INSTALACION, CONFIGURACION Y ADMINISTRACION &SEGURIDAD CONFIGURACION AVANZADA DE ROUTERS En este fasciculo aprenderemos a establecer el correcto funcionamiento de un router. Conoceremos también conceptos tales como NAT y Port Forwarding. I, > CONFIGURACION DE DHCP aS 4 x >) > MECANISMO DDNS : » PROTOCOLO UPNP 4 > TECNOLOGIA QOS > FIRMWARE ALTERNATIVOS > ACL Y BACKDOORSBae Técnico en &SEGURIDAD Coordinador editorial Nuestros expertos Paula Buds Valentin Aimiron José Bustos Asesores tecnicos Gustavo Cardelle Federico Pacheco Rodiigo Chavez Javier Richarte Alejand:o Gomer Javier Medina Gustavo Martin Moglie Pablo Pagani Gerardo Pedraza Ezequiel Sanchez Curso visual yprctico Técnico enredesy seguridad es una publicacon de Fox ‘andna en coedcén con Dalaga SA, Esta publican no puede ser repradia nen tode ni en parte, por ringén medio acua a futuro sin el permiso previo y por escrito de Fox Andina 5. isvibuldores en Argentina: Capital: Vaccaro Sénchezy Cia, Moreno 794 pso 9 (1091), Ciudad de Buenos Aires Te. 5411-4347-4031/4032, Interior: Dstibuidora nterplazas S.A. (DISA) Pe. Luis Sdn Pia 1832 (C1135ABN), Buenas Ares, Tel, §411-4305-0114. Bola: Agenca Modema, General AchaE-0132, Casila de comeo 462, Cochabamés, Tel, $914-422-1414. Chile: META SA, Wiliams Rebolledo 1717 - fuioa- Santiag, Tel $62-620-1700, Colombia: Disrbuidoras Unides SA, Care 71 No. 21-73, Bogots D.C, Tel $71-486-8000,Ecvador Disandes (Oistrbuidora de los Andes) Calle 7” y Av. Agustin Free, Guayaquil Tel, 59342-27651. México: Distibuidora Intemex SA. de CV, Lucio Blanco #435, Cal San Juan Tliwaca, México DF (02400), Tel, $255 $2 30°95 43, Peri Distibuidre Bolvarana S.A, Av, Repiblca de Panam 3635 piso 2 San Iso, Lima, Tel 511 4412948 anevo 21, Uruguay Esper SRL, Paraguay 1924, Montevideo, Te, 5982-924-0766, Venezuela Distibuidor Continental Bloque de Armas, Ei Bloque de Aimas Po Sno, Av. San Marti, cuce con final Av La Paz, Caracas, Te, $8212-406-4250. Impeeso on Svagraf S.A nreso en Asgeatina Copyright © Fox Andina S.A. | MI CONFIGURACION AVANZADA DE ROUTERS En exe acel aprenderaos ete el exec Fanaa de un raver Conerenes tania onzapis ales cama NAT Pert Forwarding. + cmmcnae Ff) S > eco 08S > Fraoxa Pw > evo. ans > maa crear sc. ekooooes Técnico en redes y seguridad / cordinado por Paula Buds -1aed,- Buenos Aires: Fox Anna, 2013, 576 p.; 28 x 20cm. Users; 22) ISBN 978-987-1857-78-4 |. Informatica 2. Redes |. Busi, Paula, coord 0 004.68En esta clase veremos.. Opciones de configuracién avanzada de routers, protocolos y tecnologias asociadas, asi como también la forma adecuada de realizar una actualizacién de firmware. En|a dase anterior, analizamos a seguridad en redescableadas ce inalémbricas. Conocimos qué es un firewall sus caracterstcasy funconesprinpales. Revisamas los alcances del rewall que acompaia alos sistemas Windows y caracteizams als firewall pr software y hardware. Para continua, detllas los pasos necesarios para instar una aplicacin de firewall y conocimos ls sistemas de detecén de iusos.Fnaimente conocmos los honeypots, os honeynetsyvimos la seguidad relaconada con los DNS. Ena presente entieg,revsaremos la coniguacion avanzada de DHCP y conocereros el mecanismo DONS, anal caracterstces de NAT y, también veremos los Para continuar,conoceremos la tecnologia QoS y los fmwvare alternatives. ‘Aprenderemos a instalar ya configure fermare OD-WRT,y veremos el concepto de ACL y los peligos de los backdoors por frat AEE 10 2 Configuracién avanzada de DHCP Qué es NAT? 16 Aiternativas de firmware Concepto de ACLs | ITECNICO EN REDES Y SEGURIDAD | 10 © Configuracion avanzada de DHCP DHCP nos permite conectar y desconectar nodos a una red en forma dinamica y sencilla sin la atencién exclusiva de los administradores. AON rnnodo de una ed puede ~=»- FJHCP RELAY ager RETRANSMITE informacién P(dreccin LS MENSAJES eee ioe (Pde a puerta de enlace etc)o puede ENTRE LOS CLIENTES adguiila de forma dinamica através de ~=— Y EL SERVIDOR, un servidor DHCP. Y VICEVERSA. DHCP Forwarding Para obtener esta informacién de manera Para sortear esta dificultad, debernos dindmica, el nodo envie un mensaje de realizar forwarding DHCP. solictud de direccién IP a través dela La palabra forward significa ‘avanza direccién de broadcast dela red (mensaje atravesa, ir hacia adelante’ yes lo que irigid a todos los nodos que forman _necestamos:atravesrel router para parte de una red, pero que solo responde llegar hasta el servidor DHCP tanto el servidor DHCP que se encuentra de ida como de welt. En este punto, dentro de ele). entra en juego Relay DHCP, que es una problema se presenta cuando el servidor _funcionalidad que nos permite soluconar DHCP se encuentra fuera de nuestra red, nuestro problema. Podemos encontrarla en otra distinta, ya que los mensajes de _en forma de software o como parte del Solicitud no atraviesan el router que nos firmware de nuestro route. Lune con la red externa a a nuestra. Como Sibien es posible instalarel programa consecuencia, el servidar DHCP nunca _corresponciente en un dispositive de recibe la soliitud y nunca asigna una ruestra red para que cuando recia las iceccién IP al nodo solicitante solicitudes las encamine correctamente, la ET eS Ce) ew OH Ce en ee eee are men cc, de red UDP y se utilizaba para que ee ars s dispositivos dentro de una red ee omens EIa) Crete eens Ree? 0, este protocol ae sin disc cayo en desuso. DHCP es un protocol wwwsedusers.com solucon mas sencilaconsisteen conigurar fa interaz del router entre el servidory fare para quel recibir un mensaje de solictud de ieccén IP de a direccion de broadcast lo encamine hacia e servidor DHCE y haga lo mismo, de manera invetsa, con la respuesta (puede que la funcionalided nose encuentre presente en ‘todos los routers, depende de las marca 1 de los modelos), Para implementar esta ‘aracteritca, debermas conectarnos al router ingresar a su firmuare (software de configuacién dentro del dspostvo), seleccionar él ment de configuacién DHCP y activa el agente DHCP Relay, Proceso de solicitud Durante el proceso de solicitud y asignacion de una drecin IP se utizan los siguientes mensajes: > DHCP fs una soltud DHCP realizada por un cliente de est protocol para aque el ervidor DHCP de dha red de computadoras le asigne una cirecién IP otros parémetros. > DHCP offer Es la respuesta del servidor DHCP a un Cliente ante la peticién de asignacién de parémetros DHCP. > DHCP Request El cliente selecciona la configuracién de los paquetes recibidos de DHCP Offer Una vez més, el cliente solicita tuna diteccién IP especifica que Indicé el servidor.Router El agente DHCP Relay retiensmite los sensaeslstados anteriormente entre Ios clientes ye servdor y viceversa. La uncién principal que cumple es la de ‘capita es solicitudes de dieccién IP de Broadcast, afacile al mensaje su propis eecciin I y enviaro, tiizando Unicast, 2 uno 0 més servidoes DHCP. Elo los servidores DHCP utiizan la dreccén I del agente para identifica el destin al cual erat la respuesta, Filtrado de direcciones MAC La asgnacin dinamica de ireccones IP facilta que nuevos nodos formen parte Clase A: desde 10.0.0.0 hasta 10.285,25.255. > Clase B: desde 172.16.0.0 hasta 17231.255.255. > Clase C: desde 192.168.0.0 hasta 192.168.255.55, Gateway NAT a gateway NAT camba a dieccién de solid de cada paquete proveniente de lard itera y el puerto de origen de los paquetes. Estas traduciones se almacenan en una tabla destinada 2 registar las procedencis pare que, cuando deba redirigirla respuesta, reconozta a su destino, De este modo, siempre que el cliente establezca una conesin con el exteroy a tabla asigna el camino, Si deseamos realizar una conexién dese afuers hacia la conexin intema, recurrimos al BNAT (Destination NAN}. Para ealizar este procedimiento, debemos asignare ala tabla NAT un puerto que permaneceté fo y abierto para las conexiones externas. Cuando realicemos ‘una soictud al puerto configurado, DNAT sabré especficamente a qué cliente redirigir la conexién Esto se encuentra configurado para servdores web a través del puerto 80, y para programas especfcos como VNC, entre otros Ente os distintos tipas de funcionamientos dela NAT tendremos: > NAT estitica: se uti para deterninar una sole drecion I priv @ una sola direccién pibica,pemiténdolea un senidor ‘web (un host tener una dieccidn prvada;y ser visble en Intemet porque ain poseeia direc plc, > NAT dindmica: el procedimiento realizado cvando una dieccin IP privads se redireciona a una péblica mediante tuna tabla de diecciones IP registradas(y polices). €l router NAT utilizar la tabla de creccionesregistradas para asignarle a ura IP prvada el camino de sada. Esto dda més seguridad ya que enmascara la red intemna y permit tener un contol mas directo sobre la tabla confgurads. > NAT sobrecarga: es conocida como PAT (Port Address Transation, traduccion de dreccin de puerto), NAT de diteccén Uinice © NAT multiplexedo a nivel de puerto. Funcona estableciendo la conesién a nivel puerto, > NAT solapamiento: se usa cuando la direccién IP utiizada en un equipo de una red privada coresponde a una direccién pblica utilizada. El router utliza una tabla de traducciones en la aque se remplaza esta direccién con una Lirica direccién pablica. 172.161. 72.1911 172.16.1.2] | 172.19.1.2 192.168.1.0/24 10.10.20.0024 ‘wow redusers.com‘TECNICO EN REDES Y SEGURIDAD | 10 © Configuracion NAT en router y Port Forwarding Establecer una comunicacién fuera de redes privadas implica habilitar canales o puertos, y mediante ellos contactarnos con el exterior. uuando establecemos una red privada, estamos asignando diecciones IP privadas que son concentradas en un enrtador o servidor. que establece comunicacin con elas mediante los ‘nombres y accones interns. Pero, cuando deseamos entablarcomunicacién con as redes externas, ncesitamos un regulador en el dialogo con as redes piblcas, esto quiere decir {ue necesitamos un gestor de paquetes de informacin, Direccién proveedor de Inert que contratamos asigna una dieccin IP pblica a cada ciente, pero (yen especial hoy en la), en rwestros domicioso empresas, contamos can més de un equipo «que necesita conectars a Intemet,y surge como problema que tenemos asignado un dco nimero pablo. ‘Cuando la red mundial fue disefada bajo el protocoloIPv4, ia cantidad de equipos disponibles no estaba proyectada para el nimero actual de cispositivs capaces de conectarse a Internet (y por lo tanto de poseer una dieccién publica) y muy pronto los nmeros disponibles se fueron reduciendo, Para cevitar la sobreasignacién de nimeros, fue disefiado el NAT donde todas las redes privadas pasan a concentrarse bajo una misma direccion IP pablica, Router El dispositive que reaiza esta concenracon es el outer Su tarea consist en asigna alas petciones de os cspostvs de la red intena, un puerto desalida cone ual toda la informacién es ‘wade asignada asu destino meciante esta snicadrecién IP Gracias a a configuracién del route, nosotros podemos asignates a dstntasdrecciones IP rangosespecicas de puertos los cuales sern encargados de eenva la informacion a su destino ybloquea as entradas que no estén autoriadas. Los disintos modelos de equpos de diferentes fabricantes poseen interfaces de confguracién diferentes programadas par luc y estar organizadas del modo que el fabicantedesee, pero aun asi todas cunplen la misma funcin en algunos casos, los fbricantes identifica las opciones como NAT, como Port Forwarding o simplemente como Forwarding), la de asignar pueros para el correct disiog con el resto de las redes. Intemet Servidor de archivos Servidor de E-mail Gateway Servidor webConfiguracién de puertos Nuestra tarea es configurar estos puertos de modo de controlar luo de informacion hacia nuestros equips. través del Port Forwarding, lo que realizamos es reemvaroasignarpuertos para poder transmitir informacién a través de las distintas redes. Los paquetes de informacién son traducidos y marcados para poder identificar el emisor y el receptor entre las redes y -servidores externos e internos. Mediante esta codificacién de paquetes y equipos, podemos lacalizar equipos de una red intema desde el exterior (acesos remotes) ya que, de otra manera, no podriamas localizarlos. Utilizando la direccién IP publica asignada yy conaciendo el puerto asignado, podemos acceder remotamente los dispositivos que deseemos. Utilizar NAT ‘Con los puertos asignados para cada dispositive, enmascaramos las direcciones pilblicas utilizando NAT (Network Address Translation, traductor de direcciones de red), que nos permite ‘conectar varias PCs de una misma subred a Internet. NAT aprovecha las caractersticas de TCPP permtiendo milples conexiones simultneas aun mismo servidorexteno. Esto se lleva a cabo utilizando los campos de cabecera de los paquetes que se definen a las conexiones usando direccién de igen, puerto de origen, deccdn de destino y puerto de destino ‘De esta manera, se escriben los paquetes en cada equipo, se transmiten, y la informacion siempre llega a destino, Los paquetes son escritos en sus cabeceras con la direcci6n privada y son erwiados hasta el routes, que multiplex la informacién como ‘si todos los paquetes proviniesen de un mismo equipo. Para ientficat qué equipo hizo la petcén ele asigna un inico ‘puerto utilizando el NAPT (Network Address Port Translation, ‘raductor de puertos de direcciones de red). Toda la informacion durante la conexion activa es almacenada nl tabla interna del route. As, se cami la drecciénprvada por una ica deci de red plc, y todos los paqutes gue salen a través del outer lo hardn a través de una Unica red publica. Sin el correcto forwarding, sin especificar los puertos, esta informacion no podria llegar @ destino. Detalles Hemos suid el princpio de furconanento la necesidad de realzar un Port Forwarding: es momento de cncentramos en cémo realza esta configura yas medidas de seguridad necesaras Usiizaremos para este efemplo, un router genérco, en el que necestemos resting el uso a determinades puerts, Estamos en una re privada configurada bajo un rango establecido entre iveccones IP 192.168.1.1 (reservada para la puerta de enlace y 192.168.1.100 (pare diversos equipos dentro de la red privada), Para nuestro elemplo,utiizaremos nuestra PC de escritoro y accederos ala configuracén del router mediante la dreccién de puerta de enlace. La mayoria de los routers comerciales presentan interaces grafces muy intuitivas para que la configuracion no sea tun tema que impida el funcionamiento adecuado. Desde un navegador web, ingresamos la deccén IP de nuestro 205.205.205.205, Internet router (que para nuestro caso hemos asignado por defecto 192.168.1.1 como puerta de enlace). Ingresamos el nombre de usuario ylacontraseia del administrador (por defcto cada fabricanteasigna contrasfias estindares y comune para luego modificatias; en Intemet podetos localiza estas contraseias| ingresando el modelo del ispostv en foros y paginas dedicades) LEAT E LLL CS > ninesTECHICO EN REDES Y SEGURIDAD | 10 Ubicamos la caracteristica de NAT (como dias antes, puede esta sefalada como Port Forwarding, o Forwarding ente ots) ¥ por lo general nos encontraremos con cuatro altematias de configuracién (que pueden varar segin el madelo de router que estemos intentando configura) La primera altemativa que podemos encontrar se denomina Virtual Servers (servidores vituales). Estos servidores se crean para asignar servicios pablicos @ nuestra red, ue actuarén sobre rangos de drecciones I, Utiizamos esta altemativa para poder liberals puertos ala dreccones IP especficas. En el caso en que asignemos a nuestras computadoras IP fas, Podremos configuar una tegla para esta, por la cual beraremos los servicios necesaris para su funcionamiento Dentro de las configuracones,ycontinuando con el ejemplo, asignaremos a nuestra computadora de escitrio, como dieccién IP estatce, el nombre 192.168.1.2), luego procedemos a realizar las accioneslstadas a continuacién > Acregarlaallistado mediante la nterfa web que hemas aber Las pimeras opciones que podtemos establecer se refieren wwe redusers.com 2 Puerto de Senco (generamente se nos permite asignar un valor especico oun rango de puerto para la eitaday la sada, Eto significa que podem establecer po ejemplo, un puerto de sada 12500 o ef rango 12500-15200, dande dejaremoshabitados estos puertos paral direc IP especie. > Establecemos el equipo habiltedo para tales puertos mediante la dreccion IP (en nuestro caso queremos habilitar los puertos 12500-15200 para nuestra computadora de escritorio 192.168.1.2) > €l protowlo que uizard dicho puerto (os protocols que podernas| utliar se han asgnado antes en ls obal, que generalmente slo encontiaremosTCR UDP y ALL para equpos hogarefis y ls demas Protocole, para equipos més avenzados > Nos permitrédejarlohablitado 0 no, dependiendo de la adeinstracén y gestion que pretendamas. En algunos casos, nos sevir dejar ls puettos configurados, pero no habilitedas por posible problemas. > Lo limo que encontraremos srl senvicio asociado, darde ‘endremos para este puerto preconfigurado las seis pare DNS, FTP HTTP, POP3, SMP PPTR, SOCK, TELNET, entre tos que ros asignaré en forma automitica el puerto correspondiente, Una ver que tengamos confguades ls aerate, habremos habltado los puertos comesponcientes para la creccon espectica, Si desde el ordenador soltams informecién desde un puerto no espeicad ene puerto oen el angola conexin ser imposible Desde la Web, tendremos un stad de todas ls reoas asignads,y Se nos permits modfcaras,eliminalas agregar nuevas. Otras alternativas La segunda aterativa es Pont Triggering. Esta se iia en algunas raters que reqieren principalmenteconexiones ‘miltiples. lgunas aplicaciones no pueden funcionar con routers. NAT purosy necesitan la activacion manual de puertos (as aplicaciones van desde juegos y videoconferencias hasta redes viales, entre otros) Encontramos Port Triggering en routers con firewalls inuidos, «std pensado para aplicaciones clente-servidory no sendores eaclusvos, ya que ls primerosestablecendreccones para conexionesentrantesy salientes,mienras que ls segundos (os ‘mas comunes) solo tendrén conexiones salientes. El principio de funcionamiento es que el router detecta mediante SPL (conesponde aun frewal que examina ls paquetes enrantes, para cerciorarse de que orresponden a una solctud salient, Jos paquetes de datos que no fueron solicitados son rechazados) ‘cuando las aplicaciones son utilizadas y, en forma automatica, tmapea los pueros orespondientes Por eel, cvando utiizamas une aplcacién que requiera maltiples puerto (como el IRO) utilizar un puerto preconfigured, como e 6555 Esto actiaré el Prt Triggering, ye SPI mapesré otros puertos 2signados, por ejemplo 500,400 y 600 (pueden ser més 0 menos), al equipo que inicié la conexién, Para nuestro caso, en la configuracién web tendremos la posbildad de ingresr un nuevo valor segin el puerto queiniciaré el servicio y el protocolo que le correspondera; por puertos de conexion entrante, al iqual que el vital server, debenos asignar los protocols de las conexiones entrantes. En modelos especificos, que se reducirn a routers moderns, teidremos la posiildad de selecionar aplicaciones comunes asocladas al servicio. Esto se realiza en algunas casos especifcos, tal como mencionamos, que ain requeren de estos puertos de Conexiones entrantes para funcionar de manera adecuada La terceraaltemativa para tener presente es el UPnP (Universal lug and Pla, que es un conjunta de protocolos que permiten 2 ruestros ordenadores 0 peritricos de red accede alas recursos del host local oa otros ispostves. La idea es que los dispositive sean detectados automsticamente por la aplicacién del servicio UPnP de la ed LAN, que esta disefiado para redes hogareias LA UTILIZACION DE NAT NOS PERMITE COMUNICARNOS DESDE UNA RED PRIVADA CON REDES EXTERNAS BAJO UNA MISMA IP PUBLICA Este servicio simplifica la conectvdad y a conexén entre dives0s dspositvos de diferentes fabricantes para, 2, dsminuit a difcutad la hora de configurar une red, Cabe mencionar que, en la actulided, cada vez eisten mas dispasitvos con funconaldades de red, porlo que es un senco con gran potencal a futuro Los dispostivs capaces de manejarse con UPnP son detectados y configurados en forma automatica tal y como lo realizan los sistemas operativos con los periféicos conectadas al USB. E protocclo UPnP utiza el puerto UDP 1900 y TCP 2868, , para realizar el direccionamiento de los equipos, cada dispositive debe implementar un servdor DHCP y buscaré un nuevo servidor DHCP en oto dispositive; in fo encuenta, se autoasigna tuna diteccin I y se presenta ala ted como tal con todos sus servicios y nombres. Dentro dela configuracién del routes, veremos una tabla donde no podremos confgurar nada, slo \isualizaremos los dispositive ulizando el protocoo, y los puertosy senvicios asocados a & En cuanto a la cuarta altemativa, contamos con una caacteristica denominada DMZ (DemilitarizedZone, zona desmiltrizada) que especitica una zona o red entre a red internay la red externa, y funciona @ mado de intermedi. El objetivo de la DMZ es ‘que las conexiones desde la red interna y la red externa estén permitidas in ningin tipo de resticciones,y que la conexiones desde la DMZ solo estén permitidas 2 la red extema (Intemet), asi los equipos dentro de la DMZ no se pueden conectar con la red intema Esto les permite brindar servicios ala red externa, pero aislindose de los equipos dela re interna, Trabajaremas con los equipos dentro de a DMZ para impedit «que los intusos tengan el contol sobre fa red interna, ya que no tendran posiilidades de ingresar La DMZ se utliza en especial para servidores, ya que solo requieren ser accedidos remotamente y obtener sus servicios sin a necesidad de ingresar en las redes propia del servidr. En nuestros routers utlizaremos esta opcién para aislar nuestra computadara principal y poder ingresar en forma remota para so personal; la configuramos simplemente ingresando la dlieccin IP que formars parte de esta ona. El dsposiivo que asignemos deberd tener direccin IP fia para poder curplr con el requerimiento basi Para terminar Cuando hemos configurado el router segin para qué lo rnecesitemos, procedemos a guardar las configuraciones y reiicir el dspositva. Para comprobar el funcionamiento 6ptimo,utiizamos aplicaciones, pensadas pra determinados purts (0° efempl clientes de P2P, en los que es necesario que le asignemos puertos de entrada y Salida para establecer la conexién); si la conexion se realiz6 ssatisfactoriamente, podremos dar por finalizada la configuracién. ‘woew.redusers.com fi]TECNICO EN REDES ¥ SEGURIDAD | 10 © Evolucion de los routers Funciones multimedia Soporte para DLNA, IPTV, optimizaciones para VoIP y video Full HD. Servicios integrados Puertos WAN redundantes, Pees = Barer Sy conexién USB y 36, Wi con WPA y WPA2, - Comunicaciones avanzadas gy Soporte para VoIP, redes inalémbricas con seguridad basica y UPnP. Funciones adicionales e, Administracién remota, VPN y firewall integrados. Enrutamiento simple de informacion vp iF Los routers primitivos sélo se limitaban a encaminar los datos de un host a otro, Bt Peres© Protocolos UPnP Esta familia de protocolos permite que los dispositivos que se conecten a una red hogarefia puedan ser utilizados casi de manera instantanea sin ser configurados. PrP ese diminutio de Universal Plug and Play, una familia de protocolos de comunicacin que permite que computador, impresoras, bridges (dspostves puente), puntos de acceso inabrcos,dispostivs méules etter, descubran otros dispsitvospresentes en una red, de manera de poder establcery compartir servicios y datos Esta disefiado princpalmente pare entonos hogar sta tecnologia est basada en la tecnologia de perifricos Plug and Play en fa que, una ver conectado un perférico (mouse, teciado, ete) @ una computedore, puede comenzar a operar sin configuracién previa alguna, Redes Sitrasadamos este concepto al dbto de redes, se puede definir que son dispositvos que na vez que seconctan ‘una red de computadoras, comienzan a comunicase con atos dspostos ya intercambiar informacion sin la necesidad de ser configuados con aneriordad Esta tecologla soporte los medios de vanspote de datos més comunes, como Ethernet, IDA, (puerto infrarrojo), Bluetooth y WF. Funcionamiento Como primer paso, ada dispostvo UPaP buscar un seridor DHCP en cuanto se conect por primera ver 3a red. Deno exist ringi servidor DHCR, el cspostvo se asign autométicamente una deccin I Una vez que un dspositv ha estab una dreccin Il iguiente paso en UPnP ee descubsienta. Este permite alos disposes que acaban de conecase a una red anucier sus seis als puntos de contol pesentes en la ed Cuando un punto de control descubre un Cliente Multimedia Control Multimedia clspositiva, obtiene poca informacién sobre él. Por este motivo, debe obtenet, 2 través de solicitudes, informacién sobre sus capacida des para poder interactuar ‘AL obtener la descrpcién del dspositivo, el punto de control puede manipular los servicios intercambiando mensajes. De festa manera, al invocar acciones en los servicios de un dispositva, este responders on un mensaje de control con los resultados dela acién, de forma similar tuna llamada a una funcsn. Los efectos dela actin, en caso de ex se modelarén mediante cambios en las \atables que desciven el estado del servicio 1 itimo paso en UPnP es la presentacién Siun dspostvo posee una web de presentacién,entonces el punta de control poss hacera visible en un navegador y, clependienda de las cractersticas de ei, perma un usuario controlar el dspositvo ‘consulta su estado. El nivel de contol Servidor Multimedia presente en un cispstvo dependeré en aren media de a ratraeza de ese y del credo deinteractvdad que se encuenve en laineraz de presertacién. Voie ea ‘www redusers.com‘TECNICO EN REDES ¥ SEGURIDAD | 10 © Qué es la tecnologia QoS Se utiliza para priorizar la transmisién de ciertos paquetes ‘ por sobre otros, de manera de dar respuesta en tiempo y forma a comunicaciones que asi lo requieran. ‘uando hablamas de calidad de senico, nos refers a tiempo que demora un paquete de éatos en vejar desde el emisor al receptor através de una red ‘onmutada de computador. Este tiempo eberia pode ser previsto de antemano con cet nivel de aproximacion, oscilando dentro de un rengo de valves deseabes con ua tleancia dfinida. Elvaloraceptabie de tiempo para un paquete de dates varia dependiendo de si estamos transitiendo video, audio 0 un archivo cualquiera Para steaming de audio 0 de vdeo (na lamads a través de ‘type pr ejemplo, as tiempos de demora deberan sero suicientemente pequeros coma para no producr corte durante la reproduc (tenendo en cuenta que la reproduc tine lugar a medida que van arbando fs paquete a destna no se espera a que el archivo esté completo), Los siguientes problemas atentan contra luna calidad de servicio aceptable CALIDAD DE SERVICIO SE REFIERE AL TIEMPO QUE DEMORA UN PAQUETE DE DATOS EN VIAJAR DESDE EL EMISOR AL RECEPTOR. Paquetes a la deriva En muchas ocasiones, el router no encamina ppaquetes porque, cuando ests legan hhasta él, se encuentran con que el buffer de direccionamiento esta leno. En estas stuacones se toa impose determinat P2P: Cola 4 ‘wow redusers.com co se va a comportar la red con estos Paquetes. Seguramente el receptor le Preguntard al emisor por la informacion, y ‘este timo deberé retransmit (l no poder determinar qué ocurié con ela lo que ‘ocasionara retards en la comunicacin, Retardos En determinadas ocasiones, puede que los paquetes tomen la ruta mds larga de las posites hacia el destinatario, petmanezcan un largo tiempo en cola hasta ser drecionados 0 eviten rutascortas para ear congestionamiento, lo que perudica los tiempos de transmisén. Cuando ls retards Son excesves, as aplicaciones de VolP pueden queda inutlizadas. Jitter ‘Se denomina jitter a la vatiacién de longitud de los intervalos de tiempo que demoran los paquets en ger a destino. Cuando un paguet lega demasiado pronto o demasiado tarde, se requiere de un buffer y de procesamiento para normalizar los intervalos de tiempo entre paquete y paquets, de al manera que sean -constantes (invariables en el tiempo). Este rocesorento extra genera tiempo de retardo. Un retardo entre paquetes que varia impredeclemerte en su postin en las colas de direccionamiento de los routers afecta la calidad de! flujo de audio 0 de video. Paquetes desordenados Para vansritinfomacin etre ds nods, se dviden os datos en paquetes que poseentun orden secuencaly elo envaen ese orden Lo ideal es que los paquets lguen al destnataro en ese orden, peta, pro general eso no ocure. Los paquees pueden tomar utes cferentesylegardesordenados a destino, La solution adcho problema require de un protocolo que posbilit reoxdenar los paquetes para que llequen 2 destino tay ‘como fueron transitdos, Otros errores En certes ocesones, los paquets cambinan 0 se subcivden para atravesar tramos de red de dso ancho de banda ¥, luego, no retorman a su estado novmal ‘0 pueden corromperse. El receptor debe detectar estos problemas y soicitar su retransmisin en un tiempo relativamente corto como para no perjudicar la performance de todo el fo de datos, QoS Qos (Quality of Serve) 0 Calidad de Servicio es una tecnologia que garantize |a transmision de datos en un tiempo predeterminado. Permite aumentar la cepacided de une red pera brndar un buen Servi, s determinate en ls trensisén de auc y video. E proyecto europgo MedeasPlaNets cine un sti comin de priridades pare ercarinamiento de ppaquetes de datos dentro de un ecosisterna de red, en donde conviven aplicaciones: con restricciones estrictas de tiempos de transmision y aplicacions cn resicones de tiempo de transisin més reljades 0 nulas. En dicho listado, se especifican las siguientes clases: > conversacién Pose la més alta prioridady requesmientos de menor tempo de retardo y ter De esta manera, se busca que fy de datos no suf interupciones > Streaming Comunicaciones de video o audio. Requerimientos intermedios més _aproximados a los requerimientos del nivel superio. > Servicios interactivos Requerimientos intermedios mas ‘aproximads al nivel inferior en a jerarquia Aplicaciones secundarias Posee la mas baja prioridad y permite mayores tiempos de retard y ter Los paquetes dentro de esta categoria son mas proces a esperar argos periods de tiempo dentro de las colas de ruteo cuando el trafico de gaquetes de jereruias superiors es grande @ incluso son mis proces ase retransitidos cuando se produce el tréfico antes mencionado. Dependiendo de qué prioridad se especifique en el paquete de datos, los routers imlcatos en su encariamiento debian este su drecconaiento con mayor o menor ceeded. mayor benefcio que nos otorga Qos es la posblidad de Cake de anterano el mcimo etardo de tiempo y ter de una comunicacin, y poder establecer medidas preventnas frente a un imprevista, Para poder implementa QoS, ‘todos los routers dentro de una red deben estar configurados para asignar priordades de ruteo alos paquetes Con QoS también podemos administrar ef ancho de banda de una red dividiéndolo para cade usuari, de manera tal de asegurar na velocidad de transferenca del canal constante y evitando que un usuario consuma todo el ancho de banda. Antes de implementar Qos, debemos asegurarnos de que todos los routers de nuestia red soparten esta caracteristica, ya que su inclusién dentro de la funcionalidad de un router puede cdepender de la marca y del modelo m SCOTS Een Hit www. redusers.comTECHICO EN REDES Y SEGURIDAD | 10 © Alternativas : e firmware El funcionamiento dptimo de los routers convencionales esta limitado a las caracteristicas establecidas por el fabricante; aun asi podemos mejorarlas. entto dels postdades pare configura outers basicas que nos pemiten arma redeshogatetas, rinlplmente, donde asignaremos: parémetros de funconamient, seguridad, encimiento, puertos de entada/salida ycapaccad, ‘entre otras. Sin embargo todas estas altematvas estan liitada a fo aque el fabricate ha estbleci como variables modiicabes Esto quiere dec ue el febrcante establece un fare cone cule cupo funciona lmtandoe poten del demasiads problemas aa hoa de Pero esto no signa que el equipo pueda funciona dricmente con estos valores gual en algunos casos la adeptacion se _cumpli tant el fabian de hardware pretends. Pensemos en que cer daderomalestar Recordemas como el admiitador de eds. ‘equipos de distintos fabricantes funcionan que funcionalmente los routers debe ‘bajo un mismo abanico de funciones ‘cumpiir con normas intemacionales, en Controladores utizand hardware sila sn barge, las que se especicn algunos pametos clador del outer que permite no podemos configurarlos exactamente ‘limites de funcionamiento que deben establecer estas altemativas es el en particulary que puede ono estar Fs adapta para maxima el poten Caer deltoutec En el tite dl omer, alunos fabicantesutizan lo mismos ee re eee en los que el ic elemento cferencial tes torna u Fee eR CTERM Existen civersos grupos de personas Se eee Ru EMM alrededor del mundo que no pertenecen a eee one ee eee los equipas de desarrollo de las empresas iniciemos y aseguremos que el equipo funciona perfectamente aque se dedican (en algunos casos simplemente por habbie) a estudiar estos www: redusers.comfirmware y modificarlos para que nosotros tengamos la posibilidad de utilizarlos en nuestros equipos. Firmware alternativo Ls routes son fabricados para cumplir funconesespecicasdejando otras habiltadas pero no configuables; estudiar Ya:maf Custom Firmwares (fiemware alternativos), nos permite poder utilizar estos segmentas del hardware no ‘aprovechado y manejarlo segin nuestra verdadera necesidad. Por ejemplo, exsten algunos modelos en los que no podemos modifica purtos NAT (fundamental para videojuegos y conexones P2P), pro aun as estos puerts exten Estos firmware modiicados son conocido ‘como firmware alternativos. Cuando -contamos con estos, dependiendo de la modicacin de cada caso, o de la mejor, Podremos optimiza la seal, aumentar el ancho de banda, establecer canales, mejorar yhabiitr otras frecuencias ‘© manejar datos que, de utilizar el firmware de fébrica, no podriamos ya ‘que, por diversos motivos, el fabricante ha determinado estos parémetros para ‘equipos profesionales, eliminando el acceso a ellos en equips de gama baa. Opciones En Internet, podremos encontrar diversos tigos de firmware atemativos que son de acceso gratuito y utilzados en todo el mundo. Es importante siempre buscar firmware estables, ya que encontraremos versiones experimentales 0 poco probadas que podrian provocar que el equipo no funcionara, Uno de los routers mas estudacos es el Linksys WRTS4G ya ‘que, ademas de su alta presencia en redes inalmbvicas el fabvicante liber el edigo de su fimware pare que los desaroladores puderan modficario a gusto. Existen Proyectos realzados para modifier este y tro eispstvos. Tomato Es un firmware pequeoylviano basado en HyperWRT (Core Linu) utlizado prinipalmente para equiposconstrudos an chipsets Broadcom, Utliza una interiaz web intuitvabasada en AJAX y un monitor de uso de ancho de banda muy convenient; permite una mejor gestion de paquetes y accesos; establece nuevas funcionalidades tales como WS y modos de cliente wireless; aumenta los limites de méximas conexiones P2P: nos permite corer scp personalizados y manejarconexiones externas, entre otras caractersticas. Este firmware maximiza las funcionaldades de estos routers hasta les capacidades maximas del hardware. Sin embargo, no es absolutamente compatible on todos los equipos. En a pagina oficial (wow polarcloud.com/tomate), existe Ln stad de equipo cispoibles para realzrles el upgrade atemativo OpenWaT Tenemos un fimwvare basado en Linux, personaizable y destinado a usvarios avanzados.Se utilize y maneja mediante leas de comando, pero ademés posee ‘opciones funcionales en una interfaz GUI beasada en paquetes de LUC y XCRT ‘OpenwArt permite acualzarse sin necesidad . de recopiar una imagen de firmware completa; esto nos permite modifiar el programa a gusto y levantarlo can mayor faciidad. Fue dseiao este firmware para conseguir mejorar routers hogareis de equiposaltamente configurables para usuarios experimentados. Un lstado de equipos compatibles se encuentra en heep://wikl ‘openwrt.org/toh/star.TECNICO EN REDES Y SEGURIDAD | 10 Gargoyle Este firmware esta basado en OpenWRT pare equos con chipset Broadcom y Atheros, en especial, para eauipos Linksys WRTS&G, routerAsus NetGear WNRBSOOL Erie ls eras, encontramos la posibidad de monitorear el ancho de banda y ital estableciendorangos de archo de bands par ireciones IP especticas RouterTech Firmware mantenido por un grupo de personas que trabajan sn fines de lcro pare mejorar el funcionamiento de equipos con platform T1AR7"RD.Exste un lista de equipos compatibles con este firmware que se encuentra disponible en la pagina oficial (mwwsoutertech.org/ faqifirmware/compatible-router) 35 como as principles caracteisticasy un foro exclusivamente dedicado 2 esto. Sveasott Uno de os primeos en modticar el fmware basado en Linksys WRTSAG, Ene sus caractersicas principales, permite mejrar la goteria de vansisn de la seal desde 28 3.251 miwats,aumeando ls canals de 11 14 incuyerdo soporte pra QoS, WO, bridging inalémibrico, PPTP y redes VPN, y sopores Ii Posee diversas versiones conacdas como Satori (entre sus proyectos, el primera basado en Alchemy bastante inestabl), System ‘Bandwidth Quotas Alchemy (su release més actual y piblico, que ha sido adaptado por gran Cantidad de usuarios), Talisman (es su proyecto o version mas actual, que se distribuye a vendedoresy suscriptres; se especializa en VolP y servicios VPN). Otras opciones Existen ots mvare expeimentaes basados en OpenWR, eles como X-WRT (aa extensén de OperVRT que brinda paguetes de parches que lo proveen de una interfa de web y también acceso reroto de adinsiadoes sn el uso de a consola de lineas de comando), DevWwRT (incuye la versiin de Debian embebida en ¢l fimare del router y todas ls ventajas de configurar el router mediante lineas cde comando; na poseeinterfaz web), Free WRT (oroyecto experimental avanzado de Open) ‘DD-WRT Uno de los principales firmware para routers witelss es el OD-WRT, que es muy uilizedo ya que ha sido estudiado durante aos y probado en numerosos equipos demostrando su estabilidad y funcionamiento, El firmware corre un rminisstemea operativo basado en Linux (licenciado GNU v2) y soporta mas de 200 equipos de diversas marcas y modelos. Existe mucha dacumentacon sobre este, su desarrollo es muy avanzado, al punto «que algunos fabricantes lo incluyen como firmware oficial (Buffalo Technology entre otros) DD-WRT comenz6 modicando el fimware oficial de Alchemy de Sveasoft, en el que se comen26 con la imejora de los firmware oficiales de Linksys. A pati dela v23 de DD-WRT, se uiiz6 como base de OperiWRT, para terminar escibiendo firmware propos. Todos estos programas surgen sobre la base e Linux ye fueron expandiendo a otros Projects también de cédigo abiet Con la inejra del cdga, se busc6compatbilizarnuevas tecnologia que fueron suriendo «on el ps0 de os aos tales como la inside redes Kai Pv, WDS, RADIUS, (aS, potencias més elevadas que as convercionales entre otras LOS FIRMWARE ALTERNATIVOS MAXIMIZAN LA CAPACIDAD Y UTILIDAD DE NUESTROS ROUTERS, EXTENDIENDO SU VIDA UTIL. Entre la principales caracteritices del DD-WAT (que a su vez, caracteriza a ‘todos los anteriores), se encuentran: > 13 domes configurables (¢ incluso actuaizabes) 1 802. 1k EAP (Extensible ‘Authentication Protocof)encapsulacion sobre LAN > Restriciones de acceso con lmitacén de ancho de banda > todo Adhoc (presente en los equipos, pero no configurable de fabrica) > Afterburner > Modo de Aislaiento de Clientes > Modo Cliente (soporta makiples clientes conectados) > Modo Cliente WPA > DHCP Forwarder (udhco) > Servidor DHCP (udiep 0 Dnsmasq) > DMz (Zona desmiltarizada donde los proveedores asignan puerto libres cle “controles”, ideal pare juegos y conexiones P2P) > DNS forwarder (Onsmiasq) > DNS Dindmico (OynDNS, 120, ZoneEcit) 1 Portal Hotspot (SputnikAgent,Chllspot) > Soporte para IPv6 (acualz6 y renové el valor de routers antiguas) > Fes2 > Soporte pata Tarjetas MMCISD (solo ara el caso en el que los routers posean hardware utlizeble) > Cente NTP basado en arquitectura dlientesenidor > Port Triggering > Port Forwarding (como maximo 30 entradas) > Administracién de Ancho de Bands Qos (Optimizado para Juegos y Senicios de Red / Méscara de Red (Netmask)/ MAC] Prioridad de Puerto Ethernet) » Clasificados de Paquete Qos 17 (ft) > PTP VPN servidory cliente > Estadisticas Remotas con Ntop > Syslog a servidor remato > RFlow/MACupd > Enrutamienta: Entradas estéticas y Compuerta(Gatevay), BGP, OSPF & RIP2 via (BIRD) > Samba FS Automount 1 Antena Rx/Tx (eleccién 0 automtca) 1 Muestra el estado de ls clientes inalémbricos y WDS junto con el indicador del tiempo en ejecucin del Sistema! Utizacion del Procesador > Sitesurvey > SNMP > Servidor SSH y lente (drapes) > Scips de inicio, cortafuegos y apagado (Startup script) > Asignacin de diecciones IP estaticas via DHCP > Estilo (Gul Cambiable: v.23) > Soporta nuevos dspostios (WATS4G 1V3,V3.1, V4, V5 y WRTS4GS V2.1, V3, Va) > Servidor Telnet y cliente > juste de potencia de transmision (0-251mW, el predeterminado es 28m, 100m es seguro) > uPne > VLAN > (lente Wake Ontan (WOL) > Supervisor de conexién WOS > Modo Repetidor WDS > Clonacio de drecciones MAC inalémbricas > Fitrodo de dreciones MAC inalémbricas > WWNIM (Wi-Fi MutiMediaQoS) > WPA sobre WOS > WPA/TKIP con AES > wea > Xbox Kaid Adaptacién Seguin la dase de equipo, podremos adapter nuestros firmware aterativos y probarls tratando de maximizar su uso. En algunos casos, se nos presentaran redes donde est limitado el uso, en las cuales no podremos cambiar los equipos que la controlan, aqui podremas escoger entre diversas atematvas de actualzaciones ¥, a8), proceder con la mejora. Sin embargo, debemas tener muy en caro que, al poder modifica los parémetros de funcionamient,incuriremos en los riesgos de una incortecta configuracién, Por lo que debemos estar muy seguros de los cambios por realizar. Al poser caractrsticas avanzadas, tendremos fa capacidad de idearredes potentes y segues, pero seturando al equipo en algunos casos. Para cada ispostvo, cist capacdades méximas en el mata, ¥ un uso extrem eleva su temperatura y su desgaste que devolveria un efecto contaio a buscado Si adapta el firmware, adaptamas el hardwste.m www redusers.com‘TECNICO EN REDES Y SEGURIDAD | 10 Instalar y configurar El firmware DD-WRT reemplaza al firmware instalado de fabrica en un router hogarefio, agregdndole algunas funcionalidades extras. Pg rr Saag : etre tases Ce Aguardaras a que el router nice cde manera inalémbrica para ac tualizrle, ebemos desactivar 0 segundos la conesion Wi-Fi de nuestra mare con n CConectamas fa alim econ web computadora para asequrarnos ofl es: wwrw.dd-wat, manteniendo presionado el botin de que solo nos encontramos ccom/site/index. Reset por otos 30 segundos. conectades por cable 20 | wor.raduser.comato sequido, ros conecamas al fimware de ‘brie que posee router Forlo genera, as deccones IP mas utilizadas por defecto son 10.0.0.1, 192.168.1.1 0 192,168.01 I usario por efecto pare pode eaiza a PROFESORES EN LINEA profesor@redusers.com D> SERVICIOS PARA LECTORES usershop@redusers.com @ SOBRE LA COLECCION CURSO VISUAL Y PRACTICO QUE APORTA OS SABERES NECESARIOS PARA FORMAR TECNICOS EXPERTOS EN REDES V SEGURIDAD, NCLUYE ‘UU GRAN CANTIOAD DE RECURSOS DIDATICDS COMO INFOGRAFIAS GUIAS VISUALES PROCEDIMENTOS REALZADOS PASO A PASO. fil LBs Con la mejor metodologia para llevar adelante el montaje y mantenimiento de las redes informaticas y con los aspectos clave para brindarles la proteccién necesaria, esta obra es ideal para aquellos aficionados que deseen profundizar sus conocimientos y para quienes quieran profesionalizar su actividad. fi il — YPREDES |) ici CONTENIDO DE LA OBRA 1 introduccién alas redes informéticas 2 Tipos de reves y topologias 3 bispositivos de red 4 instalacién de reves cableadas ‘5 Puesta en marcha de una red cableada 6 Contiguracién de redes cableadas T instalacién de redes inalémbricas 8 ccontiguracién de redes inatémbricas seguridad en redes cableadas e inalémbricas 10 conFicuRACION AVANZADA DE ROUTERS 111 Recursos compartidos y dispositivos multimedia 12 Seguridad fisica de la red 13 impresoras de red 14 Hardware de servidores 15 Administracién de Windows Server 16 Administracién de sistemas Linux 17 Administracién y asistencia remota 18 servidores web y FTP 19 servidores de mait 20 servidores de archives e impresién 211 Servidores aticionales 22 Vian, ven y trabajo remato 23 Teletonia ip 24 camaras IP