INSTALA GUONg CONFI GURAGHION Y ADMINISTRACION =- =< matthertiammmenlanlites cmantt Agena $ 22-11 Nexo $48 Tecnico en SEGURIDAD En este fasciculo revisaremos el proceso de puesta en marcha de una red cableada. Configuraremos las interfaces de red y solucionaremos los problemas mas comunes.fb.com/R Sass Tecnico en &SEGURIDAD Coordinador editorial Nuestros expertos Pal Bucs Valentin licén José Bustos ‘Asesores técnicos Gustavo Cardele Federico Pacheca Rodtigo Chavez Javier Richarte Alejandro Gémez Javier Medina Gustavo Martin Mogle Pablo Pagani Gerardo Pedtaza Ezequiel Sanchez Curso visual y ricco Técnico en redesy seguridad es una pubicacion de Fox Andina en coed con Dalaga S.A. sta publcacién ra puede ser eproduia i en ‘dori en pare, por nngin meio actual futuro sine permiso previo y per excrto e FoxAndna A Distibuidoresen Argentina: Capt Vacar Sénchery la. SC Morena 794 piso 9 (1091), Gudad de Buenos Aes, Tel 411-4342-4031/0032; Inter Distrbuidor nterplzas (DISA) Pt, Luis Sens Pes 1832 (C1135ABN, Buenos Aes Tel 5411-4305-0114,Bolvi: Agenda Modem, General Acha E0132, asia de comen 462, Cochabamb, Tel 58144221414. Chile: META SA, Willams Role 1717 Rusia -Sariogo, Te 562-620-1700. Colembia:Disbuidras Unidas SA, Carrera 71 No, 21-73, Bagoté D.C Tel $71-486-8000. Eeveor: Dsandesisituidora de los Andes) Calle 7° Av. Agustin Free, Guayaqul, Tel $9342-271651. Mésco:Distibuidoa nema, S.A, de C, Lucio Blanco #25, Col San Juan Tihuaca, Mésico DF (02400), Ta $255 $2 3095 43 Poi: Distibidora Blvarana SA, hu, Replica de Panama 3635 pso 2 San sir, Lina, Tel 511 4812948 anexo 21. Uruguay: Esper 58, Paraguay 1924, Momeideo, Tel 5982-924-0766, Venezuela: Distibuidora Contnertal Bloque de Armas, Ee Bloque de Armas Piso 9, Av, San Manin, exe con final Ak, La Paz, Caracas Tl $8212-406 4250. Impeeso en Sevagra SA, mpreso en Argent. oppight © Fox Andina | MM —_ Técnico en &SEGURIDAD PUESTA EN MARCHA DE UNA RED CABLEADA Exe ace evsarons ol praca epee n marcha ene alent, Catgraenes sintered re Y uarenes los prablenas mis comune, Fe de erratas En el asco 1, pagina 11, la defncin de VLAN ceberia decir VLAN: sun tipo de ed LAN igo itu morta sobre una ed ca, cone nde increment la sequidady el rendmient. En casos especiales, gaa al potocola 802.110 tabi amas Qin), «s posible montarredesviruales soe redes WAN. Es importante no contr sta implementa con a tecrclogia VP. Técnica en redes y seguridad / coordinado por Pau la Budi, 1a ed - Buenos Aires: Fox Andina, 2013, 576 p.; 28x 20 cm. (Users; 22) ISBN 978-987-1857-78-4 1.Informatica 2. Redes. |. Buds, Paula, coord. cop 004.68En esta clase veremos La puesta en marcha de una red cableada, asi como también todos los detalles y las consideraciones necesarias para que nuestra red funcione sin inconvenientes. a AAT En la clase anterior vimas los consejos para enfrentar la plarificacion y la elaboracin del presupuesto de una re cableada, Clase A: 10.0.0.0 a 10.255,255.255, > Clase B: 172.16.0.0 a 172.31.255.255, 16 redes clase B contiquas, de uso en universidades y grandes compatias. > Clase C: 192,168.0.0 a 192.168.255.255, 256 redes ase continuas; son usadas en compaias medianas y pequeias, ademas de por pequefios proveedores de Internet (SP)Las direcciones privadas se pueden utlizar junto con un servidor de traduccién de ditecciones de red (NAT) para suministrar conectvidad a todos los hosts de una red que tiene retativamente pacas direccones pablicas disponibles, Segin lo acordado, cualquier trfico que tenga una direccién de destino dentro de uno de los intervalos de drecciones privadas no se enrutara a través de Internet, Enrutamiento &l enrutamiento es un mecanismo mediante el cual los paguetes de informacién se encaminan desde un origen hasta un destino fina, siguiendo una ruta através de la red, En una red grande o en un conjunto de edes interconectadas, el camino que se sigue hasta llega al destino final puede supone transtar por muchos nods intermedia. La calidad de una rut se mide a través de indcadores 0 mévicas tales como: distancia, retard de transmisin,cantidad desaltos (eomentos entre routers), et; una combinacién de estos pardmetrs le permite discerir a un router la mejr ruta en un instante dado para el envio de un paquete DHCP Esun protacole de red mediante el cual los dsposiivos conectados a una red TCPAP obtinen sus pardmetros de configuracion autométicamente. Estos pardmetros son dreccién IP, mascara de subred, direccion IP de la puerta de enlace que ‘os comunica con otras tedes, dreccin IP de un servidor de traduccion de direciones de dominio o DNS, que traduce direcciones IP en nombres de dominio, de tipo clientelservidor, en donde un servidor posee una lista de diecciones IP dinamicas @ Propiedades de Conenion de banda ancha movil? Furcores de [Uso sna] Conmcta usa: {HUAWEI Mate Connect 36 Netw Cad 2 (onioan Ea corona sins dent 1% A Cie odes Merch ¥ constr mrs arctic piece Meat ws Poe en veri 4TCPAP Irate Dest dade Desaibcin Froocclo TCPAP. I pctodo dered doe etnca Fedeleanoco que perv lacomuricanen ee vaiat feces coecads ee ‘las va asignanda alos clientes conforme se vayan conectando y si existen Asignacién manual o estética:asigna una IP 2 una méiquina determinada,Suele utlizarse cuando se quiere controlar la asignacin de ddveccin IP a cada cliente yevtar que se conecten cientes no identificados, > Asignacién automatica:asigna una IP de forma permanente la primera ver que hace la soictud al servidor DHCP, hasta que se liber. > Asignacién dinamica: es el Unico método que permite le reutlizaclin dinamica de las direciones I.E! administrador de la red determina un rango de IP, y cada dispositive conectado esta configurada para solictar su diteccin al servidor cuando la tarjeta de intefaz de red se inicializa Direcciones estaticas y dindmicas Las direcciones IP estticas se utlizan, generalmente, en seridores (web, DNS, FTP, et) o enrutadores, para facta fa ubicacién de estos equipos dentro de una red. De otra maner, cada dspostve de usuario final aque requiera comunicarse con uno de ests dispostvesdeberiaubicarlo, previamente dentro dela red, y esto afairia complejidad innecesaria, ‘Ahora bien, puede ser que, dentro de una red, cantemos con una cantidad de dreccones IP disponibles menor que la cantidad de cispostvos que desean conectarse a ella ise asigna una IP fia a cada dispositive, quedarén algunos que no padrénutlizar a ed. Con a asignacién de IP dindmicas, slucionamas este probleme, siempre y cuando todos los dispositios nunca se conecten ala re al mismo tiempo. Un sewidor DHCP nos permite i asignando cirecciones a medida que los dispositves se van conectando y, luego, retrarlas cuando se desconectan, para que asi queden disponibles para otros, mTECNICO EN REDES ¥ SEGURIDAD | 05 © Resolucion basica de problemas de red No existe un mecanismo tnico para detectar fallas; solo la combinacién de herramientas y el conocimiento especializado del técnico haran la diferencia para ubicar los posibles errores. rente @ una desconexién de la pponga en linea otra vez y cor aSino recibimas ningxin lega un nimera menor qu ¢ Cable UTP el cable Ure or oto que funcone yoradeles ‘Servidor DNS en caso de encontramos correcta emos acceso a Intemet, se debe a que fl Aispositivo a través much e un co buena. Porlomenos En lo sufientement bers tene gamos IP asignada, problemas, podemos, simplemente, la ireccién IP de algun stio b conocido y ej enelmedio ya sea manual oestatica, debemos carla di in del router, ue el comando mover el router Wi-Fi a una posicén ser siempre fia, y comprobar que ping www.google.com. Con las cuatro en donde a intensidad mejote o, nsw exita una ruta para aleanzarlo. Par est, as insatisfactoras, ejecutamos defect trasladar la computadora para _ejecutamas el comando ping de manda: ping 173.196.42.23, Silas mejorar dicha magnitud, Sila pasicié consola, ingresando ping 192.168.0.1 _respuestas son satisfactrias el servidor deuno u otro dispositive nose puede (ging yladireccin del router). El sistema Wind las direccines IP contemplemos la posibilidad de enviar cuatro paquetes de datos y nfigurarla covrectamente adguiir un router Wi-Fi més potente ylo_esperara una confirmacin de recepcion to, apuntara otro servidor. ‘on una mejor antena, cambiar la antena por cada uno desde el router. acuses de reco, dela placa de ed inalémbrica por trai recibimo cde mayor ganancia, en caso de que sea significa que existe una ruta entre router pesible,o tomar amibas medidas. esta compurtadora, Si no recibimos no, puede sigifcar que el prablema tiidas'de taco), EN GENERAL, LAS REDES HOGARENAS SUELEN ADOPTAR UNA TOPOLOGIA DE ESTRELLA Direccién IP Supongamos que el problema persist entonces debemos verfiar si tenemos ura direcién IP asignada en de que lade ia intertaz dered sea dindmica, Para hacerlo, ene Windows existe el comando ipconfig / all, que ejecutado en la consol, nos permite consultar los valores actuales de los parémetros de la interfaz de red Sino tenemos dreccén IP, debemo: comprobar que tenga instalado l protocolo TCPIPy, luego ingresar en el el dispostvo ser dor DHCP y configura waTECNICO EN REDES V SEGURIDAD | 05, © Introduccion a los sistemas de red En la actualidad, la mayoria de las personas est conectada a una red informatica. Las politicas de seguridad de los sistemas de red nos ayudan a minimizar los riesgos. 42 palabre seguridad, en el mbito informstico, suele utiizarse para medi el nivel de ausencia de riesgo asoclado a un elemento, Esta ausencia nunca es total (n0 existe nada completamente seguro) sino que varia, en mayor o menor medida, dependiendo de las acciones que tomemios para minimizar los riesgo. Con enacimiento de las redes informatica se torn sencillo hecho de compartir informacion entre organizaciones yo personas fiscas, con los diversos peligros de inseguridad y ftracién de informacién que esto puede conilevar Toda informacién prvada, a diferencia de la pblia, se crea para un destinatario o destinatarios en particular, empresas, gobierno, ambientes académicos, ete. Pero las redes permiten ef acceso a toda persona u organizacin que esté conectada Es por es0 que, come creadores de informacion privada, deberos tener el control sobre el acceso para impedir que la red se utlice on propasitos contrarios a aquellos para los que fue concebida, 'No solo debemos consderar como riesgo el robo de informacion yu modificacin o falsifcaciin: el bioqueo de informacién a personas autorizadas también constituye un riesgo. Servidores DHCP/ RADIUSIOTPIPKI = ‘worw.redusers.com Equipo inalambvico con EAP y TKIP es~< Punto de acceso auténoma con EAP y TKPLa seguridad de una red no debe basarse en una medida concreta, sino en un conjunto deellas, de manera de cue si una falla, las demas se encuentren activas y eviten 0 reduzcan los datos. Debemas evtarataques tanto internas como extemos. Cuentas de usuario ‘Ahora que ya hemos defini el concept de seguridad, vamos a escribir uno de los aspectos mas importantes, que es gestiona el acceso de los usuarios. £1 mecanismo més extendido para vaidar ..un usuario (saber que el usuario es quien dice ser) esa través de ‘una cuenta, que implica que el sueta emplee una contraseia solo conacida por él para utlizar un nodo o elspositiv de la red, Una manera de evitarnegligencas es implementar la renovacion de la contrasefia cada certo perodo de tempo, con e fin de evitar que c2iga en manos de usuarios no autorizadoso, en todo caso, que ls efectos de la amenaza sean temporales sino es descubierta Cada cuenta de usuario deberia de tener privilegis asaciados sola ala informacion relevante pare ella Control de acceso El control de acceso por grupos de trabajo es un mecsnismo simple y bastante eficiente para redes hogarfias, pero en redes. de mayor envergadura al ser de natualeza descetaizada (porque el control se ejrce en cada nod}, presenta srias clesventajas. Todas las computadoas de una red san potencialmente vulnerables y contituyen posites puntos de 3cceso no autorizados;ademés, as moficacionesrealizadas son aifcles de sincrorizar en todas os nodos Eluso de dominios (Active Directory pata Microsoft viene @ resolver este problema, Béscament, un dominio es un conjunto de computadoras conectadas en red, de las que solo una, clenominada Servidor de domino, se encarga de gestionat ls suatosy ls prilegios que ests poseen Migracién de usuarios igracion de usuarios es un proceso itn yes una buena oportunidad para coroborarymejoala seguridad de ura rd, Por lo general, sucede cuando ura red crece en mato ertonces, es necesari migra usuarios yrupos locals a svar y upes de dominio; © cuando se actalzaesitema operatv de as computador, ye migran usuarios y grupos de dominio a una tecnologia mas nueva, Lo ideal es migra, en un principio, solo fas cuenta actives, y dejar para un ans posterior y minicoso las nactvasobloqueaas También seria aconseablesoctates alos usuarios que renueven sus conrasefias.Debido a que este un proceso que suee extendere en tempo deberiamas ir QM THe NHC a een ecu Cee era rl) administracion de redes de computadoras De ee Cee as de una red. Los objetos pueden ser usuari grupos de usuarios, permisos, y asignacion Peg ee ce ccd Dae er eer) establecer politicas a nivel de empresa, een eT eercy Cree On te tc ace foro cee oe cee ee eee ots www.redusers.com‘TECNICO EN REDES ¥ SEGURIDAD | 05 desacvando as cuentas y grupos una vez que son migrados. Es importante conralar que la cantidad ye vel de privlegios de os usuarios se mantengan idémticos durante e proceso de migra, Les requerientos de aument de catia de privilegios ‘o.aumenta en el rive de ellos deen satisfacese en una etapa poster, analizanda cada caso en forma particular luego de verica (que ol nivel de seguridad de lard se mantine inmutable, Directivas de grupo Las dicectivas de grupo son una caracteristca de Windows NT, familia de sistemas operatios de Microsoft. Consttuyen un Conjunto de reglas o norms que contolan y delimitan el mbito de actividad de las cuentas de usuario Estas diectvas proporcionan una gestion cervalzada de coniguracon de sistemas opetatiosaplicaconesy configuracion de usuarios en un entomno de Active Directory. Las diectvas de grupo contol lo que los usuarios pueden y no pueden hacer, y su uso esté mas extendido en empresas y entomos académicos Son muy ates para implementar medias que tienden a imped ‘acciones maiiosas, como, pr ejemplo, oquear el acceso al ‘Administrador de tareas de Windows, resting e acceso a carptas de sistema, deshablitar la descarga de archivos ejectables, y oa. uso de drectvas de grupo implica una reduein considerable de costs ala hora de gestonarusuaios. Exiten dos tios de diectvas de grupo: > GPO (Croup Poly Object u bjeto de drectva de grupo) Es de naturalez cetrlizada. Para est tip de directv, ls nodes de una red acuaizanosinconizan su configuacon de Giretvas desde un senior cada cto period de tempo. > LGP (Local Group Policy 0 divectiva de grupo local) Es de naturaleza descentralizada, y representa una version més bisica del tipo de diectiva anterior, Restringe ls privilegios de usuarios locales y puede implementarse en combinacion con GPO, Opciones de configuracién Las diectivas de grupo local contienen menos opciones de configuracién que los objetos de directive de grupo, particularmente, en lo que se refiere a configuracién de la Sequidad. No admiten redecconamient de carpets instalacén de sofvare de diectva de grup los stemas Windows poseen un ecto de dectvas de grupo. ara accede al debemosir a Inicio y eecutargpedit. nse. ‘wwweredusers.com© La red hogarefia Satéite B: los equipas cuentan on el sevicio pata compartir atcivos impresoras. Es ideal ‘manteneilo activo para poder ‘compartir estos recursos. Sate A teemos que configs coda una de las PCS con el mismo nombre de stupo de trabajo, pare que puedan ompatirrecutss entre Sette F as PCs de escitoro dela planta baja se conec al rover WI por cable dered. ae :conviene ubicare|soifer W-Fi en un lugar neutral pare gue ‘todos los dspostivos omen seal. Batoice : la dreccion IP ie cadalna ce as PCs Las ‘outer Wi por medion cable ee. onto lamado patted Debemas considera las cuestiores Para ogra la distancia @ und@ez quetenemos los @ lo sumo, srs necesario ecicasylacantidad de metios enicelos__aeuada lo ideal es ‘ables pasados por el lugar _perfora las paredes con un equipos, No pademos pasar los cables dered implementar cable canal_ indica, deberos instlar falar para pasar ls cables pr donde pasan los elécticos, Ene ellos armurado alas paedesy—_laficha RS en cada. uno aca offas habitaciones en debe haber, al menos, 30.cm de distancia. pasar ele poral de los extemos dl cable, Je misma planta.TECNICO EN REDES V SEGURIDAD | 05, © Distintos tipos de switch Existen diferentes tipos de switch, los cuales se diferencian por las capacidades de administracién que ofrecen. La eleccién de uno U otro tipo depende del entorno de red que implementemos. swith, también denominado conmutador, un dispositive digital \gjco de interconexin de redes de computadoras que ‘opera en la capa de enlace de datos del ‘madelo OS, Se encarga de encaminar la informacion que vija por el medio de na red, en forma de paquets, hacia su lestine dentro dela misma ted Los switches se usan como concentradores cen redes en estrella y también se pueden tlizar para interconectardistintasredes conformando una topologa de rb, Estos dispostvesverfcan la drccion IMAC que se encuentra en las tramas cd red para digi los paquetes a destino, Podemos dasifca os tipos de switch desde dos puntos de vista de acuerdo conel método de dieccionamiento de los paquetesy de acuerdo con la capa del madelo OSI en que operan, Por el método de direccionamiento DDebemos tener en cuenta que los switches pueden ser clasificados segin el método de direccionamiento de los paquetes que circlan a través de él; de esta forma, encontramos los siguientes: ‘worw.rousers.com CTL mL > Store-and:Forward Guardan cada paquete en un bufer antes de diecconario hacia el puerto de sald. Dentro del bute el site calcula un CRC (valor de vetiicacin} y mide el tamafio de paquete.Siel CRC flla,o el tamafo del paquetees muy pequefo 0 muy grande, este es descatado, En coso contrario es encaminada hacia e! puerta de sald. Este método provee de un direcionamiento libre de ertores, pero introduce tempos de demora que son los empleads durante ls contoles. > cut-Through Fueron disertados para reduci as demaras, Leen los primeras 6 bytes de datos del paquete, que contiene la direccién de destino MAC, e instantaneamente lo dreccionan. El problema de este tipo de dispositivos es que no detecta errores. > Adaptative Cut-Through Este tipo de switch puede proceser paquetes en mado store-and-forward cut-through, El modo de trabajo puede ser activada por el administrador dela red o se puede dotar de a inteligencia necesaria al dspostivo para que él mismo pueda incinarse por una u oro métoda \dependiendo de las crcunstancias, Por esta rez, se presenta coma el tipo de switch mas vesatl para toda redPor la capa en que operan ‘tea forma de clasificar los switches de acuerdo con la capa del modelo Sten la que operan; asi, encontramos ios siguientes dispasiivos: > Conmutadores de la capa 2 Son los mas comunes en enternos hogarefos y funcionan como puente entre los dstntos dispostivos conectads Tenen como objetivo servir para divi redes LAN en forma fsica, Analizan las direcciones MAC de destino de los paquetes. Soportan miltiples transmsiones simulneas ent los nuevas lsd enutamiento, disposes conectados verficacién de a interidad de! cableada y soporte a fos prot UN SWITCH ES deruteotradicionales (AR OSPF, ec) También brindan soporte para a UN DISPOSITIVO Iglentscer eee st DIGITAL LOGICO (VLAN, es dec, en forma lege, ¥ pueden llegar a soportar la n entre ellas sin necesidad EN LA CAPA DE de que haya un router externo, ENLACE DE DATOS 4 conmutadors dea capa 4 DEL MODELO OSI. Constiyen ina genera de ee tipo de dispostivos y no existe un acuerdo > Conmutadores de la capa 3 comin en cuanto a su denominacion Estos dispositivos son muy comunes en Algunos autores ls defen como entornos empresarales Nos proveen de conmutadores de capa 3+ (layer 3 plus) las mismas funciones de conmutadores Esta denominacién es porque poseen de cepa 2, ademas, incorporan otras__las mismas capacidades que un rivevas.Podemos citar como funcones _conmutador de capa 3, pero ncorporan QUE OPERA comunica Guia Visual Conector fo puerto RI-45, Oiecnmeen Oconee ss alimentacin eléctrica Panel de conexién de un switch comtin, con acho bocas o puertos RJ-45. la capacidad de establecer politicas de comportamiento yfiltrado de protacolos de capas superiores (capa 4 en adelante) ‘como TCPIUDR, SNMP. FTP, et. Luego de presentar ambas clasficacones, ale a pena acarar que enla actualidad lo mas comiin es que nos topemas con stitches que combinan dasfcaciones de ambas categoria, como, pr ejemplo, un dispositive de capa 3 que direccione los paquetes en modo store-an-forward De esta forma, la oferta comercial de dspositios responde a todas las necesidades de un administrador de red, por lo que solo precisamos defini os Fequetimientosespectcosy seleccionar l dspostvo que responda a lo que precsamas para imolementar la red. www.redusers.comTECNICO EN REDES V SEGURIDAD | 05, © Funcionamiento de DHEP @ cuando un dispositive que no tiene una dieccién IP asianada se enciende,intenta buscar un server DHCP presente en la red, mediante un mec @5 il servidor est cisponibie y en condiciones de responder ala solictud DHCP DISCOVER que recibié desde el dspostvo, Los equipos tienen sus propias cuenta de usuario, Para usar un equipo ingresamos con la cuenta almacenad > barca redes de, aproximademente entre 10y 20 equipos > Totes os equios deben compart la misma rd y subred: los que est fuera del rango de l red no serénvisbles, ae > Puedn ens lentas de equpos conectados la misma red Dominios > Los equipos pueden encontrarse en iferentes redes se interconectan En un dominio, un equipo a més se convierten en sewvidores, entre ellos por Internet o acceso isco. que administran y gestionan permisos, usuarios y seguridad. fxiste un administrador que gestiona y mane os niveles de Aun silos equpos estén bajo un grup detrebajo o un dominio, pueden seguridad. Oras de las caractersticas de un dominio son: _levarsea cabal tareas basics de intrcambiar informacion, compartir recursos o uti dspstvs remotos La cferenci reside en ls > Para ingresar en ls equipos ecesitamas una cuents de _implementacén de seguridad, donde e usuario esté mas conroado y ese ‘usuario en el servid sin importar desde qué PC se accede, __contralsecenraen menos equips, lo que aumentael nivel de prateccién. CT OSE re] (USEC nw redsers oom flTECNICO EN REDES ¥ SEGURIDAD | 05 © Que son los puertos logicos Desde el momento en que un dispositive se conecta a una red 0 a otros equipos, se utilizan puertos légicos para que el intercambio de informacién pueda llevarse a cabo; aqui los conoceremos. unas con otos a medios fseas 0 mediante protacolos de func de instrucciones dadas. Para que esto se lee a cabo se utlizan dversos canales por los cuales. ye la informacién; se los denomina puerta légicos, yson virtuales y numerosos. A diferen Puertos ldgicos Es posible defini al puerto loco como la zona de la memoria ena computadora que se correspande con un puerto fisico © canal de comunicacin, por ejemplo, una impresora asocia su canal de salida a un puerto de comuicacion especifico USB de la PC Este puerta proporciona un espacio ‘temporal de memoria donde se lojars ZoneAcanm »y (GJ Check Point geese ZoneAlarm’ Free Firewall 2 The Works most downloaded trewal software Ss ‘www-rolusers.comfa informacion por tansferir entre este espacio y el canal de comunicacién. En fared, ls puertos son valores que se asignan alas mitiples aplicaciones coneciatias a cada dispositive. Las, aplicaciones se conectan a Internet ‘mediante un puerto numérico asignado y reservado para él abrir puertos TCP/UDP. Este software Asignacién de puertos fue creado en 1996 por Hobbit y Sibien los puertos son asianados de _liberado bajo licencia de software litre manera attra alas apicaciones pata UNIX. Con el paso del tempo, fue algunos rangos de pueris estan adapado para Windows, Linux reservados por conveno a deteminadas ots sistemas. Actualmente, una aplicaciones consideradas de cardcter de sus principales funciones es la Se usa con el pardmeto y permite universal. Ciertos puertos son tiizados _depuracién de aplicaciones de redy __infnitas conexiones. para aplicaciones dave. Su uso poco étco como puerta trasera_ ure puerta abierto se abre como UDP. La ANA (Internet Assigned Munters sin autorizecén (backdoor) > v: muesainfrmacén del cone, ‘Authority, autored que asigna Algunos de Is comandos basicos > respuestas compatibles para sesiones de Tenet. nimeros de internet) ha determinado de NetCat son > q segundos: as haber recbid el EOF oe a entrada Ja asignacion de las puertos del 1 al de datos, espera los sequndosinicades para enviar, 1023, detallados en la Slacted Ports: abre el puerta para escucha > segundos: espectica un delay (tras) de tiempo Assignments. En la tabla adjunta (Lister) Acepta una Unica conexion para el envio recepcin de las lneas de texto. conoceremos algunos de eles. de un cliente y se ciea, kc fuerza a que el puerto permanezcs Recordemos que al cerar el programa, las Puertos arbitrarios abierto tras haber recibido una conexién. conexiones permanecen en funcionamiento. m Del 1025 en adelante, son puertos arbitrarios y no estan asignados a ninguna aplicacién predeterminada, een Algunos malware y otras aplicaciones son diseriadas para realizar ingresos € intecambio de informacién no a Protocolo Uso autorizados. A partir del puerto 1025, se los puede registrar ante la TANA. ” TCP/UDP bid para que sean reservados y de unico uso paca la entidad que ls prec. 2 TcRuDP ssi Todos los puerta san necesarios para comunicarse cone exterior, ant los 2 TePube Tenet légicos como los sco. Los puertos virtuale y fscos se dferencian porque a Tce a los primeros se enlazan vtuelmente con las conexiones TCP/IP mediante = ae EEE programas, ys segundos requeren recs tisicos para inerconectarse. 5 scpuve soe NetCat Los puertos ubicados desde el 1025 an peat Hasse en adelante, hablitados para usuario disponga de ellos, pueden ser Sal TCPIUDP ‘arson Tat Sari ‘manipulados mediante un programa llamado NetCat. Se trata de una 1: TCP/UDP POR herramienta de red que, a través de comandos simples (basados ene 118 Tepe 50 Series sistema operative MS-008), TSTECNICO EN REDES ¥ SEGURIDAD | 05 © Seguridad basica en redes informaticas Los sistemas operatives actuales son muy seguros, pero ciertas conductas de los usuarios pueden ponerlos en situaciones de riesgo. 1 forma predeterminada, Windows caga todos los senvcios relevant para su funcionamientoy los programas relacionados con &l indo, levanta senicios que na son necesaris (se instalan y ejecutan ‘tan cantdad de ests servicios, os cuales podemos necesitar ono dependiendo del peril de usuato). Esto quiere decir que, enla carga del sistema operatvo se activa un listado de servicios prepragramados que quedan residentes en ‘memoria ytabajan en segundo plano, con lo cual permanecen vulnerables a ataques debido a que algunos de ellos requieren el uso de puertes disponibles y acceso ala red. objetivo que persequimos es evitar que se actven los servicios {que no sean necesaios,identifcarios y aumentar la seguridad del sistema ante ol ataque de usuarios malintencionados. EL CONOCIMIENTO DE TECNICAS DE SNIFFERING NOS OTORGA HERRAMIENTAS CONCEPTUALES PARA PROTEGER NUESTRO SISTEMA DE ATAQUES EXTERNOS. Servicios Al identiicar ls servicios utiles y necesarios, podemos analzar el escenario de un posble ataque; esto quiere deci que imitaremos el argo de control necesario para que furcione adecuadamente (en cuanto a seguridad), Para realizar este procedimient apicaremas una sécrica amads hardening (endurecmientol en sequridad informatica, se refer al proceso rel cual reducimos al maximo las vulnerabildades dl sistema ‘operativ, Para haceso el administrador del sistema cfectia un conjunt de actividades que buscanreforar a seguridad La ténice consist principalmente en analizarycuitar software usuarios, servicios, permis, puerto, ec. Sin embargo, e importante aclarar que mediante el hardening no conseguiremas hacer nwulnerable al sistema en cuestin, ya que solo analizarems una de sus capas,y altars evaluarottos ‘wwwe-redusers.com 13 conto sure Gp pended indom crane vncen Ne ie 1 Sioa dt stern i Teme 1B ccs 1B Heres det stem ere reaaey T= comb factores para complementar la seguridad. Algunas de los servicios {que intercambian informacion con la red, y que en certos casos pueden ser deshabiltads, son los siguientes: > Acceso a dispostvo de interfaz humana > Actualizaciones automaticas > Adaptador de rendimiento de WMI > Administracion de aplicaciones > deinistracion de IS > Intemet information Server Modo promiscuo Enlas eds informa, los paquets son erviados con ura econ de destino en la que eespciica qui ls ena yquién de recios En el modo promiscug, ods los paquetes on -capturados, aunque no estén dirigidos a ese destino (normalmente, las computadorasdesechan los paqueles que no estan igs asu drecién, polo que abarcan todo el tfico de lared, Para activar el modo promiscuo, debemas realizar las acciones {que mencionamos a continuacién > Si tenemos un sistema Linux, abtimos una consolay escrbimos:ifeonfigcinterfaz»promise Usamas el comando -promise para quitar el modo promiscuo, > Si tenemos un sistema Windows, podemos utlizaralguno de los drivers o aplicaciones destinadas a moritorearla red, ‘como los que conoceremas a continuacio. Sniffers Para detecar las méquinas en mado promiscuo, eisten herramientas especias que funcionan mediante el env de paqutes que sola recfirén aquellos equipos que estén en ese ‘modo s importante par el administrador de sistemas conocer ef funcionamiento basco de las herramientas y saber ulizarias; por ejemolo,pademos mencionar ls siguientes: > Tepdump: es una de los snifers mas comunes. st cisponible para la mayoria de los sistemas basadas en UNIX y Linux, y forma parte del sistema base de OpenBSD, Trabaja con lineas de comando, donde podernos especiticar diversos patrones y protocolos. > Darkstaty traffc-vis: funciona como demonig, reclectando estalsticas sobre el uso de la red > Ethereal: sniffer con interaz gifica, con amplio margen de uso} identifica diversosniveles y contola los puertos al grado del detale,Prcticamente fue dejado de lado por Wireshark, la aplicaci6n que lo reemplaz6 por complet. > Wireshark: se trata del sriffery analzador de protocolos ‘més popular del mundo; s uno de los més completos y utiizados por usuarios avanzados en la actualidad SAAN Bloqueo e identificacion Los sniffers pueden usarse tanto para controlar la red frente a ataques como para robar informacion (los usuarios pueden tecoectar a informacion para uso propo) Si bien exiten hesramientas para astreat ls movimiento de paquets intercambiados ene as computador, lprocedimiento de boque eidetificacin sigue siendo un procedimiento manual ‘que se realiza mediante metedos coma les siguientes: > Deteccién de latencia en paquetes ICMP: este método se ealza mediante el envio simutneo de numerasas peiciones ‘erréneas, de modo que ningin equipo las tome en cuenta » Deteccién mediante paquetes ping ICMP: en este método se envian paquetes de informacion con direcciones, MAC erréneas. Las méquinas en modo promiscuo responderan sin necesidad de comprobar dichas diecciones. > Deteccion mediante paquetes ARP: basado en «| Principio de funcionamienta anterior, la solicitudes enviada a todas los rangos de IF en la red loca, y solo responderd la ‘computadora en modo promiscuo. m Gh Servicios | Aco Accion Ver Ayuda #s|HiSaa\Bm) > auw Servicios locale) | Nombre Acceso a dspostive de inert humana CG Adaptador de ecucha Net Msmg G. Adaptador de escucha Net Pipe G.Adaptadr de escucha Met Tep © Adaptador de tendimvento de WML 2. xan Aadinstracin de cetfiendosy claves dem. © Adminstracion remota de Windows (WS-Ma.- 1 de conerion automata de a ie Desenpcion Estado Tipo de mio’ nicarsesion como * Haat ea. Manus! Sisters loca ; Recibe sos Deshabiltado Servicio dered Recibe soli Deshabiltado Seviciolocal Recibe sos, Deshabiltado Servicio local Proporcions, Manual Sistema local Proporcion... Manual Sistema local servicio A Manual Sercio dered Cres una co Manual Sietema local versedTECNICO EN REDES Y SEGURIDAD | 05 © Tratamiento logico de las unidades de disco Las unidades fisicas estan preparadas para ser utilizadas en toda su capacidad, Para esto, podemos dividirlas en varias unidades ldgicas. a gestionar las paticiones del disco conceptos s independientes. Como todas las unidades estan en {isico, es preciso identificar cada una. de archivos estén limitados en canto a n ds disco duro, podemos buscar ES POSIBLE CREAR UNA UNIDAD PRIMARIA Y, DENTRO DE LA EXTENDIDA, VARIAS ADICIONALES. Sistema de archivos Otros sistem: Calla sistema de archivos (formato) d i su funclonamiento, ya qu wimadamente 2 GB (swap)east ce Cone Pa Sco-nomo Dwes Cone Vang, Archivo d pagina Conecte (Paricién pina) Seguridad For cuestiones de seguridad, une de as conigurciones difundidas implica establecer aa el abjamiento de a informacion del usuato separada de os archives dl sistema las aplicaciones. i! sistema operat falia ols aplicaciones provocaneroresieparabes que obiguen a formatear tod el sistema la informacién de usuario queda inaterada, aljeda en ianueve ton diferentes esquemas de prtciones para su dstiouciin eno dco. Los més importantes son MBR (Master Boot Record, o registro maestro de booteo)y GPT (GUID Partition Table 0 ttle de paricén GUID), Pare almacenar informaci, los scos debe tener un sistema archivos (FA, NTFS, ec, para discos duos y UDF para ridades Spica). Gestion de unidades fisicas gestionamas ls unidadesfscas, es necesaio crear correctamente la tabla de partciones. Esta se encuentra alojad cenel MBR a partir del byte 446 y ocupa 64 bytes; contiene 4 ragistos de 16 byes os cuales deinen ls paticion rimaias. En las tabas se aloja la informacion sobre la partic, Particiones ependiente del sistema de archivos ulizado, encantramos tres tipas de patciones dstntas: > Particion primaria’ es la division primaria del disco Solo pueden coexisir cuatro en el mismo disco, 0 tres primaries y una extendida Un disco recién adquirido ene sin formato; al asignarle un sistema de archivos se convertirs en su totalidad en una partcién primaria completa > Partin extendida: por lo general, se la as partcion secundaria, Cumple casi ls mismas funciones que pimarias, con la diferencia de que puede alojar métiples, partcones legicas. Es creada,fundementalmente, para romper la barrera de las cuatro partcones méximas de sistemas anteriores > Particién légica: en general, ocupa la totaldad del espacio asignado para a partici extendida. Al ser adminitradas ente una de ot, a cada una de elas se le puede de archivos diferentes. Pueden existir hasta 23 paricionesldgicas dentro de la extend, independiente 1 sistem: Al trabajar con partcones, rata del mismo disco, una lla general elec una sola unidadfisica,y aun asi contar con ia.o mecénica podria hacernos perder toda la informacion, sin importar la Cantidad de unidadeslogicas asignadas. Siempre hay que realizar backups pata evitarinconvenientes. m ra iL hetelin UTIL? er Pee peeenet oe trabajo de See eer a err laren oe poo) PR eM CN eet aoe tsTECNICO EN REDES V SEGURIDAD | 05 © Particiones de disco en Windows y en Linux Dentro de sistemas operatives comunes como Windows y Linux, podemos administrar los discos desde aplicaciones integradas. a @ Progamador detec Hermite dt Sloat enor ore. a eemcann tote Aetec hen ———s le rates Gores tcteesl| lhe ee ams optn uve B-——" Be== terrane (EY Tew Sime fos dodo at open iuohenonpason | ablnesctow supa, | detec! | dss ro Gmnpesensinore, | cteycomse Admins. | eonetnediar | Sle ocr acis cripnygmmispatcns | Ayo netearqn, | Sramatnyeabicria | dramas nr queccermparsatr | cespentid danas, | cmpinanenrcts, | datenrqeane Acresso: | tkciumstee mona | ayeaterensds | Datedelcin dedi Uatiecingedsers | etd spaens ‘ ‘ A iisprsive isda,” sponcoesgs ‘wow redusers.comr ot Borat RedenensionarMover 20.0068 Ul 515268 Sstema de archivos Tamafo Parccén nueva #2 Ml lnux-swap Parcén nueva #3 Ment oe v Deshacer Apicar rad 518268 bre Eig dl olner Sitenade activor [NTFS 7 Teufel ee Plo mae ee ae ta open har ura copia ds US sien ente ndad. Hacer copa de sede deloe cep ahora || ||| Las paricones Estas separaciones seestablecen demos haceris e forma intuit: segin nuestas primaria para el sistema necesidaces Para cistrbuciones operative (recto az Linux, necesitamos usar una dal sistema f)extendida para aplcaciénespectica: Gparted. los datos /home)y swap Se tata de un programa desarolado (Grea de intercambio que pata gestiona as pationes no requiere mucho espacio, Esta aplicacin se presenta como con 268 basta), programa istlable o como LiveCD. . Palos dos sistomas, los pasos que realzaremos secvenil serdn;frmatar (un cic sobre la partici desplegaré las opciones), distibuire espacio asignando partciones primaias y edendides yasignar un stems 1m de archivos compatible te Siempre deberios ser cuidadosos pues al formate, perderemas toda la informacién abjada ene sca. Paro taro, es ecesario realizar copias de seguridad y comprobar siexisen enores ene disco Soo asi no perderemos informacion importante, wow.redusers.comTECNICO EN REDES ¥ SEGURIDAD | 05 © Qué es NetBIOS Para intercambiar archivos con otras terminales, las computadoras deben utilizar el protocolo NetBIOS. Aqui conoceremos sobre él. BMy Sytec desarollaron en 1984 una intefaz de programacion de aplicaciones (APY, Application Progra Imterface) para conectarse la red einteractuar con ella Se trata de NetBIOS (Network Basic mpui/Output Sy sistema basico de red de entrada(salida, con el cual los sistemas pueden tener acceso alos servicios dela re. Este software pudo enlaza sistemas operatives habituales al hardware espectico (adapténdose al software sin enfocarse en el hardwat), Cone! cotrer de os as, ! protocolo de aplcacién NetBIOS seha convert en el AP fundamental dela mayoria de los programas que interaciane intercambion recursos cn la red Protocolos El protocole NetBIOS debe utlizando otros prot > IPC/PX: protocalo nativa de sistemas operativas de redes| Novell (Novell Netware y Linux) El protecolo de intercambio de paquetes entre redes(IPX) es ruteable y orientado a conuunicaciones sin conexién, pero en Internet solo se puede transporta si se encapsula en I, > NetBEUI: protocolonativo de Windows, normalmente no ruteable; es una optmizacion realizada por Microsoft al NetBIOS para sus sistemas opetatvos Los sistemas que la implementan Son varias versiones de Windows, y esta programado para usar entre sistemas operativos dela misma compafia, Se puede transmit por Internet, al igual ue IPX, si se encapsula sobre IP TH Gt) El protocolo TCP/IP utiliza nuimeros para representar otros dispositivos (por ejemplo, 198.168.1.100), De eee ny Ree ee ces De eae eee cry los documentos RFC 1001 y 1002, donde se estandariz6 la manera en que se relacionan. Este Se etn a por Internet, y ha perdurado con el paso del tiempo. ‘www.rodusers.com > TCP/IP 0 UDP/P: encapsulado NetBIOS sobre protocolo Internet que permite compartir terminales remotas, Es el procedimienta mas directo para encapsula la informacion cuando nos manejamos drectamente con Intemet Sin embargo, el encapsulamiento se puede realizar sin notificacén, lo que resulta en una entrada abiertaa ataques por usuarios malintencionados, Comunicacién Debemas tener en cuerta que cada dispositivo quo se encuentra conectado a una red local NetBIOS puede realizar fa comunicacén can los otos dspostvos por medio de una conexién con otra terminal, usando datagramas NetB105 0 mediante broadcast. Cada una de estas sesianes permite realizar el envio de mensajes largos, y gestionar el control y la recuperacin de los erores que se presenten, de modo que pueda comunicarse con otros al mismo tiempo, nel tamafo del mensaje. mPROXIMA ENTREGA CONFIGURACION DE REDES CABLEADAS En el préximo fasciculo conoceremos la forma en que se debe configurar una red cableada, desde los protocolos utilizados hasta la asignacién adecuada de permisos.> PROFESORES EN LINEA profesor@redusers.com D> SERVICIOS PARA LECTORES &SEGURIDAD usershop@redusers.com ‘S) CONTENIDO DE LA OBRA SOBRE LA COLECCION nena (CURSO VISUAL PRACTICO QUE APORTA 2 Tipos de redes y topologias LOS SABERES NECESARIOS PARA FORNAR TECUICOS 1 epotoves dred EXPERTOS EN REDES Y SEGURIDAD, NCLUYE (Ws GaN CANTIDAD DE RECURSOS DioACTICaS 4 instataciin de rodes cableadas CVO INFOGRAFIAS, GUS VISUALES 9 Praicenemetirs EAs PAS ‘k PIES 5 PUESTA EN MARCHA DE UNA RED CABLEADA 5 >Contiguraciin de redes cableadas 7 Instalacién de redes inalémbricas 8B Configuracién de redes inalémbricas 9 Seguridad en redes cableadas e inalémbricas 10 contiguracién avanzada de routers 11 Recursos compartidos y dispositives multimedia 12 Seguridad tisica de la red 13 impresoras de red - , 14 Hardware de servidores Con la mejor metodologia para llevar adelante el montaje y mantenimiento 15 ndministracién de Windows Server de las redes informaticas y con los aspectes clave para brindarles 16 Administracién de sistemas Linux {a proteccidn necesaria, esta obra es ideal para aquellos aficionados 17 Adninistracisn y asistencia remota que deseen profundizar 1 8 Servidores web y FTP tas y para quienes quieran profesionalizar su actividad. 19 Servidores de mail 2D Sorvidores de archivos e impresién 211 Servidores adicion 22 Vian, VPN y trabajo remote REDES || oo095 m, ol 7g987 1857784 24 cimaras ie