabajo sobre la red con la herramienta airmon-ng, primero vemos el status de nuestra tarjeta de red, que usualmente es wlan0, y después vamos a detenerla para iniciar la interfase virtual creada, usualmente mon0 y verificamos el status nuevamente:

airmon-ng
airmon-ng stop [wlan0]
airmon-ng start [mon0]
airmon-ng

Ahora vamos a iniciar la captura de paquetes desde la interfase con airodump-ng, pero primero vamos a ver todas las redes que se pueden detectar y cual tiene un cifrado WEP, posteriormente lo detemos (ctrl+C) e iniciamos nuevamente la herramienta para capturar paquetes (el bssid de la red es la dirección MAC asociada a la red o el access-point):

airodump-ng [mon0]
ctrl C
airodump-ng -w wep -c [channel number] --bssid [bssid number] [mon0]

Abrimos una segunda consola y usando la herramienta aireplay-ng vamos a asociar nuestra tarjeta wireless al access-point deseado; después de este comando debemos tener un mensaje de que la asociación fue exitosa y no volvemos a moverle:

aireplay-ng -1 0 -a [bssid] [mon0]

Abrimos una tercera consola y vamos a inyectar paquetes a esa MAC address, y vamos a estar capturando las respuestas con el airodump-ng que está activo en la primera consola y vamos a ver que se capturen al menos 30,000 paquetes (unas 2 o 3 horas, dependiendo de que tan buena señal tenemos de la red):
aireplay-ng -3 -b [bssid] [mon0]
Y después de unas dos horas vamos a la 1a consola a ver si tenemos los 30mil paquetes o más y de ser así detenemos la captura, pedimos el directorio y ejecutamos aircrack-ng que es la herramienta que decodifica la clave WEP y la escribimos;

control C
dir
aircrack-ng [filename].cap (usualmente es wep-01.cap)

Escribimos la clave que nos proporciona la herramienta y listo, ya tenemos el ID de la red y la clave WEP.

Copa del Mundo FIFA

Este es un calendario que hice con los partidos de la copa del mundo, pueden agregarlo con XML, iCAL o HTML, y hay un mapa con las ciudades donde se jugarán los partidos, para ver el contenido da click en más información:

Ancho de Banda y Throughput (2)

Recibí un correo de Kevin preguntando sobre la diferencia entre throughput y bandwidth porque mencioné en otro post que un 1841 no puede alcanzar más que 75Mbps (un error, son 38.4Mbps o 75mil paquetes por segundo) de throughput a pesar de tener interfases Fast Ethernet.

Hay un documento llamado Portable Product Sheets - Routing Performance donde podemos consultar cual es la capacidad de proceso de cada plataforma, ya sea con el process switching o con el CEF switching (Cisco Express Forwarding).

La principal diferencia entre el Throughput y el Bandwidth es que un enlace tiene un ancho de banda de 100Mbps, pero en el caso de un router 1841 por ejemplo, la capacidad de proceso se ve limitada por el número de paquetes que puede procesar (75mil paquetes por segundo) o el ancho de banda total (38.4Mbps), el MTU máximo es de 1500 bytes (ó 12000 bits), incluyendo los encabezados y la carga "útil", lo cual serían aproximandamente 3200 paquetes; y la razón por la que no es igual la capacidad de proceso de paquetes y el ancho de banda es que no todos los paquetes son del tamaño máximo permitido, hay por ejemplo paquetes de acknowledge, de SYN, y echo requests ,echo replies, etc, que son de tamaños mucho menores, pero que ocupan la memoria de nuestro router, y por tanto podrían alcanzar la capacidad máxima de 75mil paquetes y saturar el router sin llegar a la capacidad de 38.4Mbps.

Al final, la utilización de ese ancho de banda disponible (100Mbps en fast ethernet) está limitada por los recursos de proceso (38.4Mbps o 75,000pps) y el throughput representa esa utilización.

Cada router está pensado para una capacidad que viene relacionada con los enlaces WAN que puede manejar; el 1841 está recomendado para un E1 o menos, por lo que, en teoría, debería procesar hasta 2048Kbps provenientes de la LAN y que pasarán por el para entrar a la WAN, por eso su throughput o capacidad de proceso es menor a 100Mbps, y cabe destacar que hablamos de una capacidad total a ser procesada, no es como en una interfase full duplex que tiene 100Mbps de entrada y 100 de salida; en el caso del throughput, el router puede procesar un cierto número de paquetes a los que les dará el servicio de ruteo entre sus interfases, y que puede bajar en el caso de routers que ejecutan ruteos dinámicos, servicios de gateway de voz o de seguridad, ya que el CPU está ejecutando procesos más elaborados sobre cada paquete.

Si queremos conectar un E3 (34Mbps) en un router, usaremos un 3845 que tiene una capacidad de 500,000pps o 256Mbps; el throughput es mucho mayor.

AXTEL lanza “AXTEL Conmigo”

• Es un innovador servicio que da movilidad a sus líneas de hogar y negocio
• Funciona a través de internet de banda ancha, WiFi y 3G

Monterrey, N.L., a 3 de marzo de 2010.- AXTEL, S.A.B. de C.V. (BMV: AXTELCPO; OTC: AXTLY) (“AXTEL”), empresa mexicana de telecomunicaciones, anunció el lanzamiento de su servicio de voz sobre internet “AXTEL Conmigo”, gracias al cual sus clientes podrán hacer y recibir llamadas de su línea AXTEL a través de dispositivos móviles y computadoras personales.

Este innovador servicio, el primero en su tipo ofrecido por una empresa telefónica de México, permite a los clientes de AXTEL darle movilidad a la línea telefónica de su hogar o negocio, con todas las funcionalidades y beneficios del paquete comercial que hayan contratado.

“AXTEL Conmigo” opera en dispositivos móviles como teléfonos inteligentes (smartphones) o computadoras personales, en cualquier lugar de México o del mundo con acceso a Internet de banda ancha, incluido WiFi o 3G.

La segunda empresa de telefonía fija más grande del País explicó que “AXTEL Conmigo” ya está disponible para sus clientes a través de su portal www.axtelconmigo.com.mx, donde pueden descargar gratuitamente el software (softphone) requerido tanto en computadoras como en dispositivos móviles; para el caso de iPhone, el software puede obtenerse directamente en el dispositivo a través de su App Store.

“AXTEL Conmigo forma parte de la nueva generación de servicios que hemos diseñado para revolucionar la experiencia de comunicación de nuestros clientes. Estamos maximizando el valor de nuestra oferta a través de soluciones innovadoras que materializan las bondades de la convergencia tecnológica” dijo Iván Alonso, Director Ejecutivo de Innovación y Tecnología.