Networkeando

Cisco IOS 12.x soluciona 10 vulnerabilidades en su ciclo de actualización de Marzo

2009-03-28T22:42:00.001-06:00

Cisco ha publicado, como cada último miércoles de marzo, ocho boletines de seguridad que solucionan 10 vulnerabilidades en su sistema operativo Cisco IOS, que podrían ser aprovechadas por un atacante para causar una denegación de servicio o escalar privilegios.

De forma breve, las vulnerabilidades son:

* Se ha descubierto que una secuencia de paquetes TCP podrían causar una denegación de servicio en los dispositivos con Cisco IOS que estén configurados como servidores Easy VPN haciendo uso de Cisco Tunneling Control Protocol (cTCP). Se recomienda aplicar los parches disponibles o utilizar NAT-T de IPSec como alternativa.

La vulnerabilidad está documentada con los Cisco bug ID CSCsr16693 y CSCsu21828:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsr16693
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsu21828

* Existe una vulnerabilidad al manejar sockets IP que podría ser aprovechada por un atacante para causar denegaciones de servicio, por medio de una secuencia de paquetes TCP/IP especialmente manipulados, cuando están activadas ciertas característica de Cisco IOS.

La vulnerabilidad está documentada en Cisco bug ID CSCsm27071:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsm27071

* Se ha encontrado una vulnerabilidad en los sistemas con Cisco IOS configurados para Mobile IP Network Address Translation (NAT) Traversal o Mobile IPv6 que podría ser aprovechada para causar una denegación de servicio, causando que el interfaz del sistema dejase de procesar tráfico.

La vulnerabilidad está documentada en Cisco bug ID CSCsm97220 y CSCso05337:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsm97220
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCso05337

* Existe un fallo del lado del servidor en la implementación de Secure Copy (SCP) en Cisco IOS que podría ser aprovechada por un usuario autenticado con interfaz de línea de comandos (CLI) para escalar privilegios. El usuario podría transferir archivos a, o desde, el dispositivo que esté configurado como servidor SCP. Esto podría ser aprovechado para acceder y escribir en cualquier archivo del dispositivo, pudiendo hacerse con el control total sobre el mismo.

La vulnerabilidad está documentada en Cisco bug ID CSCsv38166:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsv38166

* Se ha encontrado una vulnerabilidad en Cisco IOS en la implementación de Session Initiation Protocol (SIP) que podría ser aprovechada por un atacante remoto para forzar el reinicio del dispositivo.

La vulnerabilidad está documentada en Cisco bug ID CSCsu11522:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsu11522

* Se han encontrado que múltiples características de Cisco IOS podría permitir que un atacante remoto provocase una denegación de servicio en el sistema afectado por medio de una secuencia de paquetes TCP especialmente manipulados.

La vulnerabilidad está documentada en Cisco bug ID CSCsr29468:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsr29468

* Se ha encontrado una vulnerabilidad al procesar paquetes UDP especialmente manipulados que afectaría a distintas característica de Cisco IOS. Si alguna de las características afectadas está habilitada, y se envían paquetes UDP especialmente manipulados al dispositivo afectado, este podría dejar de procesar tráfico a través del interfaz.

La vulnerabilidad está documentada en Cisco bug ID CSCsk64158:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsk64158

* Se han encontrado dos vulnerabilidades en Cisco IOS WebVPN o SSLVPN que podrían ser aprovechadas por un atacante remoto no autenticado para causar una denegación de servicio en el dispositivo.

El primer fallo tendría lugar al recibir paquetes HTTPS especialmente manipulados y está documentado en Cisco bug ID CSCsk62253:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsk62253

El segundo problema está causado por una fuga de memoria en el dispositivo al procesar sesiones SSL que han sido interrumpidas de forma inesperada. El problema está documentado en Cisco bug ID CSCsw24700:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsw24700

Más Información:

Summary of Cisco IOS Software Bundled Advisories, March 25, 2009
http://www.cisco.com/warp/public/707/cisco-sa-20090325-bundle.shtml

Fuente:http://www.hispasec.com/unaaldia/3807

Escalada de privilegios en Cisco Unified Communications Manager

2009-03-17T20:14:00.001-06:00

Cisco ha publicado una actualización para Cisco Unified Communications Manager (versiones 4.x, 5.x, 6.x y 7.x) que corrige una vulnerabilidad en la característica de sincronización de IP Phone Personal Address Book (PAB), que podría permitir a un atacante remoto escalar privilegios, lo que podría dar lugar al compromiso de los sistemas vulnerables.

La solución Unified Communications de Cisco es un conjunto de productos
y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos.

El fallo podría ser aprovechado si un atacante intercepta las credenciales enviadas al cliente desde Cisco Unified Communications Manager después de que se haya autenticado para el proceso de sincronización.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml

Más Información:

Cisco Security Advisory: Cisco Unified Communications Manager IP Phone Personal Address Book Synchronizer Privilege Escalation Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml

Fuente:www.hispasec.com/unaaldia/3794

VoIP2DAY!!! Videos superchulos

2009-03-02T21:57:00.004-06:00

Bienvenido VoIP2DAY !!!!!!
Aquí les dejo un enlace a unos videos superchulisimos que hablan, como se imaginarán sobre VoIP. Espero que les sea útil. Saludos.

Qué es VoIP2DAY?

VoIP2DAY nace como punto de encuentro del mundo de la Voz y el Video sobre IP en España y Portugal. Las grandes ferias generalistas como SIMO o CeBIT han perdido fuerza y lo realmente interesante en los tiempos que corren son las ferias altamente especializadas como la que nos ocupa.

El evento está concebido con la aspiración a consolidarse como un referente anual dinamizador del creciente mercado local y puntero a nivel tecnológico mundial. Es por ello que la participación de los visitantes es fundamental y lo más importante de todo, que su experiencia sea valorada a posteriori como enriquecedora para marcarla ya en su calendario del año próximo.

Desde la experiencia adquirida como participantes durante años en ferias de VoIP europeas y americanas, la organización ha tratado de recoger lo mejor de las mismas y corregir alguna de sus carencias, con las siguientes claves fundamentales para este nuevo foro:

+ Feria Exclusivamente para Profesionales en días laborables
+ Gratuita para los asistentes, previo registro obligatorio
+ Tres Días de Duración
+ Zona de Exposición de Fabricantes, Distribuidores e Integradores
+ Zona de Conferencias con 2 días de orientación más tácnico comerciales, empresariales y de casos de áxito y 1 día exclusivamente técnico y de la comunidad de desarrollo de Sistemas de Comunicaciones basados en Software Libre
+ Mesa de Debate en la jornada de la Comunidad Open Source
+ Jornadas Temáticas por días para focalizar el interás de visitantes y expositores
+ Coincidencia en espacio y tiempo durante los días comerciales con la feria y salón complementarios del Call Center

Habilitando el servicio VoIP CUCME II

2009-02-01T01:11:00.003-06:00

En la presente figura se muestra la compatibilidad de liberación de IOS, indicando versión de CUCME integrado, versión de CUCME GUI (WEB) disponible a instalar y las especificaciones técnicas.
Por ello, al descargar el paquete mencionado en la imagen x, se debe tener presente esta lista para que todas las funcionalidades a implementar corran sin problema alguno.
Ahora, si se desean descargar algunos de estos archivos por separado se puede realizar desde la dirección de internet http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278875240 donde se pueden visualizar todos los archivos relacionados a software, teléfonos, aplicaciones y otros desde una misma ventana de navegación, tal como lo muestra la figura:

Desde este menú se puede seleccionar el teléfono disponible, en este caso 7940G, y descargar utilidades, programas y firmware SIP/SCCP, entre otros, tal como lo muestra la figura:

Para este caso, se descargará el paquete “cmterm-7940-7960-sccp.8-0-10.zip”, que contiene los archivos firmwares SCCP necesarios para el fono IP 7940G.
El paquete contiene los siguientes archivos:
- P00308001000.bin
- P00308001000.loads
- P00308001000.sb2
- P00308001000.sbn

Todos se deberán subir a la flash mediante TFTP.

Dado que se dispone en ambos routers de un IOS versión 22T “Early Deployment”, se descargará adicionalmente el paquete “cme-124-20T1.zip” de los que podemos mencionar los siguientes archivos:
- 7970-backgrounds.tar: Fondos de pantalla para los teléfonos IPs.
- cme-gui-7.0.0.1.tar: Interfaz web de administración de CUCME.
- ringtone.tar: Conjunto de ringtones adicionales.
- music-on-hold.au: Sonido audio de espera para llamadas entre la PSTN y la red local.
- cme-bacd-2.1.2.2.tar: Archivos de sonido para IVR.

Por el momento se subirán a la flash los paquetes “cme-gui-7.0.0.1.tar” y “music-on-hold.au”, recordando que para descomprimir los paquetes .tar se procede con el comando “archive tar /xtract tftp://x.x.x.x/ cme-gui-7.0.0.1.tar flash:”.

kyrios

Habilitando el servicio VoIP CUCME

2009-01-30T19:15:00.002-06:00

Habilitando el servicio VoIP CUCME
Archivos necesarios
Una vez realizadas las tareas básicas de configuración, se pueden configurar el Cisco Unified Communications Manager Express.
Se debe tener presente la interacción que se produce entre el CUCME y el teléfono IP, ya que lo que primero que asigna el router al teléfono IP es una dirección IP, a continuación verifica el dispositivo conectado, y si es teléfono, carga el firmware que previamente esta alojado en la flash, y por último, asigna VLAN correspondiente y dirección IP definitiva.
Lo primero que se debe realizar es copiar los archivos necesarios para el funcionamiento de los teléfonos IPs. En este caso se alojarán en flash las imágenes SCCP del teléfono IP Cisco 7940G. Por tanto, con una cuenta CCO de Cisco, se procede a descargar la última versión de firmware de estos teléfonos IP.
La dirección web de descarga es http://www.cisco.com/cgi-bin/tablebuild.pl/ip-key, que desplega un listado de archivos tal como se muestran y se detallan a continuación en la figura:

Los archivos que se muestran en la imagen x los archivos necesarios para manejar teléfonos IP, interfaz web, IVR, entre otras funcionalidades. La diferencia de versión se presenta y es apreciable en la columna “release”, que nos indica que versión de CUCME se tiene que disponer en el IOS para trabajar con el respectivo paquete de archivos.
Esto es importante de conocer y aplicar este conjunto de archivos de forma adecuada. Una guía para ello es la matriz de compatibilidad de versión de IOS para CUCME. Ella se presenta en la siguiente dirección web:
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/33matrix.htm.

kyrios

Denegación de servicio en Cisco Unified Communications Manager 5.x y 6.x

2009-01-26T12:21:00.001-06:00

25/01/2009 Denegación de servicio en Cisco Unified Communications Manager 5.x y 6.x

Cisco ha publicado una actualización para Cisco Unified Communications Manager 5.x y 6.x que corrige un fallo de seguridad que podría permitir que un atacante remoto causase una denegación de servicio.

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos.

El servicio Certificate Authority Proxy Function (CAPF) no maneja adecuadamente las entradas mal formadas, lo que podría provocar una interrupción de los servicios de voz. El servicio CAPF no está habilitado por defecto.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:

http://www.cisco.com/warp/public/707/cisco-sa-20090121-cucmcapf.shtml

Más Información:

Cisco Security Advisory: Cisco Unified Communications Manager CAPF Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090121-cucmcapf.shtml

Fuente: www.hispasec.com

Análisis forense router Cisco

2009-01-25T16:08:00.005-06:00

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.

En primer lugar hay que tener muy claro porque motivos se ataca un router.
Los principales motivos son los siguientes:

Porque atacar un router:

Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
Comprometer otros routers a través de el.
Desviar firewalls de red, IDS o otros servicios.
Monitorizar y grabar el tráfico entrante o saliente de la red.
Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:

Las memorias son:

Memoria RAM:
Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo.

En ella se almacena:

Configuración activa.
Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos…

Memoria Flash:
Es persistente, aun apagando el equipo, esta memoria no se borra.

En esta memoria se almacena:

Configuración de arranque.
Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:

No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
Grabar la sesión completa de análisis de la consola en un archivo de log.
Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada.

Los comandos son:

show clock detail
show version
show running-config
show startup-config
show reload
show ip route
show ip arp
show users
show logging
show ip interface
show interfaces
show tcp brief all
show ip sockets
show ip nat translations verbose
show ip cache flow
show ip cef
show snmp user
show snmp group
show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:

# terminal length 0
# dir /all
# show clock detail
# show ntp
# show version
# show running-config
# show startup-config
# show reload
# show ip route
# show ip arp
# show users
# show logging
# show interfaces
# show ip interfaces
# show access-lists
# show tcp brief all
# show ip sockets
# show ip nat translations verbose
# show ip cache flow
# show ip cef
# show snmp users
# show snmp groups
# show clock detail
# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.

Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.
Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

Más información y descarga de CREED (Cisco Router Evidence Extraction Disk):

Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post “Herramientas para asegurar dispositivos Cisco”:

Más información y descarga de Nipper en el post “Auditar seguridad en dispositivos Cisco”:

Fuente: Guru de la informática

Cisco Systems fabricará servidores

2009-01-25T00:54:00.005-06:00

Con la incorporación a este nuevo mercado, la compañía se convertirá en competidor directo de HP, IBM y Dell, por mencionar algunos.

El mercado de los servidores contará con un nuevo integrante a partir de este 2009. Cisco Systems extenderá sus líneas de comercialización y en los siguientes meses comenzará operaciones de desarrollo de servidores, cuya principal característica será la adición de un sofisticado esquema de virtualización en software, informa el periódico estadounidense The New York Times.

IBM, Hewlett Packard (HP) y Dell, tres de los mas importantes fabricantes de servidores en el mundo, que a su vez han reflejado relaciones cercanas de colaboración con Cisco podrían fragmentar o limitar sus relaciones con esta firma, de acuerdo a la connotación expresada en el rotativo norteamericano, pues el anuncio hace referencia a las pretensiones de la compañía por engrandecer sus expectativas de comercio pese a que participe en sectores no familiarizados.

Cabe señalar que la decisión de Cisco en la penetración del mercado de los servidores, ha sido calificada como riesgosa y atrevida por distintos analistas financieros, pues este sector no ha significado el mejor eje redituable de la compañía, en comparación con los sistemas de redes computacionales y de comunicación inalámbrica, nichos que domina muy bien, con una media de remanencias de aproximadamente 40 mil millones de dólares anuales y un 65 por ciento en beneficios marginales.
“Vemos esto no como un nuevo mercado, sino como una transición de mercado”, dijo a la fuente Padmasree Warrior, jefa de la unidad de Tecnología de Cisco Systems.
Por su parte, el analista en hardware, Brent Bracelin sostuvo que “Esto será el mas importante y el más hablado producto del año. Habrá reacciones de los competidores masivos tales como IBM y HP, pero esperamos que esto abra el camino hacia una consolidación industrial”.

Explotar al máximo la virtualización en sector de computación

A través de los últimos años, las compañías dedicadas a la fabricación de computadoras y servidores, han adoptado la tecnología en virtualización en software a fin de ahorrar energía en sus dispositivos, realzar el desempeño de las propias unidades y finalmente catapultar sus ventas. El mismo artículo del rotativo neoyorquino, anota que esta tecnología será la principal característica de los servidores de Cisco, no obstante, se destaca que el networking y virtualización conformarán la oferta de Cisco, ambos tomando la tecnología de la compañía y de la firma VMware, especializada en el desarrollo de software para virtualización.

Fuente: electronicosonline.com

Seguridad MPLS (I)

2009-01-24T09:49:00.000-06:00

Explicar la tecnología MPLS podría llevarnos varias entradas. Por ello simplemente voy a realizar un breve resumen de algunos de los aspectos más importantes para refrescar la memoria a quienes ya la conocen. Para el resto os recomiendo que os leáis alguna de las siguientes referencias:

MPLS Fundamentals: A comprehensive Introduction to MPLS Theory and Practice. Luc De Ghein. Cisco Press.
Advanced MPLS Design and Implementation. Vivek Alwayn. Cisco Press.

La tecnología MPLS (RFC 3031) es un estándar abierto del IETF que básicamente adapta la tecnología “tag switching”, sistema propietario de Cisco y que destacó frente al IP Switching, tecnología similar propuesta por Ipsilon Networks pero restringida a la arquitectura ATM.

Se trata de una tecnología para el transporte de datos a nivel de red MAN y WAN perteneciente a la familia de tecnologías basadas en la conmutación de paquetes. Además proporciona un servicio de transporte de datos orientado a conexión a través de la creación de circuitos virtuales, previa al transporte de la información. A nivel del modelo OSI de comunicaciones se localiza entre el nivel de enlace y el nivel de red, por lo que podemos hablar de un nivel ficticio 2.5. El aspecto fundamental de esta tecnología es que el reenvío de paquetes se hace en base a unas etiquetas que se incluyen en la cabecera del protocolo. Estas etiquetas van cambiando de salto a salto y definen un camino (LSP) que ha sido calculado con carácter previo por los nodos de la red y en base a algún criterio predefinido llamado FEC (Ej. tráfico destinado a un cierto rango de red con unos requisitos de calidad de servicio elevados). Nótese la diferencia con el transporte tradicional IP, en el que el plano de control y el plano de datos se encuentran entrelazados. Las etiquetas definen el camino y se distribuyen en base a algún protocolo de intercambio de etiquetas (LDP, RSVP-TE, MP-BGP, etc.).

La tecnología MPLS está siendo adoptada por la mayoría de los proveedores de servicios de Internet (ISP) ya que les permite reducir costes en la operación de la red y ofrecer a sus clientes SLAs con compromisos reales de QoS, lo cual se está convirtiendo en una auténtica necesidad con la introducción en las empresas de la VoIP. La reducción en los costes de operación se explica porque MPLS permite ofrecer múltiples servicios de transporte de manera virtual (Ethernet, ATM, FR, HDLC, PPP, etc.) con una única red, por lo que ya no es necesario mantener equipamiento y configurar distintas redes, con la correspondiente reducción en personal especialista que esto implica. A esta funcionalidad de MPLS se le conoce por AToM (Any Transport Over MPLS). No obstante, en la actualidad su mayor auge viene de la mano de otro servicio, el de redes privadas virtuales (VPN), y será en la seguridad de este servicio en la que centraremos esta entrada.

Algunos términos que resultan fundamentales para poder comprender lo que se contará se listan a continuación. Cada uno de ellos contiene un hiperenlace a la definición del mismo.

Router PE (Provider Edge Router) o E-LSR (Edge Label Switching Router)
Router P (Provider Router) o LSR (Label Switching Router)
Label Switched Path (LSP)
Forwarding Equivalent Class (FEC)
Virtual Routing and Forwarding Instance (VRF)
Route Distinguiser (RD)

Antes de tratar la seguridad de las redes privadas virtuales basadas en la tecnología MPLS resulta fundamental tener una visión de alto nivel de cómo se ofrece este servicio.

Cada router PE puede estar comunicado con varios routers CE pertenecientes al mismo, o a diferentes clientes. Los routers CE son aquéllos que interactúan directamente a nivel tres con los routers PE del ISP, los cuales dan acceso a la red MPLS. Por lo tanto son ajenos a la existencia de una red MPLS y no entienden de etiquetas, LSP, LDP, VRF, etc. Cada router PE mantiene una tabla de rutas independiente por cada VPN además de una global. Es decir, si un PE da soporte a las delegaciones de dos empresas distintas mantendrá dos tablas de rutas independientes, una por cada empresa, y la tabla de rutas global, en la que se mantienen las rutas internas del propio core MPLS. La interfaz del router PE que conecta con un CE debe tener una dirección IP dentro del rango de direccionamiento de la VPN a la que pertenece dicho CE, de tal manera que el ISP participa en el direccionamiento de la empresa a la que da servicio. Esta falta de transparencia es probablemente la única desventaja del servicio de VPNs de MPLS. Siguiendo con la explicación, cada CE propaga las rutas (información de alcanzabilidad) de su tabla de rutas hacia el PE (bien mediante un IGP o mediante eBGP) y éste a su vez propaga hacia el CE las rutas que le llegan desde otros PE, comunicados a su vez por sus CE vecinos. La comunicación de rutas PE-PE requiere una explicación más detallada. Ésta se realiza mediante iBGP puesto que las rutas intercambiadas son las de todas las VPNs a las que el ISP da servicio. Puesto que dos VPN pertenecientes a empresas distintas pueden optar por un mismo espacio de direcciones privadas, es necesario buscar un mecanismo que permita distinguirlas. Este es el objetivo del RD, que no es más que una extensión de BGP, que se emplea cuando éste propaga las rutas entre routers PE. Es importante notar que los routers P, que conforman el núcleo de la red MPLS, no participan en el intercambio de las rutas de las VPN. Éstos únicamente ejecutan un protocolo de enrutamiento IGP entre sí y con los PE para intercambiar la información de alcanzabilidad del core MPLS; información que se empleará para distribuir las etiquetas que permiten el reenvío de paquetes dentro del core (ver más adelante).

Ahora que ya sabemos cómo se construyen las tablas de rutas, falta saber cómo se propagan los paquetes de distintas VPN por la red. Cuando un paquete llega a un PE desde un CE con destino un host que se encuentra en una delegación remota, se encapsula con la correspondiente cabecera MPLS. Esta cabecera incluye además dos etiquetas MPLS anidadas, la más profunda identifica la VPN a la que pertenece el paquete y la más externa permite a la red MPLS realizar el reenvío del paquete hasta el PE de destino. Una vez el paquete llega al PE correcto, éste elimina la etiqueta exterior y se fija en la etiqueta más profunda, la cual le dice a qué VPN pertenece el paquete, y por ende a través de qué interfaz (y por consiguiente hacia qué CE) debe reenviar el paquete. Finalmente, el CE asociado se encargará de hacer llegar el paquete hasta el host de destino.

Finalizada ya esta “breve” introducción a la tecnología MPLS nos encontramos en condiciones de analizar los aspectos fundamentales de la seguridad del servicio de VPN. Suponiendo que no tenemos acceso al equipamiento del core de la red MPLS (routers PE y P), y desde el punto de vista de un atacante, lo que más nos puede interesar es ver cómo desde una VPN a la qué sí tenemos acceso (Ej. somos trabajadores de una empresa que tiene contratado un servicio de VPN basado en MPLS) podemos o bien interceptar el tráfico y acceder a equipos pertenecientes a otra VPN, o bien generar una denegación de servicio en las otras VPN.

Como se puede deducir de las explicaciones anteriores, si el atacante si sitúa en una delegación dentro de una VPN concreta, cuando quiera acceder a otra delegación simplemente verá que su tráfico sigue una ruta que a nivel IP pasa como mínimo por cuatro saltos distintos (CE-PE-PE-CE), siendo el primer salto su GW por defecto. Este GW por defecto es en realidad el CE de su delegación que se comunica con un router virtual, conocido por VRF en la terminología MPLS, y que no es más que la tabla de rutas asociada a la VPN y la instancia de reenvío de paquetes asociada. Como ya sabemos, ambas se incluyen en el router PE.

Así, una primera opción que se nos puede ocurrir para intentar acceder a una VPN distinta sería enviar paquetes encapsulados con una cabecera MPLS que incorporare a su vez las etiquetas adecuadas. Estas etiquetas, debido a que no son conocidas a priori, podrían determinarse a base de prueba y error. De este modo, si no estuviéramos interesados en un objetivo concreto sino en alcanzar de manera indiscriminada una VPN de otro cliente del ISP, podría servirnos perfectamente. Sin embargo, la RFC estipula que cuando llegue un paquete MPLS por una interfaz asociada a un CE, éste se descarte automáticamente. Enno Rey, en una presentación que realizó en la Blackhat hace un par de años, afirmó que lo habían comprobado con routers CISCO y que en todos los casos se había verificado la conformidad con la RFC.

Otro posible ataque consistiría en aprovechar una incorrecta implementación de las conexiones a nivel CE-PE. Imaginemos por un instante que dos CE pertenecientes a VPNs diferentes se conectan a sendas interfaces virtuales que en realidad son una misma interfaz física. Supongamos además que los enlaces procedentes de los PE se concentran en un switch antes de conectarse contra el PE utilizando tecnología de VLAN. ¿Acaso no podríamos realizar un ataque a las VLANs (por ejemplo con Yersinia) si comprometemos el router CE para así terminar accediendo a la VPN de otro cliente del ISP? En estos casos lo mejor es implementar enlaces físicos independientes PE-CE.

Igualmente sería deseable que en las interfaces del PE que se conectan contra routers CE se incorporaran ACLs que únicamente permitieran tráfico de enrutamiento. Todo servicio adicional podría ser aprovechado por un atacante para ganar acceso al router PE (login remoto, tft para la carga de configuraciones, etc.)

Respecto a las denegaciones de servicio, qué mejor manera para dejar aislada una delegación que dejar fuera de combate al PE que le permite comunicarse con el resto de delegaciones. Cómo hacerlo, pues aprovechando el único servicio que debería ser accesible, el de algún protocolo de enrutamiento dinámico que corra entre el nuestro CE y el PE. Imaginemos que inundamos al PE con infinidad de rutas inventadas y que van cambiando cada poco tiempo. Si el router no está correctamente configurado, lograremos saturar su memoria y llevar la CPU al 100% dejándolo inutilizado para el resto de VPNs a las que dé servicio.

Fuente: http://blog.s21sec.com

Proteger una red Wireless (III de III)

2009-01-24T09:47:00.000-06:00

IAS (Internet Authentication Service)

Vamos a terminar de montar la infraestructura WPA, para lo cual vamos a empezar por poner en marcha nuestro servidor RADIUS. Para una organización contar con un servidor RADIUS no es solo una solución segura para conexiones Wireless, también es un elemento importante en la autenticación de conexiones VPN, tanto entre sitios remotos como para clientes o para las soluciones que se nos vienen encima NAP (Network Access Protection) y que en breve estarán implantadas en todos las empresas.

Si la implantación del servidor RADIUS es algo para pocos usuarios o no se desea implantar un servidor dedicado, se puede adquirir fácilmente Routers y/o Access Points Wireless que incluyen dentro de su firmware, pequeños servidores RADIUS con sistema de autenticación EAP-MD5 en la mayoría de los casos. Lógicamente esta es una solución poco escalable ya que, en primer lugar, nos obliga a replicar la base de datos de usuarios dentro del firmware y además, en el caso que contemos con 2 o más Access Point vamos a tener que duplicar estos usuarios en todos los AP o bien pensar en enlazarlos.

Nosotros vamos a implantar como servidor RADIUS la solución de Microsoft, Internet Authentication Service (IAS). Este es que en Windows 2000 Server se proveía como una descarga aparte pero es un servicio que viene “de serie” en Windows Server 2003 y se instala, como cualquier otro, con la opción del panel de control de Agregar o Quitar Programas. Este es un componente de red por lo que habría que seleccionar IAS dentro de estos.

Imagen 1: Instalación componente IAS

Una vez instalado hay que registrar el servidor RADIUS en el Directorio Activo de nuestra organización, y para ello tres opciones, la fácil: desde la consola de administración MMC de IAS, seleccionamos nuestro servidor IAS y elegimos la opción “Regristrar en Directorio Activo” (figura 2); la artesana: Al final, al hacerlo mediante la consola solo se está añadiendo la cuenta de máquina a ciertos grupos privilegiados, por lo que podemos hacerlo manualmente y añadir la cuenta de máquina de nuestro servidor IAS a los grupos de seguridad IAS y RAS en el Directorio Activo; y por comandos: también se puede realizar el mismo proceso utilizando el comando netsh desde el interfaz de comandos.

Imagen 2: Registrar IAS en Directorio Activo

Una vez registrado ya podemos proceder a configurar nuestro servidor IAS. Tres sencillos pasos a seguir. Primero configurar el registro de conexiones, tanto las correctas como las fallidas para tener una idea de lo que esta sucediendo con nuestra red. Esta es una sencilla operación para detectar los intentos de intrusión o las conexiones “no habituales” de los clientes.

En segundo lugar configurar una Política de Acceso Remoto, es decir, quienes van a poder conectarse remotamente, o lo que es lo mismo en nuestro entorno, quienes van a poder realizar una conexión Wireless. Para terminar la configuración del servidor deberemos establecer cuales van a ser las opciones de conexión, es decir, que mecanismos exigimos para autenticar a los usuarios.

Política de Acceso de Remoto

Con IAS vamos a poder crear políticas de acceso remoto para todo tipo de conexiones, para clientes VPN, para clientes Wireless e incluso para clientes de red, que es en lo que se basa NAP. En este caso vamos a crear una Política de Acceso Remoto para nuestros clientes Wireless y vamos a crearla siguiendo el asistente. Seleccionamos la opción de Política de Acceso Remoto y empezamos:

Imagen 3: Creación de una Política de Acceso Remoto

Una vez introducido el nombre de la política llegamos al cuadro de dialogo donde se nos solicita el tipo de Política de Acceso Remoto que estamos creando, como se puede ver en la imagen tenemos políticas para conexiones VPN, para llamadas de marcado Dial-Up de líneas de telefonía punto a punto, para conexiones Wireless e incluso para conexiones ethernet, que se utilizarán en NAP. Seleccionamos la opción de Wireless, lógicamente, y continuamos hacia delante.

Imagen 4: Selección de tipo de Política de Acceso Remoto

Como nosotros deseamos integrar la seguridad de las conexiones dentro de la infraestructura de nuestra empresa, vamos a crearnos dentro de nuestro Directorio Activo un grupo de usuarios, en este caso llamado “Malos”, (perdón por el chiste), que serán los usuarios que vamos a autorizar con esta Política de Acceso Remoto. Es necesario, que los usuarios tengan el permiso de marcado, igual que para las conexiones de VPN o Dial-Up, ya que es el permiso que se utiliza para las conexiones remotas. Como esto es un poco engorroso, el seleccionar todos los usuarios y darles ese permiso, se puede utilizar una opción, una vez creada la política con el asistente, en las propiedades que permite ignorar ese permiso y directamente conceder desde IAS el permiso de marcado si cumple la Política de Acceso Remoto.

Imagen 5: Selección de clientes autorizados por esta política

La autorización puede realizarse tanto a nivel de usuarios como a nivel de máquinas por lo que podríamos realizar una autenticación doble, es decir, usuarios autorizados y máquinas autorizadas.

Una vez elegido el grupo de usuarios deberemos elegir el sistema de autenticación. Las opciones a elegir son dos.

Opción 1: PEAP (Protected EAP), que como vimos el mes pasado utiliza un canal TLS generado con el Certificado del servidor, en este caso el del servidor IAS; después elegimos un método de autenticación del cliente que será, o bien contraseña, enviada mediante el protocolo MS-Chap v2, o bien se utilizará directamente un certificado digital del mismo que tendemos en la máquina cliente o una smartcard.

Opción 2: No tenemos canal TLS antes de la autenticación EAP, por lo que utilizamos una autenticación basada en tarjeta inteligente o certificado digital instalado en la máquina cliente.

Imagen 6: Selección de método de autenticación de clientes

Con estas opciones hemos terminado de crear la Política de Acceso Remoto para nuestro ejemplo. Hay que notar que se pueden crear tantas políticas de acceso remoto como deseemos. Estas políticas se van a evaluar igual que los firewalls de menor número de orden a mayor y se aplicará la primera que concuerde. Así, podremos tener conexiones autenticadas desde máquinas, o conexiones válidas desde cualquier máquina para algunos usuarios, o conexiones autenticadas con contraseñas porque son dispositivos que no soportan smartcard, etc … a necesidad de la infraestructura.

Imagen 7: Propiedades de la Política de Conexión

Una vez creada la política podemos, entrando en sus propiedades, definir algunos valores específicos de la misma, como si hay rangos horarios para la conexión, límites de tiempo, la asignación de direcciones IP, etc… para afinar más las opciones de la política.

Política de Petición de Conexión

Vale, ya hemos creado la política para nuestros clientes Wireless, los que serán o no autenticados con nuestro servidor RADIUS, ahora tenemos que configurar la estructura de autenticación de las peticiones dentro de nuestros servidores RADIUS. Para ello creamos una Política de Petición de Conexión, es decir, cual es el orden de validación de las conexiones en el caso de que tengamos una infraestructura compleja.

La política por defecto que viene creada determina que se autentique en el servidor RADIUS a conexiones que vienen directamente o mediante una conexión VPN utilizando la base de datos del Directorio Activo. Si la autenticación la diera otro servidor RADIUS o si las peticiones vinieran a través de un ISP o se desea comprobar cualquier otro parámetro de la conexión, como por ejemplo, los números de teléfono en una conexión Dial-up o el fabricante de las tarjetas Wireless podemos crear nuevas políticas de conexión. Para nuestro ejemplo, con la política por defecto es perfecto.

Alta de Clientes RADIUS

Ya tenemos definida la Política de Acceso Remoto y la Política de Petición de Conexión, hemos configurado el Registro de Accesos y tenemos el servidor IAS registrado en el Directorio Activo, ¿Qué nos queda? Pues únicamente dar de alta a los puntos de Aceso y/o Routers Wireless que pueden realizar peticiones a nuestro servidor para autenticar clientes. Para ello en la parte de Clientes RADIUS creamos uno nuevo.

Imagen 8: Alta de Clientes RADIUS

Lo primero que se nos solicita es el nombre que le vamos a dar al punto de acceso y cual es la dirección IP o nombre DNS desde la que es accesible para nuestro servidor IAS. En segundo lugar debemos elegir el tipo de cliente RADIUS que es pues a pesar de que existe un estándar, muchos fabricantes han realizado pequeñas variaciones sobre el mismo en la forma de la comunicación.

Imagen 9: Elección de tipo de cliente RADIUS

Por último, lo más importante, el secreto compartido entre nuestro Servidor RADIUS y el cliente. Es la forma de autenticación mutua que se utiliza. Podríamos pensar que es una forma insegura, pues la clave compartida no es la mejor de las formas de autenticar las conexiones, pero se supone, que la conexión física entre el Cliente y el Servidor RADIUS es por una línea privada y securizada.

Imagen 10: Configuración de Secreto Compartido para Cliente RADIUS

Al acabar este asistente ya tendremos dado de alta como Cliente RADIUS a nuestro AP, pero este la comunicación no estará funcionando hasta que de forma simétrica demos de alta al servidor RADIUS en nuestro Punto de Acceso o Router Wireless.

Imagen 11: Lista de Clientes RADIUS en IAS

Para dar de alta al servidor RADIUS debemos entrar en la herramienta de administración de nuestro Punto de Acceso Wireless y configurar la dirección IP del servidor RADIUS, el puerto, que por defecto es el 1812 y el secreto compartido. Y ya estaría.

Imagen 12: Configuración del Servidor RADIUS en el AP

Configuración del cliente

Para terminar la conexión en esta infraestructura debemos crear la conexión desde el cliente, para ello entramos en las opciones de la tarjeta de red y damos de alta una nueva red Wireless. Damos de alta el SSID de la misma, seleccionamos la opción de autenticación WPA y de cifrado TKIP. Pasamos en segundo lugar a la parte de Autenticación donde podremos seleccionar “PEAP” o “Certificado Digital o Smartcard”.

Imagen 13: Configuración de Cliente WPA

Hay que darse cuenta, que en el caso de usar PEAP podremos autenticarnos usando contraseña con MS Chap v2 o con certificado digital o smartcard, mientras que si utilizamos certificado digital o smartcard no podremos utilizar la contraseña. En ambos casos deberemos elegir la entidad certificadora que estamos utilizando para validar todos los certificados digitales, los de servidor y los de cliente, así se puede ver en las propiedades de ambas configuraciones.

Imagen 14: Configuración de Propiedades de Autenticación

A la izquierda se ve que hemos utilizado Certificado Digital o Smartcard y como debemos seleccionar cual va a ser nuestro certificado y quien es la entidad certificadora que valida los mismos. A la derecha se ve como usamos una entidad para validar el certificado del servidor para crear el tunel TLS y como después, podemos elegir la forma de autenticarnos, con EAP-MSChap v2 o con EAP-TLS.

802.11i y WPA2 (Wi-Fi Protected Access 2)

WPA había nacido sin un estándar que lo apoyara en sus orígenes, pero sí teniendo muy en cuenta lo que iba a ser el estándar 802.11i que vendría a mejorar las soluciones basadas en WEP. Para ello se utilizaron los borradores y la información que se iba obteniendo para ir evolucionando WPA. Cuando ya se tuvo una idea clara de lo que iba a ser 802.11i apareció WPA2. ¿Qué diferencias hay entre WPA y WPA2? La respuesta que se debe decir es que poca y mucha. Mucha en tanto en cuanto está basado en el estándar 802.11i y eso si es un cambio y poca si tenemos en cuenta que WPA estaba ya enfocado hacia ese destino. La principal novedad es el sistema de cifrado que incluye AES.

AES (Advanced Encryption Standard)

AES nació como iniciativa del gobierno americano para sustituir a DES como sistema de cifrado. AES tuvo nombre antes que algoritmo y se estuvo buscando a través de un “mega concurso” mundial cual debía ser el algoritmo a utilizar. Al final se seleccionó Rijndael que tiene ese nombre tan curioso debido a la mezcla de los nombres de los dos creadores. Desde el punto de vista técnico, AES es la opción que debemos utilizar de cifrado con WPA2, pero la utilización de AES implica el uso de varios algoritmos de cifrado por debajo. Realmente, el algoritmo del estándar 802.11i se llama RSN (Robust Security Network) y es un sistema que negocia el algoritmo de cifrado y autenticación entre las opciones soportadas y configuradas en cliente y servidor. El uso de RSN permite que se pueda negociar con compatibilidad hacia atrás en el caso de ser necesario hacer convivir dispositivos que no soportan AES y usan TKIP o WEP como móviles, PDAs, o sistemas operativos antiguos. RSN soporta WEP, WEP-104, TKIP, WRAP y CCMP que son las implementaciones AES para cifrado de bloque y cifrado de flujo. ¿A que es todo muy sencillito?

La infraestructura empresarial

Para montar una solución de estas características no nos podemos quedar en el montaje manual que hemos utilizado en estos ejemplos sino que deberemos apoyarnos en las utilidades que nos ofrece el Directorio Activo. En primer lugar, para la realización de esta infraestructura hemos supuesto que teníamos realizado un despliegue de certificados de usuario y máquinas dentro de nuestra organización. Es decir, que la infraestructura PKI está subyacente. En segundo lugar hemos realizado las configuraciones de las conexiones de los clientes de forma individual, pero esto se puede automatizar con las políticas.

Imagen 15: Creación de una Política Wireless en el Directorio Activo

Para ello creamos una nueva política en la unidad organizativa de las máquinas que queramos configurar para uso de conexiones Wireless y dentro de las opciones de configuración a nivel de máquina creamos una nueva Política de Conexión Wireless. Una vez creada entramos en las propiedades para establecer cuales son las opciones de la conexión Wireless que deseamos crear dentro de los clientes. Allí tendremos que configurar las mismas opciones que hemos visto en la creación de una conexión desde el cliente: SSID, Autenticación, Cifrado, y después las opciones de autenticación.

Imagen 16: Opciones de Autenticación para la Política Wireless

Otras Opciones de Securizar una red Wireless

Sí, existen otras opciones para securizar las redes Wireless y las empresas han estado utilizando básicamente dos aproximaciones basadas en lo mismo: Autenticar las conexiones.

Para autenticar las conexiones podemos utilizar un punto de entrada distinto al dispositivo wireless, es decir, en lugar de autenticar en el Access Point, se puede dejar que se conecte el que desee pero después del AP nos encontraremos con la red de la empresa que no permitirá conexiones que no vengan desde un cliente autenticado. ¿Y como autenticamos los clientes válidos?

Opción 1: Con conexiones VPN. Los clientes se conectan al AP y a partir de esa conexión se autentican en el servidor VPN. Una vez que el servidor VPN haya establecido que es un cliente válido ya podrá establecerse en la red.

Opción 2: Mediante certificados digitales e IPSec. Si la red de la organización está desplegada con comunicaciones IPSec, sólo podrá conectarse comunicarse por la red aquel cliente que tenga un certificado digital. Esta opción es menos recomendable debido a que las comunicaciones no cifradas si que pueden ser capturadas por un intruso y puede llegar a obtener información que no fuera deseable.

Despedida y Cierre

Han sido tres meses hablando de cómo proteger una red Wireless y porque hay que hacerlo, así que ya no tienes excusa. Securiza tu red por tres razones.

1) Hay tecnología para hacerlo.
2) No es difícil y sabes hacerlo.
3) Siempre hay alguien aburrido pensando en como “divertirse”.

Autor:Chema Alonso. Microsoft MVP Windows Security

Seguridad de Red Inalambrica (II de III)

2009-01-23T13:16:00.001-06:00

Riesgos

A pesar de esto la gente sigue pensando en que no hay demasiados riesgos, así que este mes, vamos a ver que puede realizar un hacker con una red wireless ajena.

Parásito

Al estilo de Venom, el traje alienigena de Spiderman, muchas de las redes Wireless de hoy en día tienen a su/s parásitos viviendo con ellos, es decir, ese o esos vecinos que alegremente se ahorran unos euros a base de utilizar tu conexión. Suele ser el menor de los problemas y a la vez el más incomodo, es como tener una dolencia crónica en nuestra conexión de Internet.

Ejecución de delitos

En este país existen diferentes grupos de investigación de delitos telemáticos dentro de los cuerpos de seguridad. Estos cuerpos se encargan de perseguir las intrusiones de los hackers de gorra negra, o los defacements (grafittis de páginas web) de los crackers o los ataques de denegación de servicio (DOS = Denial Of Service) o “doseos” de los crashers, o….. Su misión es encontrar evidencias de donde puede haber sido la procedencia del ataque y para ello se busca la dirección IP del atacante. Si el hacker ha utilizado técnicas de anonimato basadas en proxys anónimos o redes TOR (The Onion Routing), las direcciones IP serán de exóticos países que impedirán seguir fácilmente la investigación a los equipos de seguridad, pero,... esas técnicas de anónimato suelen ser lentas, la forma más cómoda es bajarse al parque, disfrutar del buen tiempo y usar la dirección IP del router wireless desprotegido de turno. Cuando la Policia y/o la Guardia Civil lleguen a casa del vecino y le precinten el ordenador ya se explicará. ¿Os imagináis que llegan a vuestra casa a precintaros el ordenador por algo que no habéis hecho? Luego a partir de ahí se realiza un análisis forense offline con alguna herramienta tipo Encase y … A lo mejor encuentran, por una tontería cosas que no deberían o… bueno, que me voy, sigamos.

Acceso a Información

Al estar en tu red Wireless, la conexión funciona como un hub, luego todas las comunicaciones que se emitan, si están en el radio de visibilidad de la señal, podrán ser capturadas por el atacante. Así, podrán verse conversaciones de MSN Messenger (que no van cifradas), las transferencias de ficheros que se hagan por estos programitas (fotos, documentos office, música, etc…) e incluso podrán grabar tus conversaciones de voz sobre IP en ficheros mp3 con programas con Ethereal (que graba en .au), orekaudio, el mismo Cain o vomit.

Imagen: Grabando una conversación con Ethereal en fichero .au

Robo de Identidades

Si están en vuestra red wireless ya pueden capturar todo el tráfico que se realice entre vuestro ordenador y el Acces Point, luego, si te conectas a Hotmail, o a un banco o a tu correo electrónico de la empresa o a cualquier sitio con credenciales, el atacante puede robar tus contraseñas con programitas como CAIN, que ya viene con la suite completa para el crackeo de las mismas en caso de que vayan cifradas.

Imágen: Robo de Contraseñas con un Cain “repletito”.
Vale, supongo que esta información ayudará a que queramos securizar las redes wireless y como hemos visto en la primera parte, el mes pasado, la utilización de WEP no es aceptable, así que sigamos viendo las alternativas.

WPA (Wireless Protected Access)

La Wifi Alliance, en el periodo mientras se aprobaba el estándar 802.11i que vendría a sustituir definitivamente a WEP proponía el uso de las siguientes tecnologías de seguridad que ya venían descritas en el borrador de lo que sería el estándar definitivo. José Manuel Alarcón escribió en PCW número 232 de Junio de este año un extenso artículo sobre WPA, así que aquí vamos a ir un poco más directos.

Cifrado WPA

El sistema de cifrado que se utiliza en WPA cambia respecto de WEP (RC4 con claves 64 y 128 bits) a usar TKIP (Temporal Key Integrity Protocol). TKIP sigue usando el protocolo RC4, pero en este caso se minimiza la exposición al ataque utilizando las siguientes modificaciones.

- El Vector de Inicialización (IV) es demasiado corto en WEP, de 24 bits. En TKIP se utilizan IVs de 48 bits. Esto, a priori solo alargaría el proceso, pero seguiría siendo válido el mismo tipo de ataque.
- Integridad datos. En WEP se podía modificar bits en los datos y cambiar el CRC32, es decir, se podían modificar los datos. Para ello se utiliza un nuevo protocolo “Michael” MIC (Messatge Integrity Code) que es cifrado con TKIP.
- WEP utiliza la clave principal para cifrar y autenticar. En TKIP se genera una Clave Maestra de 256 bits cuando el cliente se autentica que recibe el nombre de Pairwise Master Key (PMK). Usando PMK más la dirección MAC del AP, la dirección MAC del Cliente y dos números aleatorios, creados uno por el AP y otro por el cliente se generan las claves derivadas. En total TKIP utiliza 6 claves derivadas:
o Data Encryption Key: de 128 bits y utilizada para cifrar los mensajes.
o Date Integrity Key: de 128 bits y utilizada en el protocolo MIC para garantizar la integridad (no modificación) del mensaje.
o EAPOL-Key Encryption Key: Los mensajes EAPOL son los que se usan para autenticar la conexión, y cuando se realizan los procesos de autenticación se utilizan claves especiales.
o EAPOL-Key Integrity Key: De igual forma se utiliza una clave para MIC a parte en los mensajes de autenticación.
o Multicast Encryption Key: 128 bits para cifrar los datos multicast.
o Multicast Integrity Key: 128 bits para garantizar la integridad de los mensajes multicast.
- WEP siempre utiliza las mismas claves. En TKIP se genera un proceso de rekeying periódicamente para generar nuevas claves temporales.
- WEP no tiene protección contra Reinyección de paquetes. Es decir, un paquete puede ser capturado y reinyectado en la red, permitiendo aumentar el tráfico. En TKIP esto no se puede hacer porque se usa el IV como contador de protección.

Resumiendo TKIP

El funcionamiento de TKIP se puede resumir de la siguiente forma. Cuando el cliente se autentica se genera una Clave Maestra (PMK) de 256 bits. A partir de ella, utilizando las direcciones MAC del cliente, del AP y dos números aleatorios generados por el cliente y el AP, se determinan 6 claves temporales. Estas claves se usan para cifrar y garantizar los datos transmitidos y además se diferencia entre los mensajes de datos y los de control de autenticación. Cada vez que un cliente se vuelve a autenticar se genera una nueva PMK y periódicamente se cambian las claves derivadas. Además hay control de “replay” de paquetes usando el IV que se ha incrementado de 24 a 48 bits. Hasta aquí sería una fortificación del protocolo WEP, pero además la forma de cifrar y descifrar ha cambiado un poco.

Proceso de Cifrado

Paso 1: Con el IV, la dirección de destino y la Data Encryption Key se genera con un algoritmo de mezcla la Clave de Cifrado de Paquete (Per Packer Encryption Key).
Paso 2: Con la dirección de destino, la dirección de origen, la prioridad del paquete, los datos a enviar y la Data Integrity Key se calcula con el algoritmo Michael el MIC.
Paso 3: Se calcula el ICV (Integrity Check Value a partir del CRC-32).
Paso 4: Con el IV y la Clave de Cifrado de Paquete se genera, con el algoritmo RC4 PRNG el keystream de cifrado que será del mismo tamaño que los datos, el MIC y el ICV.
Paso 5: Se realiza XOR entre el RC4 Keystream y los datos, MIC e ICV para producir el mensaje cifrado.
Paso 6: Se añade el IV al paquete.

La principal diferencia es la utilización de una clave distinta por paquete, que es derivada de una clave temporal (que cambia periódicamente) que a su vez es derivada de la Clave Maestra, que se cambia en cada proceso de autenticación.

Proceso de Descifrado

Paso 1: Se extrae el IV y junto con la Dirección de Destino y la Data Encryption Key se genera la Clave de Cifrado de Paquete.
Paso 2: Con la Clave de Cifrado de Paquete y el IV se genera el RC4 Keystream
Paso 3: Se hace XOR entre el RC4 Keystream y el mensaje cifrado para obtener el mensaje descifrado.
Paso 4: Se calcula el ICV y se compara con el que venía en el paquete para aceptar o descartar el paquete.
Paso 5: Con la Dirección de Destino, la Dirección de Origen, los datos y la Data Integrity Key usamos Michael para calcular el MIC.
Paso 6: Se compara el MIC recibido y el MIC calculado. Si no son iguales se descarta el paquete.

El proceso de descifrado, como se puede ver, es simétrico al de cifrado.

Autenticación WPA

Para autenticar las conexiones Wireless vamos a tener 2 entornos diferenciados, un entorno doméstico y un entorno empresarial.

WPA-PSK

En entornos domésticos solemos tener únicamente un Punto de Acceso (AP) y uno varios clientes. No usamos servidores externos por lo que no vamos a desplegar una infraestructura compleja (¿o sí?). En este entorno utilizaremos una solución basada en clave compartida (Pre-Shared Key) que configuraremos en los clientes y en el Punto de Acceso.

Imagen: WPA en el AP
La elección de la Clave Compartida (PSK) debe ser lo más larga y aleatoria que se pueda (no como la que tenemos en la captura de la pantalla). Esta PSK deberá ser configurada en los clientes y se utilizará para autenticar las conexiones y para generar la Clave Maestra. Un atacante puede, a partir de un paquete de autenticación de un cliente aplicar un algoritmo de fuerza bruta obtener la PSK que le permitirá al usuario autenticarse, pero no le valdrá para obtener la información que está transmitiendo otro cliente ya que los datos de otro cliente irán cifrados por las claves temporales y por lo tanto tendría que averiguar las claves temporales para poder averiguar las claves por paquete y descifrar el tráfico. Estas claves temporales pueden ser averiguadas a posteriori y averiguar el tráfico que ha sido transmitido. Si utilizamos una clave de 63 caracteres aleatorios el tiempo de ruptura por fuerza bruta hace inviable este tipo de ataques. Si por el contrario la contraseña es corta, un atacante que capturase el paquete de autenticación (handsake o saludo) podría lanzar un ataque de diccionario o fuerza fruta con el programa AirCrack.

Imagen: Ataque de diccionario Aircrak a WPA-PSK

Configuración del Cliente WPA-PSK

Para configurar un cliente WPA-PSK en MS Windows XP bastará con configurar las propiedades de una nueva red inalámbrica seleccionando la opción WPA-PSK como sistema de autenticado, TKIP como sistema de cifrado y establecer la Clave Compartida en cada uno de los clientes:

Imagen: Cliente WPA PSK

EAP (Extensible Authentication Protocol)

EAP nació como una evolución de PPP (Point to Point Protocol) que permitiera negociar el sistema de autenticación entre el Cliente o también llamado Suplicante y el Servidor de Autenticación. A diferencia de PPP, en EAP primero se establece la conexión, después se negocia el método de autenticación (EAP Method) entre el Suplicante y el Servidor de Autenticación y por último se concede el acceso o se deniega la conexión. Esto permite que los clientes puedan ser autenticados de diferentes formas por un mismo servidor siempre y cunado ambos estén de acuerdo en el método de autenticación. EAP permite diversos métodos de autenticación pero los más comunes son:

- EAP – MD5 – CHAP: En este método utilizamos un desafío respuesta con la contraseña cifrada en MD5 y mecanismo CHAP. Este mecanismo no se suele utilizar en conexiones inseguras (redes públicas) y se reserva solo a líneas dedicadas y por motivos de compatibilidad con versiones antiguas debido a que CHAP ha sido vulnerado.
- EAP–TLS: Utilizamos como credencial de cliente un certificado de usuario. Así, cualquier usuario que quiera autenticarse no deberá presentar su contraseña sino un certificado digital.
- Protected EAP (PEAP): Con este método, previamente a la negociación EAP entre el cliente o suplicante y el servidor de autenticación se establece un canal seguro TLS, similar al que se utiliza en HTTPs, por lo que es necesario que nuestro Servidor de Autenticación posea un certificado de servidor. Una vez establecido ese canal se procederá a la sesión EAP, que podrá ser:
o PEAP–MSCHAP v2: Al igual que en el método anterior primero se establece un canal TLS entre el Suplicante y el Servidor de Autenticación y después comenzará una sesión desafío respuesta con MS CHAPv2 para autenticar al cliente.
o PEAP–TLS: De nuevo estamos ante un método que utiliza el canal seguro TLS antes de enviar la credencial del suplicante. En este caso la credencial que presentará el cliente será un certificado digital. En este método tendremos que utilizar un certificado de servidor para establecer el canal TLS previo a la sesión EAP y luego un certificado digital para el cliente para poder autenticarlo.

Estos son los métodos que podemos utilizar para autenticar nuestras conexiones, para cada uno de los que elijamos deberemos establecer los mecanismos adecuados, así, si utilizamos EAP–TLS deberemos instalar un certificado digital en cada uno de los Suplicantes para autenticarlos, si usamos PEAP-MSCHAPv2 tendremos que tener un certificado digital en el Servidor de Autenticación y si usamos PEAP-TLS serán necesarios certificados digitales en todos los participantes de la comunicación.

Servidor RADIUS (Remote Authentication Dial-In User Service)

RADIUS es un protocolo de autenticación que se ha convertido en un estándar de la industria para validad usuarios a través de diferentes métodos. Las transacciones en cada una de las comunicaciones entre el cliente y el servidor van cifradas con una clave compartida. Esta clave compartida nunca se envía por la red, así, cada petición de autenticación entre un cliente RADIUS y un Servidor RADIUS debe ir cifrada con esa clave compartida.

Cuando queremos establecer un sistema de autenticación de clientes Wireless a una red el cliente RADIUS será el Punto de Acceso y el Servidor RADIUS contendrá la base de datos de clientes que pueden conectarse. Para ello, en el Punto de Acceso deberemos configurar:

- La dirección IP del servidor RADIUS
- El puerto del Servidor RADIUS, generalmente el 1812.
- La Clave compartida.

Imagen: Configuración Servidor RADIUS en el AP

El Servidor RADIUS tendrá configurada la clave compartida para cada uno de los clientes que pueden realizar una petición RADIUS. En el mes que viene acabaremos de montar al infraestructura y veremos como se configura el Servidor Microsoft Internet Authentication Server (MS IAS), que es el servidor RADIUS de Microsoft.

802.1x

Para poder utilizar el sistema EAP en conexiones Wireless es necesario utilizar un protocolo que permita encapsular el tráfico desde la conexión inalámbrica al Servidor de Autenticación. En un entorno común tendremos un Servidor de Autenticación, que tendrá configurada la política de qué Suplicantes pueden o no conectarse a la organización, y que se encontrará dentro de una zona protegida de nuestra red. El Punto de Acceso Wireless tendrá conexión directa al Servidor de Autenticación y es el que demandará un proceso de Autenticación para un determinado Suplicante. 802.1x nace como forma de poder permitir a cualquier elemento de la red (switches, APs, ….) pedir un proceso de autenticación para una conexión que se acaba de producir. 802.1x utiliza EAPOL (EAP Over Lan) porque lo que va a realizar es una encapsulación del protocolo EAP sobre la red privada para llegar al Servidor de Autenticación. Así, como se ve en el gráfico, el proceso sería el siguiente:

Paso 1: Un cliente se asocia al AP utilizando el protocolo 802.11
Paso 2: El Suplicante inicia el proceso de autenticación 802.1x porque el AP no le concede acceso a la red y se elige el EAP-Method.
Paso 3: El Autenticador requiere la Identidad al Suplicante
Paso 4: El Suplicante le entrega la Identidad al Autenticador que retransmitirá al Servidor de Autenticación. Como se puede ver, el Servidor de Autenticación es un servidor RADIUS que pedirá las credenciales para esa identidad al Autentcador.
Paso 5: El Autenticador pide las Credenciales al Suplicante.
Pado 6: Suplicante entrega las Credenciales al Autenticador que se retransmiten al Servidor de Autenticación (Servidor RADIUS)
Paso 7: Servidor RADIUS valida las credenciales y Acepta la conexión.
Paso 6: El Autenticador entrega tras aceptar la conexión la EAPOL-Key que no es más que una secuencia de bits que utilizaremos como Clave Maestra en el proceso de cifrado del algoritmo TKIP. Así, cada vez que tenemos un proceso de autenticación o re-autenticación se genera una nueva Clave Maestra.

Imágen: Autenticación EAPOL

Frame Relay

2009-01-23T13:14:00.000-06:00

Frame Relay es una tecnología de transmisión de datos y voz a alta velocidad mediante conmutacion de paquetes. Destaca por su bajo coste en comparación a las líneas dedicadas.

Está clasificada como una non-broadcast multi-access network (NBMA), es decir, no envía paquetes broadcast. Proviene de X.25 y hereda muchas de sus características.

Frame Relay proporciona una red conmutada a diferentes clientes al mismo tiempo, pero se basa en que éstos nunca deberán transmitir datos constantemente. FR trabaja proporcionando una porción de ancho de banda a cada usuario, incluso permitiendo exceder su ancho de banda garantizado si hay recursos disponibles.

Al contratar FR, contratamos un ancho de banda o media des e datos que podremos transmitir. Esto se conoce como Commited Information Rate (CIR). Es posible superar el CIR, pero entonces los datos se envían como “best effort” y se descartaran las tramas en caso de congestión.

Tipos de encapsulación

Existen dos tipos: Cisco y IETP (Internet Engineering Task Force). En caso de conectar equipos que no sean Cisco habrá que optar por el segundo.

Circuitos Virtuales

Frame Relay opera usando circuitos virtuales que conectan dos dispositivos DTE, haciendo que parezca que están conectados a través de un circuito, cuando en realidad lo hacen mediante una gran infraestructura compartida.

Existen dos tipos de circuitos virtuales:

Permanent Virtual Circuit (PVC): son los más habituales. Son permanentes porque se crean mapeos entre equipos de transmisión para su uso repetido. Eliminan la necesidad de establecimiento y liberación de la conexión.
Switched Virtual Circuit (SVC). se generan de forma dinámica para cada conexión, y se eliminan cuando ha terminado.

Los PVCs se identifican en un DTE por los Data Link Connection Identifiers o DLCIs. Estos se usan en las interfaces para distinguir entre diferentes circuitos virtuales. Inverse ARP nos permite mapear DLCIs a direcciones IP, es decir, traduce direcciones de nivel 2 a nivel 3, a la inversa que ARP.

Los DLCIs se consideran significativos localmente. Cuando un router1 quiere enviar un frame a un router2, usa IARP o mapeo manual, para traducir el DLCI a una dirección IP. Entonces envía el frame con el DLCI en la cabecera del FR. El FR switch del proveedor lo recibe, y usa el puerto que corresponde a ese DLCI. Es decir es significativo localmente, entre él y el siguiente switch.

Local Management Interface

LMI es un estándar usado entre el router y el primer FR switch. Permite transmitir información el estado del circuito virtual. Comunica información sobre:

Keepalives: verifica que hay flujo de datos.
Multicasting: extensión que permite distribuir información de protocolos de routing y ARP sobre la red Frame Relay (usa DLCI reservados para multicast).
Direccionamiento global: proporciona significado global a los DLCIs (dirección única en la WAN). Esto provoca que se comporte como una red LAN.
Estado del circuito virtual: permite que se envíen paquetes por un circuito inexistente.

Hay tres tipos de mensajes LMI: Cisco, Ansi y Q.933A.

Control de congestión

El FR switch notifica al DTE los problemas de congestión. Existen tres bits con diferente significado:

Discard Eligibility (DE): cuando se transmiten paquetes más allá del CIR de un PVC, cualquier paquete se puede descartar si se produce congestión. Los bits de exceso se marcan con el DE activo en la cabecera, y el FR switch los descartará si la red esta congestionada.
Forward Explicit Congestion Notification (FECN): cuando el FR switch detecta congestión en la red, activa el bit FECN en la cabecera de FR y el DTE de destino sabrá que el camino estaba congestionado.
Backward Explicit Congestion Notification (BECN): cuando el switch detecta congestion en la red activa el BECN en un frame destinado al router de origen. Así notifica que hay congestión.

Subinterfaces

Es posible tener múltiples circuitos virtuales para una única interfaz y tratar cada una como diferentes interfaces, usando el concepto de subinterfaz. Se tratan de interfaces lógicas definidas por el IOS.

Varias subinterfaces compartirán una interfaz hardware, y a nivel de configuración operarán como si fueran físicamente distintas (multiplexación). Hay dos tipos:

Point-to-point: un circuito virtual conecta un router con otro. Cada pareja de routers punto a punto está en su propia subred y cada subinterfaz punto a punto tiene un solo DLCI.
Multipoint: se utiliza una sola subinterfaz multipunto para establecer múltiples conexiones PVC a múltiples interfaces físicas o subinterfaces en routers remotos. Todas las interfaces involucradas se encuentran en la misma subred.

Autor: David González Pérez

Salto de restricciones de seguridad en Cisco Security Manager 3.x

2009-01-22T03:46:00.002-06:00

21/01/2009 Salto de restricciones de seguridad en Cisco Security Manager 3.x

Cisco ha publicado una actualización para Cisco Security Manager 3.x que corrige un fallo de seguridad que podría permitir que un atacante remoto no autenticado pudiera saltarse restricciones de seguridad.

Cuando Cisco Security Manager es usado con Cisco IPS Event Viewer (IEV), se podrían abrir ciertos puertos TCP, en el servidor Cisco Security Manager y en el cliente IEV, que podrían ser utilizados por un atacante remoto para acceder como root a las bases de datos MySQL IEV y a su servidor.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090121-csm.shtml

Más Información:

Cisco Security Advisory: Cisco Security Manager Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090121-csm.shtml

Fuente:www.hispasec.com

Seguridad de Red Inalambrica (I de III)

2009-01-22T03:44:00.000-06:00

Proteger una red Wireless

Chema Alonso. Microsoft MVP Windows Security

Atacar redes Wireless se ha convertido desde hace tiempo en un deporte, una diversión o un hobby. En casi todos los medios de comunicación se han escrito artículos sobre como hackear redes Inalámbricas (yo mismo escribí un artículo sobre esto mismo hace casi 2 años) e incluso en los Microsoft Security Days del año 2005 y la gira de Seguridad Technet fuimos haciendo demostraciones de cómo se puede realizar de forma sencilla un ataque a una red Wireless.

Sin embargo, sigue siendo común que los ataques a redes Wireless tengan éxito. ¿Por qué sucede esto? Justificaciones como ¿Quién me va a atacar a mi? O Si yo no tengo nada importante, me da igual que usen mi red suelen ser reflejo de una falta de conocimiento del riesgo o un problema de conocimiento técnico de cómo se puede securizar una red inalámbrica. Vamos a hacer un rápido repaso a las tecnologías de seguridad en las redes Wireless y viendo los riesgos que tienen cada una de ellas para poder elegir una buena opción a la hora de proteger nuestra red.

La tecnología Wireless

Cualquier conexión que se realice sin cables se considera inalámbrica, pero nosotros nos vamos a centrar en las redes WLan, o redes de área local Wireless. Las redes inalámbricas pueden ser de dos tipos, Ad-hoc, que sería una red entre dos equipos iguales (red de pares) o de Infraestructura, que simularía una conexión de red basada en un Hub o concentrador de conexiones. Esto es importante porque mediatiza los tipos de ataques que se pueden realizar.

Los estándares que gobiernan estas tecnologías son los 802.11 y los primeros que llegaron al público fueron los 802.11b y 802.11g, estándares que permitían velocidades de transmisión desde 11 Mb/s hasta 108 Mb/s. Desde el año 2004 se trabaja en el estándar 802.11n que permitirá implementaciones de hasta 500 Mb/s y que se espera que esté publicado a finales de este año o principios del 2007. Sorprendentemente, al igual que sucedió con la espera del 802.11i (que hablaremos de él un poco más adelante) ya se ha adelantado el mercado y están disponibles a la venta dispositivos 802.11n que se han diseñado siguiendo la información en el borrador [1] del estándar que se aprobó. Para completar algunas de las “letras” que podemos encontrarnos en los estándares, existe la versión 802.11e, pensada para transmisión de video y audio en tiempo real mediante la utilización de protocolos de calidad de servicio.

Vale, hasta aquí información sobre “letras” que nos marcan algunas características de las conexiones, pero no de la seguridad. Sigamos adelante.

Definición de una WLan

Lo primero que debemos definir es el nombre de nuestra red WLan, y para ello unas breves definiciones para aclararnos:

BSS (Basic Service Set). Se refiere a un conjunto de máquinas que pertenecen a una misma red inalámbrica y que comparten un mismo Punto de Acceo a la red Wireless (AP)

BSSID (Basic Service Set Identifier): Es el identificador que se usa para referirse a un BSS. Tiene la estructura de dirección MAC y generalmente todos los fabricantes utilizan la dirección MAC del AP. Esto es importante, porque los atacantes descubren este valor para poder identificar los clientes de la red. Para ello, los atacantes buscan en las comunicaciones de red que máquinas se están conectando con ese AP.

ESS (Extended Service Set). Es un conjunto de BSS que forman una red, generalmente será una Wlan completa.

SSID (Service Set Identifier): Es el nombre de la Wlan, entendible para el usuario, el que nosotros configuramos: mi_wlan, escrufi o wlan1.

ESSID (Extender Set Service Identifier): Es el identificador del ESS, es transparente al usuario y lleva la información del SSID.

Al final, cuando configuramos una Wlan, lo que debemos hacer es seleccionar un nombre para nuestro SSID y un canal de radio para la frecuencia de comunicación.

Imagen: Configuración SSID, Canal y ESSID de una Wlan en el AP.

Protección MAC

Para evitar que se conecten clientes no deseados muchos AP ofrecen opciones para crear listas blancas de equipos que se pueden conectar en función de la dirección MAC de los clientes. Para ello en el AP se añaden las direcciones de las máquinas que queremos permitir y listo.

Esto no es una medida de seguridad robusta pues es bastante fácil de saltar para un atacante. Utilizando cualquier herramienta de análisis de redes wlan com Netstumbler nos descubren los SSID, el canal y frecuencia que está siendo utilizado y la MAC del AP.

Imagen: Netstumbler descubriendo SSIDs, canales, MACs AP, Cifrado, etc…

Una vez que se conocen las MACs de los AP conocer las Macs de los clientes autorizados es tan sencillo como abrir un Sniffer de red como AiroPeek y ver que direcciones se comunican con la MAC del AP. Esas serán las MACs autorizadas. Cuando ya se tiene la lista de las direcciones autorizadas, pues el atacante se configura una MAC válida con alguna de las muchas herramientas que hay para spoofear(suplantar) direcciones y ya se habrá saltado esa protección.

Imagen: Herramienta SMAC spoofeando la dirección MAC de nuestra Wlan con el valor 00-13-02-2E-8B-41 por el valor FA-BA-DA-FE-AF-EA

Conclusión: El filtrado de direcciones MAC no es una buena protección de seguridad, es muy sencillo para un atacante saltarse está protección.

Autenticación y Cifrado

Claves WEP 64 y 128 bits

El estándar 802.11 define un sistema para Autenticación y cifrado de las comunicaciones Wlan que se llama WEP (Wireless Equivalent Privacy).

WEP utiliza una palabra clave que va a ser utilizada para autenticarse en redes WEP cerradas y para cifrar los mensajes de la comunicación.

Para generar la clave, en muchos AP se pide una frase y luego a partir de ella se generan 5 claves distintas para garantizar el máximo azar en la elección de la misma, pero en otros simplemente se pide que se introduzca una con las restricciones de longitud que se configure y listo.

Para el cifrado de cada trama se añadirá una secuencia cambiante de bits, que se llama Vector de Inicialización (IV), para que no se utilice siempre la misma clave de cifrado y descifrado. Así, dos mensajes iguales no generarán el mismo resultado cifrado ya que la clave va cambiando.

Imagen: Configuración WEP con Frase de Paso y generación de claves

Como se puede ver en la imagen, en este caso tenemos un AP que permite generar 5 claves a partir de una Frase o directamente configurara una clave. Cuando tenemos 5 claves, hemos de marcar cual es la que vamos a utilizar porque WEP solo utiliza 1 clave para todo. Como se puede ver hemos seleccionado una opción de clave WEP de 64 bits, de los cuales 5 octetos (40 bits) son la clave y los 24 bits restantes serán el IV. Es decir, en una comunicación normal tendríamos 2 a la 24 claves distintas de cifrado.

Imagen: Configuración WEP de 128 bits

En el caso de WEP de 128 bits tendremos 13 octetos fijos (104 bytes) y 24 bits cambiantes (IV), es decir, tendremos el mismo número de claves pero de mayor longitud.

Proceso de Cifrado y Descifrado

Para entender el proceso de autenticación en redes Wlan con WEP es necesario explicar previamente el proceso de cifrado y descifrado ya que es utilizado durante el proceso de autenticación de un cliente.

El proceso de cifrado es el siguiente:

Paso 1: Se elige el IV (24 bits). El estándar no exige una formula concreta.
Paso 2: Se unen la clave Wep y el IV para generar una secuencia de 64 o 128 bits. Este valor se llama RC4 Keystream.
Paso 3: Se pasa esa secuencia por un algoritmo RC4 para generar un valor cifrado de esa clave en concreto.
Paso 4: Se genera un valor de integridad del mensaje a transmitir (ICV) para comprobar que el mensaje ha sido descifrado correctamente y se añade al final del mensaje.
Paso 5: Se hace un XOR entre el mensaje y el RC4 Keystream generando el mensaje cifrado.
Paso 6: Se añade al mensaje cifrado el IV utilizado para que el destinatario sea capaz de descifrar el mensaje.

El proceso de descifrado es el inverso:

Paso 1: Se lee el IV del mensaje recibido
Paso 2: Se pega el IV a la clave WEP
Paso 3: Se genera el RC4 Keystream
Paso 4: Se hace XOR entre el mensaje cifrado y el RC4 KeyStream y se obtiene el mensaje y el ICV.
Paso 5: Se comprueba el ICV para el mensaje obtenido.

Proceso de Autenticación

A la hora de que un cliente se conecte a una Wlan se debe autenticar. Esta autenticación puede ser abierta, es decir, que no hay ninguna medida de exigencia para que pueda asociarse a la red, o cerrada, por la que se va a producir un proceso de reconocimiento de un cliente válido.

Así, en una autenticación WEP se usa una idea muy sencilla. Si tienes la clave WEP serás capaz de devolverme cifrado lo que te envíe. Así, el cliente pide conectarse y el AP genera una secuencia de 128 octetos que le envía al cliente cifrado. El cilente descifra esa cadena de 128 octetos y se la devuelve en otra trama cifrada con otro IV. Para que la autenticación sea mutua se repite el proceso de forma inversa, es decir, enviando el AP la petición de conexión al cliente y repitiéndose el envío de la cadena de 128 octetos cifrados del cliente al AP.

Seguridad WEP

¿Es seguro utilizar WEP entonces? Pues la verdad es que no. Hace ya años que se demostró que se podía romper y hoy en día romper un WEP es bastante trivial y en cuestión de minutos se consigue averiguar la clave WEP. El atacante solo tiene que capturar suficientes tramas cifradas con el mismo IV; la clave WEP va en todos los mensajes, así qué, si se consiguen suficientes mensajes cifrados con el mismo IV se puede hacer una interpolación matemática y en pocos segundos se consigue averiguar la clave WEP. Para conseguir suficientes mensajes cifrados con el mismo IV el atacante puede simplemente esperar o generar muchos mensajes repetidos mediante una herramienta de inyección de tráfico. Hoy en día, para los atacantes es muy sencillo romper el WEP porque existen herramientas gratuitas suficientemente sencillas como para obviar el proceso que realizan para romper el WEP.

Imagen: Captura de Tramas de con airodump

Pero incluso aquí en España, donde hay un grupo de investigación sobre el tema de seguridad Wireless (http://hwagm.elhacker.net/) se han desarrollado herramientas con GUI para que sean más sencillitas.

Imagen: Winairodump. GUI hecho para generar capturas de tramas Wireless

Una vez que han generado un fichero de capturas suficiente se pasa por el crackeador que va a devolver la clave WEP que está siendo utilizada.

Imagen: Aircrack. Coge el fichero generado por Airdump y devuelve la clave WEP

WLanDecrypter

Una especificación concreta de las redes WEP se ha producido en España. Una compañía de televisión por Internet instala en sus clientes siempre redes Wireless a las que configura, como SSID un valor del tipo: WLAN_XX.

Estas redes utilizan un sistema de claves WEP sencillo que ha sido descubierto. La clave esta compuesta con la primera letra de la marca del router utilizado en mayúsculas (Comtrend, Zyxel, Xavi) y la MAC de la interfaz WAN del router. Además el nombre de la red es WLAN_XX donde XX son los dos últimos dígitos de la dirección MAC de la interfaz WAN. Como cada router tiene una asociación entre el fabricante de la interfaz wireless y de la interfaz WAN, puesto que se hacen en serie y con las mismas piezas, si sabemos la MAC de la interfaz wireless también sabremos los 3 primeros pares de dígitos hexadecimales de la MAC WAN (que corresponden al fabricante).

En definitiva, con una herramienta sencilla y una captura de 1 mensaje de red en pocos segundos se rompe la clave WEP de este tipo de redes. Hasta que las empresas cambien su política.

Imagen: WlanDecrypter, descargable de Rusoblanco

Direccionamiento de Red

Para un atacante, encontrar el direccionamiento de red que tiene que utilizar en una wlan en la que se ha colado es también un paso trivial:

- La red cuenta con servidor DHCP: el equipo del atacante será configurado automáticamente y no tendrá que hacer nada. En el caso de que haya suplantado una dirección MAC de un cliente, el atacante no podrá utilizar esta dirección IP porque ya está siendo utilizada por otro (ya que el servidor DHCP asigna direcciones en función de direcciones MAC), pero le servirá para ver el rango de direccionamiento que puede utilizar y la puerta de enlace.

- La red con cuenta con DHCP: El cliente se conecta con una dirección IP no valida y realiza capturas de la red con un sniffer (Wireshark, Ethereal, AiroPeek, …). En una captura con tráfico verá rápidamente cuales son las direcciones IP que se están utilizando. Para averiguar la puerta de enlace solo tendrá que buscar una comunicación entre un equipo interno con una IP externa. Ese mensaje, obligatoriamente ha sido enviado a la puerta de enlace, luego la MAC destino de ese mensaje será la MAC de la puerta de enlace. Basta utilizar los comandos ARP para averiguar la IP asociada a esa MAC.

802.11i, WPA y WPA2

Visto lo visto, todo el mundo sabía que había que hacer algo con la seguridad en las redes Wireless. La única solución que se planteaba con este panorama consistía en realizar conexiones VPNs desde el cliente que se quiere conectar a una Wlan hasta un servidor en la red para conseguir cifrar las conexiones, es decir, tratar la Wlan como una red insegura, como Internet, y realizar un cifrado y una autenticación por encima con los mecanismos que nos ofrecen los servidores de VPN.

El IEEE 802.11 anunció una nueva versión segura para Wlan que se llamaría 802.11i y cambiaría los protocolos de seguridad de las Wlans. Como el proceso de aprobación de un estándar era largo y el mercado necesitaba una solución rápida, un grupo de empresas, reunidas bajo la organización Wi-Fi Alliance crearon WPA (Wireless Protected Access) como una implementación práctica de lo que sería el próximo estándar 802.11i.

OSPF (Parte II)

2009-01-21T18:29:00.001-06:00

Los paquetes OSPF se encapsulan en IP con tipo de protocolo de transporte número 89. En la cabecera OSPF existe un campo que indica el tipo de paquete:

Paquetes Hello (type=1): establecen y mantienen relaciones entre vecinos.
Database Description (DBD): (type=2) describe el contenido de la DB.
Link-State Request (LSR): (type=3) paquetes de petición de porciones de la DB.
Link-State Update (LSU): (type=4) paquetes de respuesta con porciones de la DB.
Link-State ACK (LSAck): (type=5) paquetes que reconocen LSUs.
Link-State Advertisement (LSA): describen el estado local de un router o red. Para un router incluye el estado de las interfaces y sus adyacencias. Van empaquetados en DBD, LSU, LSR o LSAck.

Tipos de LSAs en una OSPF multiárea

Router LSA: generado por cada router dentro de su área a todos los routers del área.
Network LSA: generado por cada DR, describe el conjunto de routers conectados a la red BMA y sólo se envían dentro del área.
Summary LSA: generados por ABRs describen rutas externas al área (que le han llegado a través del backbone) pero que pertenecen al AS.
ASBR summary LSA: generados por los ABR, describen rutas al ASBR para que todos sepan salir al exterior.
AS external LSA: generados por los ASBR describen rutas externas al AS.

En una red multiárea el routing intra-área es el habitual. Cuando se han sincronizado las DB, los ABR tienen un mapa topológico de cada área y puede generar LSAs a otros ABR.

El ABR genera un summary LSA para cada red del área (puede usar sumarización para optimizar). Por lo que cada router ABR, tiene la topología completa del área de backbone y una sumarización de cada área.

OSPF en diferentes topologías

1) BMA (Broadcast Multi-Access): es el caso estándar (LANs). El protocolo de Hello se usa para:

Comprobar que la línea con un vecino está operacional y pueden intercambiar información.
Elegir al DR y BDR.

Los hello se envían periódicamente (cada 10 seg) usando la dirección multicast 224.0.0.5.

Como se ha comentado anteriormente, cada segmento de la red BMA tendrá un DR y BDR. Un router podrá actuar como DR en un segmento y actuar como router normal en otro, pues en realidad es la interfaz la que actúa como DR o BDR. Hay que tener en cuenta, que no es recomendable que un router sea DR en varías LANs pues el consumo de CPU es elevado.

Un BDR detectará que un DR falla, pues durante un cierto tiempo no recibirá LSAs.

Durante el descubrimiento de rutas, se pasa por varias fases:

Exstart State: DR y BDR forman una adyacencia con cada uno de los routers (master-slave).
Exchange State: intercambio de DB.
Loading State: el slave compara información recibida y pide que le envíen entradas que no tiene.
Full State: se crea la tabla de encaminamiento.

Nota: 224.0.0.5 dirección multicast a todos los routers OSPF. 224.0.0.6 multicast a todos los routers DR y BDR.

2) Punto a punto:

En esta topología dos routers son adyacences por definición y no hay concepto de DR y BDR.

3) NBMA (Non-Broadcast Multi-Access): topologías Frame Relay, ATM, etc.

En estas topologías sin capacidades broadcast existen dificultades para la elección de BR y BDR. Existen dos métodos:

NMBA: se emula la operación de OSPF en una red broadcast. Se usa en redes totalmente malladas. Para ello el router crea un paquete que envía por cada enlace virtual listado en la tabla de vecinos. Útil para redes con pocos vecinos.
Point-to-Multipoint: cada enlace se trata como si se tratase de un enlace punto a punto (sin DR y BDR). Se usa en mallas parciales.

Autor:David González Pérez

Cisco lleva las Comunicaciones Unificadas al iPhone

2009-01-21T18:27:00.000-06:00

Cisco Systems, compañía con sede en San José (California, Estados Unidos) y actualmente líder mundial en soluciones de red e infraestructuras para Internet, ha anunciado la disponibilidad de una nueva serie de herramientas de colaboración para los usuarios del dispositivo iPhone 3G de Apple, entre las que se incluyen WebEx Meeting Center y Unified MeetingPlace.

Gracias a la aplicación WebEx de Cisco, que se puede descargar de forma gratuita desde AppStore, los usuarios del iPhone sólo tienen que hacer click en su terminal para atender a una reunión a la que han sido invitados. Con Cisco WebEx Meeting Center para iPhone, los usuarios pueden compartir documentos, comprobar la lista de participantes en la reunión, conocer en todo momento el nombre de la persona que está hablando e, incluso, iniciar un chat con el resto de los participantes.

En las reuniones en línea, los usuarios pueden aprovechar la posibilidad que ofrece Cisco para llevar a cabo conferencias de audio y web simultáneas en ambas redes, ya sea la móvil 3G o la 802.11 inalámbrica (Wi-Fi). La solución es compatible con diversas configuraciones como: la basada en Software como Servicio (SaaS) de WebEx Meeting Center de Cisco, la basada en instalación en su centro de trabajo de Unified MeetingPlace de Cisco, o la facilitada por el Proveedor de Servicios socio de Cisco. Los usuarios deben tener actualizada su suscripción a los servicios WebEx para poder programar o celebrar una reunión.

June Bower, vicepresidenta de marketing para el grupo de tecnología WebEx de Cisco, afirma que esta solución de colaboración para el iPhone destaca el compromiso de Cisco para llevar la productividad de la empresa al entorno preferido para cada usuario. June Bower indica que si combinan una solución de colaboración eficaz, una experiencia de uso enriquecedora y el dispositivo adecuado, tanto las empresas como los usuarios salen ganando.

En una versión futura del producto, Cisco incluirá la posibilidad de ver desde Cisco WebEx Meeting Center a los participantes de la reunión y a la persona que habla desde Unified MeetingPlace de Cisco. Los usuarios podrán asimismo transferir conferencias iniciadas con Cisco WebEx Meeting Center y Cisco Unified MeetingPlace desde el iPhone 3G de Apple Computer, gigante tecnológico estadounidense con sede en Cupertino (California, Estados Unidos), a un entorno de oficina, transfiriendo el sonido a un teléfono IP de Cisco y la conferencia web a un ordenador de forma que se mejore la experiencia de colaboración. Esta tarea se podrá realizar también de modo inverso.

Fuente: www.telcommunity.com

Protocolos de Enrutamiento. Atacando a RIP (Parte3)

2009-01-20T06:49:00.003-06:00

Aunque esto lo vamos a descubrir en un momentito, está bien que sepamos las Ip’s de los routers que interconectan nuestra empresa...

Veamos:

RS: Es el router que conecta recursos con Internet, tiene 2 interfaces:

· LAN: 192.168.43.254
· WAN: xxx.xxx.xxx.xxx (es la pública, claro)

RC: Es el router de la sede central que conecta recursos con la sede central y con las oficinas:

· Interface1: 192.168.4.111, conecta Central con Recursos
· Interface2: 172.28.0.111, Conecta Central con Oficina 1 y Oficina2

RO1: Es el Router de Oficina 1 que conecta con central

· Interface1: 172.28.0.112 que conecta Oficina 1 y central
· Interface2: 192.168.200.111 que conecta la red de Oficina1, vamos, que será la puerta de enlace para la gente de ficina1

RO2: Es el router que conecta Oficina 2 con la Central

· Interface 1: 172.28.0.113 que conecta Oficina 2 y Central
· Interface 2: 10.0.0.111 que conecta que conecta la red de Oficina2, vamos, que será la puerta de enlace para la gente de Oficina2

ATACANTE: Máquina Linux situada en central

· Interface1: 172.28.0.66 y puerta de enlace 172.28.0.111

Otro gráfico... uno mas para verlo mas claro:

El ataque consistirá en hacer pasar el tráfico de las oficinas por la máquina del atacante mediante el envío de actualizaciones RIP a los routers de la topología, para ello la máquina 172.28.0.66 (el atacante) falseará su IP y enviará dichas actualizaciones a los routers R01 y R02 haciéndose pasar por RC, los paquetes a enviar les indicarán a los routers involucrados que para llegar a Internet o a la red de recursos corporativos, la mejor manera de llegar es a través de él mismo... luego re-enrutará el tráfico hacia el verdadero destino de los paquetes y las respuestas de vuelta las enviará de nuevo a los legítimos orígenes.

La ip objetivo del ataque será la 10.0.0.55 que está situada en la red de la oficina2, este equipo se conecta habitualmente a una web importantísima para su trabajo diario...

http://www.wadalbertia.org/phpBB2/index.php

Para lograr el objetivo, el atacante necesita saber:

· Ip origen: nuestra víctima la ip 10.0.0.55
· IP destino: la de estos foros... 67.225.138.174

Realmente necesitamos la red destino... que bien puede ser 67.225.138.0/24, pero en este ejemplo usaremos sólo la IP.

También necesitaremos saber o estar seguros de que la métrica hacia esa red desde el origen es mayor a 1, puesto que si fuese uno el router de la oficina 2 podría hacer tres cosas:

a) Balancear la carga, el 50% de los paquetes irían por la interface del router y la otra mitad por la de la máquina del atacante
b) Usar únicamente la interface del router de oficina 2
c) Usar únicamente la máquina del atacante.

Esto lo podremos averiguar con un simple trazado de rutas hacia la víctima y otro trazado hacia wadalbertia, sumamos los saltos y será la métrica que aplicará el router de la oficina2.

Hombre, esto ya lo sabíamos de antes, tenemos unos dibujitos maravillosos, pero claro... no siempre sería así, verdad?

Bien, para verlo mas claro, hagamos como si estuviésemos en la máquina 10.0.0.55 y lanzamos un esnifer para RIP... se llama ass (no... no es culo como su significado indica) es Autonomous System Sniffer, ciertamente no sólo sirve para RIP, pero aquí lo usaremos para ello.

Podemos apreciar que para llegar a la red 172.28.0.0 (que se supone que es donde está el atacante) necesita de un salto, mientras que para ir a otras redes precisa de 2 ó 3 saltos... por tanto, si le decimos que para ir a wadalbertia se necesita sólo un salto y es por 172.28.0.66 (ip del atacante) se lo tragará....

Ahora veámoslo desde el punto de vista del atacante...

Primero hacemos un traceroute a la ip 10.0.0.55 (víctima), luego otro traceroute hacia wadalbertia (red destino que queremos ponernos en medio)

Nota: La salida del traceroute a wadalbertia la paré antes de que terminase,

Si te fijas, desde el atacante se pasan por los routers 172.28.0.111 y 172.28.0.113 para llegar a la red 10.0.0.0, recuerda también que el router 172.28.0.113 es el que nos conecta a la red víctima...

Y para llegar a wadalbertia, se pasan por los routers 172.28.0.111 y 192.168.4.254 (y mas... pero como ya te dije lo paré antes de que terminase puesto que el resto de saltos no nos interesan)

Por tanto, necesitará al menos dos saltos, por tanto, si conseguimos “enseñar” al router 172.28.0.113 que para ir a wadalbertia en lugar de dos saltos necesita uno sólo, la cosa está finiquitada.

Si corremos el esniffer desde “nuestra” posición, nos haremos una idea mas clara de la topología... casi, casi como en los gráficos (casi)

Una cosa antes de ponerte la captura de pantalla, hay que dejar un minuto mas o menos el esniffer corriendo, QUE NO SABES POR QUÉ???? Coña, lo de las actualizaciones de RIP, los 30 segundos de rigor y todo eso... que para ello lo expliqué antes

Bien, saldrán unos numeritos, unos y doses, eso son paquetes RIPv1 y RIPv2 respectivamente... veámoslo:

Como observarás en la pantalla anterior, claramente descubrimos como es el enrutamiento, los routers, los vecinos, las Ip’s, las métricas... vamos, todo....

Bueno, pues ahora hay que preparar el ataque... inyectaremos un paquete con destino a 172.28.0.113 (router de la red 10.0.0.0) haciéndonos pasar por 172.28.0.111 (siguiente salto de la red 10.0.0.0), diciéndole que para ir a Wadalbertia (67.225.138.174) se va “mejor” (métrica 1) por 172.28.0.66 (máquina del atacante)

Y TODO el tráfico de 10.0.0.55 con destino a Wadalbertia pasará por nuestra máquina

PERO ANTES!!! Antes, si queremos que la red víctima reciba respuestas, tendremos que poner nuestra IP como origen de los paquetes y no la de la víctima!!! Vamos que si no hacemos NAT el tráfico de salida pasará por nosotros pero el de vuelta no...

Y cómo hacemos NAT en Linux???? Pues claro, hombre claro... IPTABLES!!!

Por tanto, ANTES de inyectar nada:

· Habilitamos el reenvío:

echo 1 > /proc/sys/net/ipv4/ip_forward

· Hacemos nat en origen:

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.55 -j SNAT --to-source 172.28.0.66

Y ZAS!!! TODO el tráfico entre la IP 10.0.0.55 y Wadalbertia pasará por nuestra máquina (cuando inyectemos el paquete) y seremos capaces de capturar también el tráfico de vuelta y entregárselo a la red de la víctima

Ahora, si... un generador de paquetes, podemos usar el que queramos, nemesis es buan opción, pero hay uno también especializado en RIP, se llama srip

Lo que haremos es:

srip -2 -n 255.255.255.0 -g 172.28.0.111 172.28.0.66 172.28.0.113 67.225.138.174 1

Que es:

–2 (RIP versión 2)

-n 255.255.255.0 máscara de subred

-g 172.28.0.111 IP del router o gateway que enviará el paquete ip-spoofing)

172.28.0.66 máquina del siguiente salto

172.28.0.113 Router al que se le enviará el paquete

67.225.138.174 Red ó IP que se llega vía 172.28.0.66

1 Métrica (numero de saltos)

Y se actualizará la tabla de rutas del router 172.28.0.113 con esa entrada... la aceptará porque viene de 172.28.0.111, aunque valide el origen del paquete, llegará....

Veamos que pasa ANTES de inyectar el paquete, supongamos que la máquina 10.0.0.55 hace un trace route a wadalbertia (salida cortada)

Y ahora DESPUES de inyectar el paquete:

Como ves hay un salto “extra” la máquina 172.28.0.66 que somos nosotros

Si ponemos un esnifer y la máquina Linux para capturar contraseñas y eso, pues.... está claro, no?

Por cierto... ahora nuestros en nuestros foros la contraseña ya no viaja en texto plano,

El usuario, si se ve en texto plano... “pepillo”

Y el password en md5 que era... “eldelospalotes”

En fin, espero que haya sido de interés, he de decir que este fin de semana nos entretuvimos un poco en clase con este asunto, venga que lo sé... que más de un alumno mio anda por aquí... a que sí? Jajaa, menudo tema... entre esto, lo del secuestro de sesiones y STP, vaya fin de semana que nos pasamos.

Saludos, a mis alumnos también

PD:

ass (pertenece a la suite de IRPAS) lo podéis encontrar en:

http://www.phenoelit-us.org/irpas/download.html

srip (fuente en C, hay que compilarlo) en:

http://packetstormsecurity.org/groups/horizon/srip.c

Ayy!!! que se me olvidan "las soluciones"...

* Autenticar RIP mediante CHAP

* Silenciar las interfaces del router por las que no se deben enviar actualizaciones, p.e. las ethernet (interfaces pasivas y/o ACLS)

* Filtros y listas de acceso al puerto 520 de UDP y/o a las direcciones de multicast

* validar el origen de los paquetes

* Usar rutas estáticas (cuando se pueda)

* Utilizar protocolos "mas fuertes" como OSPF (que también es vulnerable a este tipo de ataques, pero algo mas complejo)

* Vigilar... un simple traceroute delatará el asunto.

Protocolos de Enrutamiento. Atacando a RIP (Parte1)
Protocolos de Enrutamiento. Atacando a RIP (Parte2)

Autor: Vic_Thor
Publicado en: www.wadalbertia.org

Introducción al SDM de Cisco

2009-01-20T06:47:00.000-06:00

El SDM (Security Device Manager) de Cisco es una herramienta web que permite, sin tener conocimientos de la CLI, poder configurar de forma gráfica o a tráves de asistentes los servicios del router.

1. Descripción del SDM.

El SMD es una herramienta web intuitiva que facilita la gestión de los servicios de los routers Cisco. Contiene asistentes, puede recomendar configuraciones de seguridad óptimas, puede ayudar a encontrar problemas de funcionamiento o realizar auditorías en el router. El SDM ayuda al novato y mejora la productividad del experto. SDM sólo puede gestionar un dispositivo a la vez, no penaliza el consumo de RAM o CPU del router gestionado, puede coexistir con otras herramientas de gestión y CLI.

2. Preparar el SDM o el SDM Express.

Cisco SDM está instalado de serie en algunos modelos de routers. Si no está instalado de serie puede venir en un CD o es posible descargarlo desde cisco.com.

Si el router no tiene instalado SDM de serie tenemos que preparlo para que SDM pueda acceder desde un PC correctamente:

Router(config)#username toni privilege 15 secret cisco
Router(config)#ip http authentication local
Router(config)#ip http secure-server
Router(config)#line console 0
Router(config-line)#login local
Router(config)#line vty 0 15
Router(config-line)#privilege level 15
Router(config-line)#transport input telnet ssh
Router(config)#hostname Barcelona
Barcelona(config)#ip domain name seclab.net
Barcelona(config)#crypto key generate rsa general-keys
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]

En el caso de querer ejecutar el SDM desde el router los ficheros necesarios son:

Router#show flash:

System flash directory:
File  Length   Name/status
1   9283820  c2600-ipbase-mz.123-6f.bin
2   1007616  common.tar
3   812544   es.tar
4   1038     home.shtml
5   113152   home.tar
6   1652     sdmconfig-26xx.cfg
7   4049920  sdm.tar

Los ficheros 2-7 son necesarios para SDM y los fichero 1 y 6 variarán en función de la IOS utilizada y del fichero de configuración para el modelo de router configurado.

3. Ejecutar el SDM Express.

SDM Express es un asistente inicial que permite configurar el router.
Si tenemos un router que tiene SDM instalado de fábrica y en el navegador escribimos http://10.10.10.1 accederemos a SDM Express. Si tenemos un router que no lo tiene instalado de fábrica podemos copiar los archivos necesarios en la flash de router, copiar el fichero sdmconfig-xxxx.cfg en la configuración activa y acceder escribiendo http://10.10.10.1 en el navegador. Si SDM detecta que algunos parámetros no estan configurados ejecutará el SDM Express.
El SDM Express permite configurar:

Nombre del equipo y dominio.
Un usuario y su contraseña.
La contraseña enable secret.
Las interfaces LAN del router.
El router como un servidor DHCP.
Las direcciones IP de los DNS.
Las interfaces WAN.
Algunos servicios para que sean deshabilitados.
El servidor NTP con el que nos sincronizaremos.

Después de configurar el router con SDM Express, no volveremos a utilizarlo ya que las siguientes veces accedermos directamente al SDM.

4. Ejecutar el SDM.

Ya hemos visto que podemos ejecutar el SDM desde el router pero también podemos instalándolo en un PC. Para ello, después de la instalación, podemos ejecutarlo desde el acceso directo del escritorio 'Cisco SDM' indicando la dirección IP del router que queremos gestionar.

5. Navegar a través de la GUI del SDM.

La navegación en el SDM se realiza desde la barra de herramientas. En esta barra encontramos dos modos: el de configuración y el de monitorización. Al seleccionar uno de los modos aparece una panel a la derecha con todos los asistentes que proporciona el modo. No obstante, los más expertos también pueden realizar todas las configuraciones sin utilizar los asistentes.
El botón de refrescar permite sincronizar la configuración activa del router con el SDM. El botón de salvar permite guardar la configuración activa en la NVRAM.
Una de las mejores opciones consiste en indicar al SDM que queremos visualizar que comandos se ejecutarán en el router antes de que se ejecuten. De esta forma podemos aprender los comandos en la CLI.

6. Los asistentes del SDM.

Los asistentes del modo de configuración son:

- Interfaces y conexiones: el asistente LAN permite configurar interfaces LAN y DHCP y el asistente WAN permite configurar PPP, Frame Relay y HDLC.
- Cortafuego y ACL: permite configurar un cortafuegos simple (inside, outside) o uno avanzado (inside, dmz, outside).
- VPN: permite configurar una VPN sitio-a-sitio, un acceso VPN, un servidor VPN o una VPN dinámica multipunto (DMVPN).
- Auditoría de seguridad: permite realizar una auditoría o fortalecer la seguridad del mismo.
- Enrutamiento: permite configurar RIP, OSPF o EIGRP.
- NAT: permite asignar las interfaces inside-outside, asignar reglas, definir rangos y tiempos de validez.
- Prevención de intrusos: permite habilitar o inhabilitar el sistema de detección de intrusos en la interfaz seleccionada. También detecta si existe algún módulo de red de detecciones de intrusos.
- Calidad de servicio: permite configurar reglas y políticas.
- Tareas adicionales: permite configurar cualquier parámetro en el orden deseado.

Los asistentes del modo de monitorización son:

- Descripción general.
- Estado de las interfaces.
- Estado del cortafuegos.
- Estado de las VPN.
- Estado de la QoS.
- Estado del NAC.
- Estado del registro

Fuente:# ./Hacktracking

Multiprotocol Label Switching (MPLS)

2009-01-19T14:24:00.000-06:00

Qué es

Wikipedia define MPLS como:
MPLS (siglas de Multiprotocol Label Switching) es un mecanismo de transporte de datos estándar creado por la IETF y definido en el RFC 3031. Opera entre la capa de enlace de datos y la capa de red del modelo OSI. Fue diseñado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado para transportar diferentes tipos de tráfico, incluyendo tráfico de voz y de paquetes IP.

MPLS fue originalmente propuesto por un grupo de ingenieros de Cisco, con el nombre de "Tag switching", fue entregado a la IETF y luego del proceso de estandarización cambió de nombre.

Cómo funciona

Es de notar que la conmutación IP es realizada en la capa 3 y está basada en la dirección ip destino (en algunos casos también en la ip de origen); si miramos una tabla de enrutamiento sólo vemos la asociación "red destino" - "próximo salto".
Por ejemplo:
192.168.0.0/24 via 10.10.2.1
192.168.1.0/24 via 10.10.2.2
192.168.2.0/24 via 10.10.2.3
0.0.0.0/0 via 10.10.2.254

El enrutamiento en sí, impone restricciones y ciertos cuidados en nuestras redes, como por ejemplo que en la asignación de direcciones ip no haya colisiones (dos segmentos de red no pueden tener las mismas direcciones).
Lo interesante de MPLS es que la conmutación de paquetes está basada en etiquetas y se realiza entre la capa 2 y la capa 3 (no depende del encabezado ip), estas etiquetas son agregadas antes del ingreso a la red MPLS y son removidas cuando los paquetes salen de ella.
MPLS funciona adicionando a los paquetes un header MPLS, que contiene una o más etiquetas, esto es llamado "label stack".

Cada etiqueta contiene 4 campos:
* 20 bits - Valor de la etiqueta.
* 3 bits - Campo experimental reservado para usos futuros.
* 1 bit - Final de la pila. Si tiene el valor 1 entonces es la última etiqueta de la pila.
* 8 bits - Campo TTL (time to live)

Arquitectura de una red MPLS

Nota: esta imagen fue generada con el simulador "Open SimMpls".

LER (Label Edge Router): elemento que inicia o termina el túnel (agrega y quita las etiquetas). Es el punto de entrada/salida a la red MPLS. Un router de entrada se conoce como Ingress Router y uno de salida como Egress Router. Ambos se suelen denominar Edge Label Switch Router, ya que se encuentran en los extremos de la red MPLS.

LSR (Label Switching Router): elemento que conmuta etiquetas.

LSP (Label Switched Path): nombre genérico de un camino MPLS (para cierto tráfico o FEC), es decir, del túnel MPLS establecido entre los extremos. Se debe tener en cuenta que un LSP es unidireccional.

LDP (Label Distribution Protocol): un protocolo para la distribución de etiquetas MPLS.

FEC (Forwarding Equivalence Class): nombre que se le da al tráfico que se encamina bajo una etiqueta. Subconjunto de paquetes tratados del mismo modo por el conmutador.

Posibles usos

Los sectores que más provecho pueden sacar de MPLS, son los proveedores de servicio (carriers), las grandes empresas e instituciones gubernamentales (o sea, las grandes redes). Algunas empresas medianas pueden contratar un servicio de VPNs, basado en MPLS de algún proveedor de servicio, aunque la parte divertida la realiza el proveedor.
Los usos más importantes son:

MPLS-VPN
Con MPLS pueden realizarse robustas VPNs, más escalables y menos costosas que otras alternativas como IPSec, ATM o frame relay; y además agrega QoS.

Ingeniería de tráfico / QoS / Congestión
El enrutamiento IP tradicional suele llevar a sobrecargar los caminos más cortos (a veces caminos más largos pueden tener menor congestión y menor delay).
Respecto a este problema MPLS puede ser utilizado para:
- Maximizar la utilización de los enlaces y los nodos
- Garantizar el nivel de delay (respetar los SLAs)
- Minimizar el impacto de las fallasLos principales protocolos para realizar ingeniería de trafico con MPLS son CR-LDP y RSVP-TE.

Integración de redes diversas: ATM, Frame relay, IP, Ethernet y ópticas
Mantener una red, es más barato que mantener muchas. Con MPLS podemos armar una red de transporte universal.

Algunas consideraciones

Cuando se pensó la conmutación basada en etiquetas, se creía que podía ser mucho más rápida que la basada en los encabezados IP, ya que requiere menos procesamiento y es posible implementarla en hardware; pero el desarrollo de algunas tecnologías como los circuitos ASIC, o la conmutación basada en TCAM y CAM, han hecho posible que la conmutación basada en IP pueda ser tan rápida como la basada en etiquetas.

Las VPN basadas en MPLS suelen quedar confinadas a un único proveedor de servicio.

Una alternativa a MPLS es L2TPv3, aunque todavía está en borradores.

Referencias

RFC - http://www.ietf.org/rfc/rfc3031.txt
Simulador de redes MPLS, escrito en java y en Español - http://gitaca.unex.es/opensimmpls
Un tutorial interactivo bastante instructivo de Nortel - http://www.nortel.com/products/announcements/mpls/tooldemo.html
BGP/MPLS VPNs - http://www.ietf.org/rfc/rfc2547.txt - http://www.netcraftsmen.net/welcher/papers/mplsvpn.html
Varios artículos acerca de MPLS - http://www.convergedigest.com/tutorials/#MPLS
Wikipedia - http://en.wikipedia.org/wiki/Multiprotocol_Label_Switching
MPLS en Linux - http://mpls-linux.sourceforge.net/

Autor: Sebastian Serrano

OSPF (Open Shortest Path First)

2009-01-19T14:23:00.000-06:00

OSPF es un protocolo de routing abierto, que utiliza el algoritmo Dijkstra para calcular la ruta más corta. Primero se genera un árbol, y posteriormente la tabla resultante con los mejores caminos. Es un protocolo de estado de enlace.

Éstas son sus principales características:

Tiene un diseño jerárquico, puede dividirse en áreas.
Minimiza el tráfico de actualización de rutas.
Soporta VLSM (subredes de tamaño variable).
Sin límite de hops o saltos.
Balancea sólo links de igual coste (EIGRP permite que no sean iguales).

Todo diseño OSPF se compone de un área 0 o área backbone. Todos los otros áreas han de estar conectados con éste, física o lógicamente (virtual link). Un router que conecta otro área con el backbone, dentro de un autonomous system (AS), se denomina Area Border Router (ABR). Almenos una de las interfazes de un ABR ha de estar conectada al área 0.

OSPF puede conectar varios AS, el router que los conecta recibe el nombre de Autonomous System Boundary Router (ASBR).

Estos son algunos conceptos que usa OSPF:

Router ID: dirección IP que identifica al router. Es la ip más alta de todas las interfaces configuradas.
Router vecino: para que dos routers sean vecinos deben compartir el área y los intervalos de Hello y Dead. Si esta activada la autentificación también deben compartir el mismo password.
Router adyacente: relación entre dos routers que permite intercambiar actualización de rutas. Es decir entre un router y su DR y BDR.
Hello protocol: permite mantener las relaciones con los routers vecinos. Estos paquetes y los LSA construyen y mantienen la topological database.
Link state advertisement (LSA): paquetes que contienen el estado del enlace y información de routing compartida.
Neighborship database: lista de routers OSPF a los que se envían paquetes Hello. Contiene detalles, como la router ID o el estado.
Topological database: contiene información de los LSA recibidos de un área. Se utiliza como entrada del algoritmo Dijkstra para encontrar el mejor camino.
Designated router (DR): router elegido en un área, encargado de informar al resto de routers sobre cambios en la red mediante LSAs.
Backup designated router (BDR): por si falla DR.

Shortest Path First tree

Dentro de un área cada router calcula las mejores rutas con la topological database. Si el router tiene interfaces en distintas áreas, se construirá un árbol para cada una.

El criterio clave que se usa en la selección de las rutas, es el coste potencial a una red. El coste se asigna a cada interfaz de salida incluida en el árbol. El coste de una ruta completa, es la suma de los costes de las interfazes a lo largo del camino. Cisco usa: 10^8/ancho de banda. Ex: Fast Ethernet (100 Mbps), tendría un coste de 1. Podemos cambiar el coste de una interfaz con el comando ip ospf cost.

Si usamos routers de diferentes fabricantes, usarán otras métricas para calcular el coste y deberemos ajustarlo.

Elección de DR y BDR

La idea del DR es que todos los routers se comuniquen con un router central, en lugar de con todos los demás. La elección del DR y BDR se realiza mediante el protocolo Hello (este proceso sólo se producirá en redes broadcast o non-broadcast multi-access, no en ppp).

El DR será el router configurado con más prioridad. Si todos tienen la misma se elegirá a la router ID más alta. Como la router ID es la interfaz con ip más alta. podemos configurar una ip de loopback para cambiarla. También se puede configurar una prioridad de 0, y el router no intervendrá en el proceso.

Configurando OSPF

Para activar el proceso de routing OSPF:

router(config)# router ospf process_ID

La process_ID es un valor local, no ha de ser igual con otros routers. Esto se debe a que puede haber varias instancias de OSPF corriendo independientes.

A continuación se han de configurar las áreas. Estos se indica identificando las interfaces y el área en que residen. OSPF usa wildcards en la configuración.

router(config-router)# network 10.0.0.0 0.255.255.255. area 0

Un 0 en la wildcard indica que ha de coincidir exactamente con la red y un 1 que no importa. Ex: 1.0.0.0 0.255.255.255 nos da el rango: 1.0.0.0-1.255.255.255.

Truco: para saber la wildcard correspondiente a una red, basta con mirar la máscara de subred, calcular el tamaño del bloque y restar uno. Ex: 192.168.10.64/28 es un tamaño de bloque de 2^4=16. Wilcard= 0.0.0.15

Configurando una interfaz de loopback

Se tratan de interfaces lógicas o virtuales, y intervienen en la elección de la router ID. Simplemente:

router(config)#int loopback 0
router(config-if)#ip adress 172.16.10.1 255.255.255.255

Despues de esto deberemos reiniciar el router para que cambie la router ID.

Verificando OSPF

Para ver la tabla de routing (entradas OSPF con O) usar sh ip route. Para ver información de los procesos OSPF sh ip ospf.

Para ver la topological database usar el comando sh ip ospf database. Con sh ip ospf interface mostramos información OSPF de la interfaz (coste, area, router ID, timers, etc).

El comando sh ip ospf neighbor nos permite ver una tabla con los vecinos y cuál es el DR y BDR. Por último sh ip protocols vuelca información de los protocolos de routing configurados en el router.

Debugando OSPF

Con degub ip ospf packet vemos los paquetes enviados y recibidos en el router. Para ver sólo los Hello existe el comando debuf ip ospf hello.

Con debug ip ospf adj vemos las elecciones DR y BDR en redes broadcast y non-broadcast multi-access.

Autor:David González Pérez

GENERALIDADES DEL ESTÁNDAR IEEE 802.16 (WiMAX)

2009-01-18T14:19:00.003-06:00

El estándar IEEE 802.16 emerge como una de las tecnologías de Acceso Inalámbrico más prometedoras en el mundo de las redes MAN y dentro de la familia de estándares IEEE 802.x es una de las que mayor aceptación ha ganado en el mundo debido a las grandes ventajas que presenta además de la facilidad de utilización y mantenimiento. El estándar IEEE 802.16 permite la implementación de redes de Banda Ancha de Acceso Inalámbrico en grandes áreas, las cuales son capaces de proveer cualquier tipo de servicio debido a su gran capacidad de transportar información. Estas redes han ganado gran acogida dentro de este mercado en los últimos años haciendo que cada vez más las grandes empresas proveedoras de equipos como Intel, Nokia, Samsung y Motorola las cuales apoyan a este estándar lancen al mercado dispositivos que cumplan con las especificaciones del estándar y a su vez, muchas empresas adquieren esta tecnología como solución a sus necesidades de conexión.

1 EVOLUCIÓN DEL ESTÁNDAR IEEE 802.16

Desde su concepción en los años 90’s, el estándar IEEE 802.16 ha tenido como objetivo primordial el de proveer diferentes tipos de servicios sobre una red de acceso inalámbrico de alta transferencia de bits. Para ello define unas especificaciones de interfaz incluyendo MAC (Medium Acces Control), y la PHY (Capa Física). A pesar de tener estas especificaciones desde un principio para cumplir con los objetivos propuestos, se han visto algunas fallas principalmente en la capa MAC, donde la gestión en el envío de la información se realiza sin cifrar los datos para facilitar su funcionamiento adecuado, de este modo, en una escucha pasiva del canal de la red se podría acceder fácilmente a la información sin cifrar. Debido a esta situación se han realizado diferentes correcciones que han originado varias revisiones y adiciones a las especificaciones para las capas MAC y PHY agregando nuevas funciones a las mismas a través del tiempo. Estas correcciones se presentan en diferentes versiones del estándar:

IEEE 802.16: 2001: Primera versión del estándar en la que se daban las primeras especificaciones para la capa MAC y PHY, proporciona acceso inalámbrico de banda ancha, configuración de red Punto a Punto (P2P) o Punto multipunto (PMP). Soporte para TDD (Multiplexación por División de Tiempo) y FDD (Multiplexación por División de Frecuencia). A diferencia de 802.11 o Wi-Fi que emplea CSMA/CD para transmitir, 802.16 emplea un paradigma totalmente diferente para realizar esta función controlado por las estaciones base (EB). Opera en la banda de los 10 – 66 GHz, al ser éstas altas frecuencias solo es funcional en ambientes LOS (Línea de Vista). Emplea modulación QPSK, QAM-16 y QAM-64 con la habilidad para cambiar entre modulaciones dependiendo de diferentes condiciones entre ellas las climáticas. Provee diferentes niveles de QoS (Calidad de servicio) controlando parámetros como la suma de retardos temporales dentro de la red (latencia) y la variación de algunos paquetes de datos recibidos debido a la latencia (jitter). El núcleo de la seguridad del estándar radica en la subcapa de privacidad perteneciente a la capa MAC utilizando para ello algoritmos de cifrado de datos en sus mensajes entre las Estaciones Base (EB) y las Estaciones Suscriptoras (ES) y haciendo uso de certificados digitales X.509.

IEEE 802.16c:2002: Publicado en Diciembre de 2002, estándariza más detalladamente la tecnología inalámbrica, se corrigen algunos errores de la versión inicial definiendo un conjunto de prestaciones y funciones que son utilizadas en la implementación. Aumenta la interoperabilidad y consistencia entre equipos de diferentes fabricantes aumentando así la generalización y uso del estándar a futuro. Se agregan perfiles detallados para sistemas que operan en la banda de 10 – 66 GHz.

IEEE 802.16a: 2003: Publicado en Junio de 2003, introduce nuevas prestaciones como soporte para las bandas licenciadas de 2 – 11 GHz y de esta manera tener la capacidad de penetrar barreras por tratarse de frecuencias bajas y así ser viable su utilización en ambientes NLOS (Sin Línea de Vista). Nuevas especificaciones MAC y PHY para un mejor manejo de la interferencia producida por las multitrayectorias, además de utilizar un nuevo arreglo de antenas lo cual produce un mejor manejo de la potencia empleada por el sistema. Nuevo soporte de multiplexación por división de frecuencia ortogonal (OFDM) para evitar interferencias con otros sistemas de red que operan en el mismo rango de frecuencia 2 – 11 GHz. Se mejoró la seguridad al solicitar autenticación del emisor para algunos mensajes MAC. QoS específico para optimizar servicios de datos, voz y video así como también ARQ para mejorar el desempeño punto a punto. Soporte para redes en malla. Fue nombrada en un principio como Wireless HUMAN por Red de Área Metropolitana de Alta Velocidad no Licenciada.

IEEE 802.16: 2004: Publicación realizada en Junio de 2004, es la fusión entre IEEE 802.16: 2001 e IEEE 802.16c: 2002 integrando toda la familia de estándares existentes en ese momento bajo un mismo documento. Dio soporte a bandas licenciadas y no licenciadas pero para la banda de 10 – 66 GHz requiere de ambientes LOS, a su vez para frecuencias menores a 11 GHz soporta ambientes NLOS. La capa MAC soporta arquitectura PMP y en malla. Esta versión del estándar es la que se utiliza para dar la certificación de WiMAX.

IEEE 802.16e: 2005: provee funciones de transferencia de comunicación entre celdas mientras el usuario se mueve en el área de servicio (handover) entre Estaciones Base (EB), estas entidades proveen funcionalidad sobre el enlace controlando la admisión y la gestión de recursos de radio en los enlaces de subida y de bajada, dando la posibilidad de tener Estaciones suscriptoras (ES) móviles, estas ES son las entidades que permiten la recepción de información en el lado del cliente y la transmisión desde este hacia la EB.

IEEE 802.16f: 2005: Define la MIB (Base para la Gestión de la Información) para las capas MAC y PHY. Define además un procedimiento para crear un estándar de Gestión de Red para sistemas basados en IEEE 802.16.

Con todas estas revisiones y mejoras adoptadas por el estándar se pueden determinar algunas ventajas o beneficios que este tipo de red provee a sus usuarios:

Gran cobertura: En ambientes LOS hasta 50Km; para ambientes NLOS hasta 8KM

Alta capacidad de transferencia de bits: Idealmente la red es capaz de transferir datos a 70Mbps

Soporte para ambientes NLOS: En las frecuencias indicadas es posible implantar una red bajo el estándar sin tener línea de vista.

Tamaño flexible de canales: Esta es una prestación muy importante ya que se puede configurar el ancho de los canales de comunicación optimizando así su uso y evitando el desperdicio de recursos de red.

Soporte para redes en malla: Esta opción permite a las ES hacer enrutamiento entre unas y otras sin pasar por la EB haciendo esta función transparente a ella.

Soporte para usuarios móviles: Una ES puede tener acceso a la red moviéndose a una velocidad vehicular. Esto da a la ES la posibilidad de tener servicio usando dispositivos móviles.

Protocolos de Enrutamiento. Atacando a RIP (Parte2)

2009-01-18T07:22:00.001-06:00

Protocolos de enrutamiento hay muchos, los podemos dividir o clasificar de varias formas:

Y seguro que mas de uno ha oído hablar de alguno de ellos: BGP, OSPF, RIP, EIGRP...

No es que haya unos mejor que otros, dependerá de dónde los queramos implementar, del router, etc... bueno, si hay unos mejores que otros...

Es mas, un router puede implementar varios protocolos de enrutamiento a la vez, por ejemplo puede usar RIP y OSPF simultáneamente y descubrir las rutas por uno, por otro o por los dos...

Lógicamente si Router1 y Router2 quieren intercambiar rutas, ambos deben usar el mismo protocolo de enrutamiento, por ejemplo:

Caso a)

R1: Utiliza RIP y OSPF
R2: Utiliza EIGRP y RIP

Las tablas de rutas que se intercambien se hará por medio de RIP que es el protocolo de enrutamiento “común” que usan los dos.

Caso b)

R1 Utiliza OSPF y RIP
R2: Utiliza EIGRP

Pues no podrán intercambiarse nada porque no hay protocolos de enrutamiento comunes.

Caso c)

R1: Utiliza RIP y OSPF
R2: Utiliza RIP y OSPF

Intercambiarán rutas por medio de OSPF. Ahhh!!! Y por qué no usarán RIP???

Pues por un nuevo concepto que hay que añadir a esto... LA DISTANCIA ADMINISTRATIVA.

La distancia administrativa es un valor numérico que representa el grado de confianza que ofrece un protocolo de enrutamiento, a menor distancia administrativa mejor se supone que es el protocolo de enrutamiento.

RIP utiliza por defecto una distancia administrativa de 120 mientras que OSPF utiliza 110, por tanto se supone que OSPF es mejor, que las rutas descubiertas mediante OSPF son mejores que las descubiertas por RIP y se usaran las de OSPF en su lugar.

Caso d)

R1: Usa RIP, OSPF, rutas estáticas hacia R3 y está directamente conectado a R2 y a R4
R2: Usa RIP, OSPF, rutas estáticas hacia R6 y está directamente conectado a R1 y a R5

R1 sabe como llegar a R2, R3 y R4
R2 sabe como llegar a R1, R5 y R6

Como ves, R1 no se entera de que existe una red... R6, y de la misma forma, R2 no sabe de la existencia de R4

Esto es porque a menos que se REDISTRIBUYAN las rutas estáticas los protocolo de enrutamiento no las descubren por sí mismos

Aún podemos complicar mas el asunto, imagina que R1 sabe mediante OSPF que existe una red X, pero usa RIP para conversar con R2....

Qué pasa con la red X???

Pues que al igual que con las rutas estáticas, las redes descubiertas mediante otros protocolos de enrutamiento no se distribuyen sin más... vamos, al grano... Si se usan varios protocolos de enrutamiento y/o rutas estáticas, es necesario redistribuirlas bajo los otros protocolos de enrutamiento que usemos o el “router del otro extremo” no se enterará que existen...

También es importante aclarar que las distancias administrativas de las rutas estáticas es 1 y las de las redes directamente conectadas es 0 (cero), por ello, si un router descubre que para ir a una red es mejor llegar por X pero existe una ruta estática que dice que es por Y, se irá por donde dice la ruta estática y no mediante la descubierta por el protocolo de enrutamiento en cuestión...

Y cual es la mejor ruta???

Pues esto lo resuelven los protocolos de enrutamiento mediante la MÉTRICA.

La métrica es otro valor numérico que le dice al router el “lo que cuesta” ir de un punto a otro, al igual que las distancias administrativas, cuanto menor métrica (menor coste) mejor camino.

Las métricas dependen mucho del protocolo de enrutamiento usado, los hay que toman como métrica el menor número de saltos, los que utilizan el ancho de banda y también los que toman en cuanta factores como la congestión, el retardo, la fiabilidad o incluso una “mezcla de ellas”, vamos que por ejmplo un router puede decidir si un dato va por un sitio u otro por muchos factores, dependerá del protocolo de enrutamiento elegido.

Bien, creo que lo básico de protocolos de enrutamieto ya está expuesto... ahora vamos a trabajar sobre el título del post: ATACANDO PROTOCOLOS DE ENRUTAMIENTO

En este ejemplo atacaremos a RIP v2, para ello vamos a decir alguna cosita de RIPv2 antes de nada,

RIPv2

· Es un protocolo de enrutamiento vector distancia
· Utiliza como métrica el número de saltos
· Utiliza multitast (224.0.0.9) para comunicarse con los otros routers RIPv2
· Puede ser autenticado, es decir, puede utilizar contraseñas y métodos de autenticación PAP o CHAP para recibir o promulgar las rutas
· Su cuenta al infinito es de 15 saltos, esto es, entre un destino y otro no puede haber mas de 15 saltos o la ruta será inalcanzable
· Utiliza Horizonte Dividido (Split Horizon) esto es, una ruta no debe ser promulgada por la misma interface que fue recibida, con esto se eliminan ciertos tipos de bucles de enrutamiento.
· Utiliza o puede utilizar, rutas envenenadas para evitar bucles de enrutamiento, esto es, marca una ruta con 16 saltos si el router no sabe alcanzarla.
· Informa al origen mediante mensajes ICMP de las posibles incicdencias del enrutamieto
· Utiliza temporizadores para la convergencia y disipar bucles, esto es:
o Cada 30 segundos envía actualizaciones periódicas
o Si se da cuenta que una ruta “ha caído” la mantiene en una especia de “congelador” antes de eliminarla por completo, este tiempo es de 120 seg.
o A los 180 segundos la elimina “de verdad”
· Puede usar máscaras de subred, VLSM y subredes
· Puede usar o usa, actualizaciones desencadenadas para evitar los tiempos de espera que indican los temporizadores
· Utiliza o puede utilizar la validación del origen de la ruta, esto es, sólo aceptar actualizaciones (o enviarlas) a determinadas IP’s
· Utiliza protocolo UDP puerto 520.

Vaaaleee, lo principal está.... lo que no debemos olvidar (ahora en cristiano) es:

· La convergencia de una red RIP puede llevar varios minutos (debido a los temporizadores) si bien, al usar actualizaciones desencadenadas la convergencia de la red puede ser mucho más rápida.
· El máximo número de saltos es 15
· Utiliza direcciones de multicast para “pasarse” las tablas y/o rutas
· Puede que se usen contraseñas (cifradas en MD5 o no) para validar una actualización
· Utiliza la validación en origen (por IP) de las actualizaciones recibidas.

Los pasos del ataque a RIPv2 son:

· Escuchar el tráfico RIP, de ello averiguaremos:
o IP’s Origen de las actualizaciones
o Si se usan contraseñas o no para validar las actualizaciones
o Si la contraseña está cifrada habrá que romperla también, aunque ya te adelanto que se puede “pasar” el hash MD5 sin más para evitar la ruptura de la contraseña que siempre puede ser una tarea larga en el tiempo.

· Enviar actualizaciones falsas con IP origen autenticado o validado, esto lo habremos conseguido mediante el esnifer
· La falsa actualización será encaminar a TODA una RED por “otra” máquina, otro router o “similar” que esté bajo el control del atacante
· Escuchar el tráfico de interés redirigido
· Volver a encaminar los paquetes hacia el verdadero destino.

Y R.I.P. de RIP (Requiescant In Pace, Routing Information Protocol) jajaja...

Para ello vamos a necesitar simplemente una máquina Linux con capacidad de reenvío, un generador de paquetes cualquiera y nuestro querido IPTABLES para hacer un POSTROUTING del tráfico de la red.

También hay otro método mas chulo, usando Zebra o Quagga que emulan dispositivos CISCO en un Linux, podríamos configurar nuestra máquina como otro router más de la red mediante Quagga, habilitar RIPv2 y ponerla a funcionar... pero, nos bastará con lo primero.

El escenario propuesto (para no ser muy complicados) es el siguiente:

Disponemos de 4 Routers, tres de ellos corriendo RIP que están situados en la Central y en las dos sucursales, el cuarto router conecta a la central con los recursos externos, entre ellos Internet y en este no hay RIP (aunque pudiese haberlo, claro... no importa)

La RED de la central es 172.28.0.x/24 y conecta a las oficinas remotas, entiende el término remoto como “otra red con otros routers”, perfectamente podrían estar situados en el mismo edificio, en plantas distintas o en edificios cercanos...

La RED de la Oficina 1 es 192.168.200.x/24

La RED de Oficina 2 es 10.0.0.x/24

La RED de RECURSOS es 192.168.4.x/24 en la que están situados recursos corporativos, por ejemplo DNS, BBDD, etc... y también el acceso a redes remotas, en el caso... Internet.

Los routers involucrados en RIP son los de la Central y las Oficinas, mediante el esnifer iremos “adivinando” la topología y las diferentes Ip’s de los medios que nos conectan.

El atacante va estar situado en la oficina CENTRAL, esto es una conveniencia puesto que ya Está en medio, pero luego comentaremos qué pasaría si estuviese en una de las oficinas en lugar de en la central.

Quiero hacerte notar que aunque el atacante ya está en el medio, el tráfico entre oficinas y/o entre oficinas y recursos y/o entre oficinas e Internet no pasará por él, puesto que para ello tendría que modificar la tabla de enrutamiento de los routers y se supone que éstos están bien configurados (es un decir) o al menos bien protegidos y sin acceso físico a los mismos.

También pensarás que sería mejor que RECURSOS fuese una red distinta conectada de otra forma a CENTRAl, así:

Efectivamente, podría ser, y de hecho será así , ea!!!! Da igual, el “efecto” será el mismo, pero es que no tengo un router con 4 interfaces (ojito que digo 4 interfaces, no un router con un switch de 4 puertos....) hay que hacer routing “de verdad” entre las interfaces...

Por eso el gráfico anterior y no éste último....

Bien, pues escenario en mano (suerte que tenemos de poder verlo en lugar de imaginarlo, jeje) vamos ahora con lo que necesitamos:

· 4 Routers, al menos 3 de ellos con RIPv2 funcionando
· Al menos una máquina en cada red
· Conexión a Internet para ofrecer ese servicio a las sucursales
· Un Linux en la central (el atacante)
· Un generador de paquetes
· Un esnifer
· Otro router en la máquina atacante (que es el mismo Linux, menos mal, con quagga o zebra, o en su defecto, enviar las rutas “mal intencionadas” al menos cada 30 segundos...)

Todo esto “lo tenemos”, bueno lo tengo ahora... (os imagináis como está mi casa, joder!!!!)

Para evitar lo de “convertir” Linux en un router emulando la IOS de cisco, esto puede quedar para otra ocasión, usaremos el generador de paquetes y para mantener la convergencia, nos ocuparemos de enviar el paquete RIP con frecuencia, COMO!!! Que no entiendes por qué hay que enviarlo de vez en cuando???

Pues hombre... ya hemos hablado de los cambios de topología, de la convergencia, etc... recuerda que RIP envía actualizaciones cada 30 segundos... si no lo hacemos con la máquina atacante los otros routers entenderán que esa red o ese router ya no está y dejaran de promulgar su existencia.... claro, no???

Configurando AAA en un router

2009-01-18T07:20:00.000-06:00

1. Las funciones y la importancia de AAA.

Autenticación: comprueba que los usuarios y administradores sean quienes dicen ser.
Autorización: después de la autenticar al usuario o al administrador, decide a qué recursos puede acceder o qué operaciones puede realizar.
Registro (Accounting and Auditing): guarda el instante temporal en el que se efectuan las operaciones y acceden a los recursos.

2. Los tres métodos para implementar AAA.

Los usuarios pueden acceder a la LAN de la empresa a través de marcación (NAS) o través de una VPN (router, ASA). Los administradores pueden acceder a los dispositivos de red a través del puerto consola, el puerto auxiliar o las vty.

Todas estas formas de acceso pueden ser implementadas con AAA de forma local o en BBDD remotas. Con BBDD remotas podemos centralizar la gestión de AAA de varios dispositivos de red.
Los tres métodos de implementar AAA son:

Localmente: en un router o un NAS.
En un ACS (Access Control Server) de Cisco por software: instalado en un Microsoft Windows Server permitiendo la comunicación con routers y NAS.
En un ACS de Cisco por hardware: servidor hardware dedicado que permite la comunicación con routers y NAS.

3. Métodos de autenticación remota.

Existen dos métodos para autenticar usuarios remotos; autenticación local o remota.

Autenticación local

Consiste en autenticar directamente en el router o el NAS los nombres de usuario y su contraseñas. Esta recomendado para pequeñas redes y no requiere BBDD externas.
La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contraseña, el usuario responde, el router comprueba los datos, acepta o deniega el acceso y comunica el veredicto al usuario.

Autenticación remota

El problema de la autenticación local es la escalabilidad. Uno o varios ACS (por software o hardware) pueden gestionar toda la autenticación de todos los dispositivos de red. La comunicación entre estos dispositivos y los ACS utilizan los siguientes protocolos: TACACS+ o RADIUS.

La autenticación funciona de la siguiente manera; el usuario solicita autenticarse, el router (o NAS) solicita el nombre de usuario y la contraseña, el usuario responde, el router reenvía los datos al ACS, el ACS comprueba los datos y acepta o deniega el acceso, finalmente el ACS comunica el veredicto al router y este al usuario.

4. Los protocolos TACACS+ y RADIUS.

El ACS de Cisco soporta los protocolos TACACS+ y RADIUS. TACACS+ es más seguro pero RADIUS tiene mejor Accounting y una mejor interfaz de programación.
El ACS permite gestionar los siguientes accesos:

Marcación contra un router o un NAS.
Puertos consola, puertos auxiliares y vtys de dispositivos de red.
ASAs (Adaptative Security Appliance).
Concentradores VPN serie 300 (sólo RADIUS).
Algunas tarjetas de testigo (token cards) y servidores

5. Los niveles de seguridad de los métodos de autenticación.

Sin usuario y contraseña: un atacante sólo debería encontrar el dispositivo y tratar de acceder al mismo. Una manera de asegurarlo sería que el servicio escuchará un puerto diferente.
Con usuario y contraseña y sin caducidad: el administrador decide cuando cambiar la contraseña. Este método es vulnerable a ataques de repetición, fuerza bruta, robo y inspección de los paquetes.
Con usuario y contraseña y con caducidad: cada x tiempo el administrador es forzado a cambiar su contraseña. Este método tiene las mismas vulnerabilidades pero el tiempo para comprometer el equipo por fuerza bruta es menor.
OTPs: es más seguro que los anteriores ya que la contraseña enviada solo tiene validez una vez, es decir, en el momento de ser interceptada por el atacante la contraseña caduca. S/Key es una implementación de OTP que genera un listado de contraseñas a partir de una palabra secreta.
Tarjetas de testigo por software y por hardware: está basado en la autenticación de doble factor; algo que el usuario tiene (token card) y algo que el usuario sabe (token card PIN). Existen dos tipos: basados en tiempo; F(clave_criptográfica,PIN) = OTP o basados en desafíos; F(desafío,clave_criptográfica) = OTP.

6. Protocolos de autenticación PPP.

PPP soporta autenticación PAP, CHAP y MS-CHAP.
PAP utiliza un intercambio de dos vías; el autenticador solicita las credenciales y el usuario las envía en texto claro. El intercambio se produce después de establecer el enlace PPP.
CHAP utiliza un intercambio de tres vías; después de establecer el enlace, el autenticador envía un desafío al dispositivo del usuario, este responde con un hash; F(desafío,palabra_secreta) = hash, el autenticador comprueba que el hash recibido coincida con su hash calculado. Este intercambio de tres vías se repite periodicamente (controlado por el autenticador) durante la comunicación y evita ataques de repetición.
MS-CHAP es la versión CHAP de Microsoft.

7. Configurar AAA en un router.

Primero, habilitamos el modelo AAA, añadimos un usuario local y definimos que la autenticación de acceso remoto sea local.

Router(config)#aaa new-model
Router(config)#username tracker secret ccsp
Router(config)#aaa authentication login default local

Ahora no tenemos problemas para acceder de nuevo al router o NAS en el caso de perder la comunicación (SSH).

Después, definimos los métodos de autenticación para login (acceso al router), ppp y enable (acceso al nivel privilegiado) y los aplicamos a nivel de línea o interfaz:

Router(config)#aaa authentication login default enable
Router(config)#enable secret cisco
Router(config)#aaa authentication login consola local
Router(config)#line console 0
Router(config-line)#login authentication consola
Router(config)#aaa authentication login vty line
Router(config)#line vty 0 4
Router(config-line)#password 123telnet
Router(config-line)#login authentication vty
Router(config-line)#end
Router#exit
Router con0 is now available
Press RETURN to get started.
User Access Verification
Username: tracker
Password: ccsp
Router>

R1#Router
Trying Router (192.168.0.1)... Open
User Access Verification
Password: 123telnet
Router>enable
Password: cisco
Router#

En los comandos de arriba, hemos definido que para acceder al router se tiene que utilizar por defecto (default) la contraseña 'enable secret', que para acceder por consola se tiene que utilizar un nombre de usuario y contraseña locales (tracker:ccsp) y para acceder por telnet necesitamos la contraseña en línea 123telnet. Las listas de autenticación particulas (consola y vty) cuando se aplican a líneas (vty, console, aux) o interfaces tiene preferencia sobre la autenticación por defecto (default).

Ahora definimos una lista de autenticación PPP por defecto (default) y una particular (marcacion) que aplicamos:

Router(config)#aaa authentication ppp default local
Router(config)#aaa authentication ppp marcacion group tacacs+ local-case
Router(config)#interface serial 0/0
Router(config-if)#ppp authentication chap marcacion

Arriba hemos definido que la autenticación PPP por defecto sea local y que la autenticación PPP particular (marcación) sea con TACACS+ y si falla sea local teniendo en cuenta mayúsculas/minúsculas.

Finalmente definiremos que la autenticación enable por defecto mire primero el grupo RADIUS y luego la contraseña 'enable secret':

Router(config)#aaa authentication enable default group radius enable

Ahora veremos unos ejemplos de autorización y registro (accounting):

Router(config)#aaa authorization commands 15 default local
Router(config)#aaa authorization network netop local
Router(config)#aaa accounting commands 15 default stop-only group tacacs+

El primero comando autoriza localmente la ejecución de los comandos de nivel 15 utilizando la lista por defecto (default). El segundo autoriza localmente algunos servicios de red utilizando una lista particular (netop). El tercero registra remotamente los comandos de nivel 15 utilizando TACACS+ para la lista por defecto.

8. Solucionar problemas AAA en un router.

Router#debug aaa authentication
Router#debug aaa authorization
Router#debug aaa accounting

9. Configurar AAA utilizando Cisco SDM.

AAA también puede ser configurado desde SDM. Para ello utilizamos el comando

aaa new-model

y elegimos en el SDM 'Tareas Adicionales > AAA'. Aparecerá un pantalla para listar, editar y borrar métodos de autenticación en el router.

Fuente:# ./Hacktracking

Host Intrusion Prevention System

2009-01-17T13:43:00.000-06:00

Este artículo explica muy someramente que es un "Host Intrusion Prevention System", elemento de vital importancia en el modelo de seguridad en capas (o en profundidad).

Motivación

Si un ataque logra atravesar las defensas basadas en red (Firewalls, IPS, IDS, NAC, DDoS Defenses, etc.), el último campo de batalla es el propio sistema operativo de la PC o Servidor del objetivo del ataque, por tanto estos deben estar preparados. Otro elemento que hace importante los HIPS, es el hecho de que el tráfico cifrado no puede ser evaluado por las protecciones basadas en red. Las defensas basadas en Host más avanzadas son los "Host Intrusion Prevention System" y son la última barrera entre el atacante y su objetivo.

¿Qué es y qué hace un Host-IPS?

Los HIPS buscan anomalías (o comportamientos anómalos) a nivel del sistema operativo, comprueban los módulos cargados por el núcleo, monitorean la actividad del sistema de achivos, buscan RootKits en el sistema, etc.

Una intrusión exitosa suele ser acompañada por un conjunto de actividades que los HIPS intentar descubrir. Normalmente los intrusos buscan adueñarse o utilizar para algún fin el sistema que atacaron, para esto suelen instalar software que les permita el futuro acceso, que borre sus huellas, keyloggers, software de spamming, virus de tipo botnet, spyware, etc.
En la actualidad los HIPS incluyen funcionalidades como Firewall y Anti-maleware (anti-virus, anti-spyware, etc.).

Los Host IPS son implementados como agentes instalados directamente en el sistema que protegen. Estos monitorean de cerca al núcleo y los servicios, incluso interceptando llamadas al sistema o APIs.

Consideraciones

No todos los HIPS son iguales y debido a que trabajan a muy bajo nivel (interceptando llamadas al sistema y APIs) hay que tener ciertos recaudos a la ahora de elegir:

Debe ser estable (confiable), sino las aplicaciones pueden no correr correctamente.
No debe impactar negativamente en el rendimiento del sistema.
No debe bloquear actividades o tráfico legítimo (sin "falsos positivos").

Si un IPS no cumple con estos requisitos es preferible no tenerlo.
Al igual que con los NIPS o NIDS, es muy importante que tenga un buen motor de detección de anomalías. Si sólo se basa en firmas "signatures" nunca va a detectar "exploits zero-days" (exploits muy recientes para los cuales todavía el vendedor no ha producido parches y no se han hecho firmas que lo detecten).

Antes de hacer una implantación masiva es importante chequear que el producto elegido sea compatible con todas las aplicaciones que se utilizan en los sistemas que se instalen. Hay que tener especial atención en las aplicaciones hechas a medida o pedido (home-grow, custom, etc.).
Es importante que se puedan crear reglas propias y que éstas sean sencillas de construir. Esto es importante porque el vendedor crea las reglas de manera genérica y puede no tener en cuenta problemas de nuestro entorno.

Si en el ambiente hay muchos Host (Desktops o Servers) es importante que provea mecanismos de Administración centralizada así como de reporte. Algunos son administrables vía LDAP e incluso los hay integrables con sistemas de administración de seguridad. Es importante que se puedan instalar las reglas personalizadas en todos los sistemas desde un lugar centralizado, lo mismo es recomendable para la generación de reportes.

Si bien los HIPS son de las mejores herramientas de seguridad, no son infalibles, por lo tanto no reemplazan a los NIPS, Firewalls, VPNs, etc. Y sobre todo: tener HIPS instalados en los sistemas no significa que no siga siendo importante mantener actualizados los sistemas, aplicar todos los parches de seguridad y hacer periódicos análisis de vulnerabilidades.

Finalmente algunos productos comerciales:

Saludos cordiales.-

Referencias:

http://www.nss.co.uk/WhitePapers/intrusion_prevention_systems.htm
http://www.sans.org/whatworks/wall.php?id=2
http://netsecurity.about.com/cs/firewallbooks/a/aa050804.htm

Autor: Sebastian Serrano

Impulsa Cisco Systems desarrollo de TI

2009-01-17T13:38:00.000-06:00

Como parte de su iniciativa de responsabilidad social, Cisco Systems impulsa actualmente el talento de 50 mil estudiantes mexicanos en el desarrollo de Tecnologías de la Información (TI) dentro de su programa Cisco Networking Academy.

Dicha cantidad ubica a México como el segundo país del mundo cuyos estudiantes son entrenados por la tecnológica, pues desde la aplicación del Cisco Networking Academy en este país hace más de diez años, se han graduado 155 mil 991 estudiantes en el diseño y desarrollo de redes de cómputo, Internet y TI.

Asimismo, México se ha convertido en referente para la aplicación del Networking Academy en Latinoamérica, ya que Cisco utiliza las mismas prácticas creadas y probadas en el país para aplicarlas en el resto de la región.

"Estamos muy orgullosos de este hito, ya que la educación es clave para el crecimiento económico. México representa uno de los casos más exitosos de Networking Academy en el mundo, por ello aplicamos en América Latina las mejores prácticas que fueron creadas y probadas en México", afirmó el presidente de Mercados Emergentes de Cisco, Paul Mountford.

En la actualidad, México es el segundo país del mundo, sólo superado por Estados Unidos, donde Cisco ha tenido mayor éxito con la aplicación del Networking Academy. (Nicolás Lucas/Finsat/MCH)

Fuente: elfinanciero.com.mx

Protocolos de Enrutamiento. Atacando a RIP (Parte1)

2009-01-16T15:24:00.002-06:00

Atacando Protocolos de Enrutamiento

Todos ya estamos algo acostumbrados a los “ataques” del tipo redirect en una red local, envenenamiento arp, icmp redirect y otras técnicas de redirección del tipo Root Bridge en redes conmutadas con STP nos son familiares.

En los escenarios que se mueven los ataques anteriores, el “malvado” juanker-malo-malísimo está en el mismo segmento de la red local atacada... Los tan sonados MiTM están al orden del día...

El atacante “armado” con u equipo y dos tarjetas de red (o sólo con una también) es capaz de redireccionar el tráfico legal del equipo 192.168.0.3 con destino a Internet (o hacia cualquier otro de la LAN) haciéndolo pasar por el suyo propio, poniéndose en medio, interceptando las comunicaciones en una red conmutada...

Como decía, esto ya lo conocemos... pero... Quien no ha pensado alguna vez.... Sería posible “desviar” el tráfico existente de una red a otra y hacerla pasar por el/los equipos de una tercera?

Pongamos un ejemplo sencillito...

Una empresa con infraestructura propia que dispone de varias sucursales y una sede central.

En la sede central, además de otros usuarios, trabajadores, etc.. existen los recursos típicos, los servidores de Bases de Datos, Intranet, etc., mientras que en las sucursales disponemos únicamente de los recursos locales así como de los equipos de trabajo de los usuarios que pertenecen a las mismas.

La cosa se podría complicar si “nuestra empresa” crece:

En cualquiera de los dos escenarios, el/los administradores de redes de la empresa deberían “hacer entender” a los routers que conectan la infraestructura los caminos y rutas para llegar “mejor” de un sitio a otro, obviamente, en el segundo supuesto es más complicado, que pasaría si un enlace se cae.... y si luego se añade otra sucursal mas... o damos “de baja” a una existente... pues hay que reconfigurar los routers para que aprendan la topología de red.

Si se hace “a mano”, los administradores deberán informar estáticamente a cada router de los caminos disponibles, esto es, rutas estáticas... y por cada cambio en la red habrá que volver a configurarlos... con mala suerte TODOS!!!!

Pues bien, una de las tareas de los protocolos de enrutamiento consiste en liberar a los administradores de eso, los protocolos de enrutamiento se encargarán de mantener actualizadas las tablas de rutas cada router, en todo momento se darán cuenta de los posibles cambios en la red y tomarán las medidas pertinentes para que no pierdan conectividad.

Cuando todos los routers de la red conocen todos los caminos (o los mejores caminos) para llegar de un punto a otro, se dice que la red converge.

La convergencia es el fin último del enrutamiento.

Resumiendo, mediante los protocolos de enrutamiento, los routers intercambian información acerca de las redes a las que saben llegar e informan o los otros de ello, a su vez, nuestros vecinos también nos cuentan las redes que conocen y ampliamos conocimientos acerca de cómo es la red y cuando todos sabemos llegar a todas partes, hemos convergido.

Cisco anuncia un punto de acceso 802.11n compatible con PoE

2009-01-16T15:16:00.002-06:00

El crecimiento de las ventas de los puntos de acceso de las redes inalámbricas 802.11n ha estado en cierta manera limitado debido a un problema con la insuficiente energía que recibían estos cuando se conectaban empleando el estándar Power over Etherner (PoE). Algo que Cisco resuelve con una nueva unidad.

Cisco anuncia un nuevo producto, el Aironet 1140 Series Access Point que trabaja bajo el estándar PoE, con lo que pretende solucionar el problema al que, hasta ahora, se han tenido que enfrentar quienes decidían instalar la tecnología 802.11n y veían cómo no era compatible con PoE. Este producto tiene, además, un diseño estilizado y la tecnología M-Drive, que ayuda a simplificar la gestión inalámbrica y a mejorar la cobertura.

El director de las soluciones móviles de Cisco, Ben Gibson, asegura que el nuevo punto de acceso contribuirá a facilitar un “mayor despliegue de WiFi”. “Hasta ahora, había un compromiso con PoE pero la energía era insuficiente para que los puntos de acceso pudieran funcionar al cien por cien de sus capacidades, por lo que las empresas se veían obligadas a desplegar estas redes con una fuente de energía adicional”.

Por eso, según Gibso, esta nueva serie 1140 es “la primera del mercado con plena capacidad y rendimiento con PoE”.

Craig Mathias, analista de la firma The Farpoint Group, predice que varios fabricantes lanzarán también productos 802.11n que utilicen el mismo acercamiento a PoE.

Fuente: www.idg.es

Puntos Simples de Falla en una WLAN

2009-01-16T10:05:00.002-06:00

1 Firmware y controladores

Puede haber muchos puntos de fallo cuando se instala y solucionan problemas en una WLAN. Si es posible el acceso a un AP o bridge a través del puerto Ethernet, entonces hay muy poca necesidad de solucionar problemas con la LAN cableada. El problema está principalmente con el AP, el bridge o el cliente.
Comience controlando el firmware. En ocasiones se puede rastrear un problema con la señal de radio hasta un problema con el firmware, y las actualizaciones de la versión del software del controlador se utilizan principalmente para solucionar el problema y mejorar la estabilidad. Por lo tanto, es aconsejable usar la versión más reciente del controlador o firmware con los productos WLAN. Si se encuentra un problema de comunicación de radio en la WLAN, asegúrese de que cada componente esté ejecutando la versión más actualizada de su firmware o controlador. El administrador de dispositivos en una estación de trabajo de Windows puede ser usado para controlar la versión del controlador y determinar si el hardware está funcionando correctamente. Desde la Página de Servicios de Cisco, es posible controlar el sistema actual y el firmware de la radio además de actualizar el firmware a través del browser o el servidor FTP.

2 Configuración del software

Problemas de Configuración del Software
Cuando se encuentran problemas de configuración, la configuración de los dispositivos WAN, incluyendo clientes, APs y bridges, puede ser la causa de la falla de la radio. Ciertos parámetros, deben estar correctamente configurados para que los dispositivos se comuniquen exitosamente. Si están mal configurados, el problema resultante puede parecer un problema del dispositivo de radio. Estos parámetros incluyen al Identificador del Conjunto de Servicios, la frecuencia, la velocidad de los datos y la distancia.

Identificador del Conjunto de Servicios

Los dispositivos WLAN deben tener el mismo Identificador del Conjunto de Servicios (SSID) que todos los otros dispositivos en la infraestructura inalámbrica. Las unidades con diferentes SSIDs no pueden comunicarse directamente entre ellas.

Frecuencia

Los dispositivos de radio son configurados para que encuentren automáticamente la frecuencia correcta. El dispositivo recorre el espectro de frecuencias, buscando una frecuencia no usada o buscando paquetes transmitidos que tengan el mismo SSID que el dispositivo. Si la frecuencia no está configurada como Automática, asegúrese de que todos los dispositivos en la infraestructura WLAN estén configurados con la misma frecuencia.

Velocidad de Datos

Si los dispositivos WLAN están configurados para diferentes velocidades de datos no podrán comunicarse. Las velocidades de datos se expresan en megabits por segundo (Mbps). Algunos escenarios comunes incluyen lo siguiente:

Los bridges son usados para comunicarse entre dos edificios. Si un bridge está configurado en una velocidad de datos de 11 Mbps y el otro está configurado para una velocidad de datos de 1 Mbps, la comunicación fallará.
Si ambos dispositivos están configurados para usar la misma velocidad de datos, otros factores podrían evitar que alcancen esa velocidad, en cuyo caso la comunicación falla. Si un bridge tiene una velocidad de datos de 11 Mbps, y el otro está configurado para usar cualquier velocidad, entonces las unidades se comunican a 11 Mbps. Sin embargo, si hay algún impedimento en la comunicación que requiere que las unidades bajen a una velocidad de datos inferior, la unidad configurada para 11 Mbps no puede bajar, y las comunicaciones fallan. Para reducir el potencial de fallas, los dispositivos WLAN deberían estar configurados para comunicarse a más de una velocidad de datos.

Distancia

Como el enlace de radio entre bridges puede ser bastante largo, el tiempo que tarda la señal de radio en viajar entre las radios puede volverse significativo. El parámetro de distancia se utiliza para ajustar los diversos temporizadores utilizados en el protocolo para contar el retardo. El parámetro sólo es ingresado en el bridge raíz, el que a su vez lo informa a los repetidores. La distancia del enlace de radio más largo en el conjunto de bridges se ingresa en kilómetros, no en millas

3 Cables de antena

El tipo de cable que conecta las antenas a los dispositivos WLAN es una posible fuente de dificultades en la comunicación de radio. La selección del cable también es importante. Cuando se configuran bridges para comunicarse sobre una larga distancia, los cables de la antena no deberían ser más largos de lo necesario. Esto es importante porque cuanto más largo es el cable, más se atenuará su señal, dando por resultado una fuerza de señal inferior y en consecuencia un alcance menor. Se puede utilizar un utilitario de cálculo del alcance del bridge Cisco para calcular la distancia máxima en la que se pueden comunicar dos bridges en base a las combinaciones de antena y cable en uso.

Al igual que con cualquier otro cable de red, los cables de la antena deben estar correctamente instalados para asegurar que las señales que transportan estén limpias y libres de interferencias. Para asegurarse de que los cables rinden de acuerdo a sus especificaciones, es importante evitar lo siguiente:

Conexiones flojas — Los conectores flojos en cualquiera de los extremos del cable producen un contacto eléctrico pobre y degradan la calidad de la señal.
Cables dañados — Los cables de la antena con un daño físico obvio no tienen un rendimiento acorde a las especificaciones. Por ejemplo, el daño puede producir un reflejo inducido de la señal dentro del cable.
El cable se extiende junto a los cables eléctricos — Es posible que la EMI producida por los cables eléctricos afecten la señal en el cable de la antena.
Agua en las conexiones del cable — Es posible que el agua penetre en los conectores que no estén correctamente sellados. Esto causará una degradación severa en la señal RF.

4 Antena

Línea de Visión y Ubicación de la Antena
En muchas situaciones, la línea de visión [line of sight (LOS)] no es considerada como un problema, en particular para los dispositivos WLAN que se comunican a cortas distancias. Debido a la naturaleza de la propagación de las ondas de radio, los dispositivos con antenas omnidireccionales a menudo se comunican exitosamente de habitación a habitación. La densidad de los materiales usados en la construcción de un edificio determina la cantidad de paredes que la señal RF puede atravesar mientras aun mantiene una cobertura adecuada. El impacto de varios materiales en la penetración de la señal es el siguiente:

Las paredes de papel y de vinilo tiene poco efecto sobre la penetración de la señal.
Las paredes de concreto sólido y prefundido limitan la penetración de la señal a una o dos paredes sin degradar la cobertura.
Las paredes de concreto y de bloques de concreto limitan la penetración de la señal a tres o cuatro paredes.
La madera o la mampostería permiten una adecuada penetración de la señal para cinco o seis paredes.
Una pared de metal grueso causa que la señal se refleje, dando por resultado una penetración pobre.
Un tejido metálico de alambrado con espacios de 2,5 cm a 3,8 cm (1 a 1,5 pulgadas) actúa como una onda de 1,3 cm (0,5 pulgadas) que bloqueará a una señal de 2,4 GHz.

Cuando se conectan dos puntos se debe considerar la distancia entre ellos, las obstrucciones y la ubicación de la antena. Si las antenas pueden ser montadas en interiores y la distancia es corta, se puede usar la antena bipolar estándar o la omnidireccional de 5,2 dBi de montura magnética o la antena Yagi.

Para distancias grandes de 0,8 km (0,5 millas) o más se deben usar las antenas direccionales de alta ganancia como una Yagi o un Plato Parabólico. Estas antenas deben estar tan altas como sea posible, y por sobre las obstrucciones como árboles y edificios. Si se utilizan antenas direccionales, deben estar alineadas para que sus lóbulos principales de potencia irradiada estén dirigidos entre ellas.

La FCC de los EE.UU. requiere una instalación profesional de las antenas direccionales de alta ganancia para sistemas que funcionarán sólo como punto a punto y que tengan una potencia total que excedan los 36 dBm de EIRP. La EIRP es la potencia aparente transmitida hacia el receptor. El instalador y el usuario final son los responsables de asegurar que los sistemas de alta potencia estén funcionando sólo como sistemas punto a punto.

Cuando se diseña un sistema, es importante comprender que si la antena de sitio a sitio fue instalada y probada durante el invierno, pueden ocurrir problemas en la primavera. Durante la primavera, las hojas vuelven a formar un follaje completo y las microondas de baja potencia rebotarán en las hojas como en un espejo cuando estén húmedas. Por lo tanto, una señal fuerte en el invierno puede convertirse en una señal débil en la verano.

Coinciden los ciclos de actualización de Cisco, Microsoft y Oracle

2009-01-15T17:25:00.001-06:00

14/01/2009 Coinciden los ciclos de actualización de Cisco, Microsoft y Oracle

En 48 horas han coincidido los ciclos de actualización de seguridad de tres grandes compañías: Cisco (el miércoles 14 de enero) y Microsoft y Oracle (el martes anterior), circunstancia que no se había dado hasta el momento y que sin duda ha mantenido ocupados a una buena cantidad de administradores de sistemas.

Parece improbable que un administrador de grandes sistemas no posea un producto de alguna de estas tres marcas. Entre el martes y el miércoles les han llovido los parches para todos los productos de forma casi simultánea. Deben haber estado bastante ocupados. Si no es así, están expuestos con total seguridad a alguna vulnerabilidad.

Microsoft publica sus parches de seguridad los segundos martes de cada mes, quizás sea el ciclo más reconocido. Este último martes publicó un solo boletín que solucionaba tres fallos de seguridad.

Oracle se unió hace años a las actualizaciones programadas. Publica sus parches cada tres meses. El martes que esté más cerca del día 15 del mes de enero, abril, julio y octubre. En este caso ha corregido 41 problemas de seguridad en sus numerosos productos.

No es habitual que coincidan Microsoft y Oracle (rara vez el segundo martes de cada mes se acerca al día 15) pero alguna vez se ha dado la ocasión.

Cisco declaró hace ya casi un año que también publicaría sus parches de seguridad cada seis meses, en el cuarto miércoles de marzo y el cuarto miércoles de septiembre. Por tanto, menos de 24 horas después de que Oracle y Microsoft publicaran parches, Cisco anunció otras cinco vulnerabilidades en sus productos.

No debe extrañar que las marcas elijan un día como el martes para decidir publicar sus actualizaciones. Parchear es siempre en cierto modo arriesgado. En redes grandes o críticas necesita cierto planteamiento previo (de ahí que no se utilice el lunes) y mucho seguimiento (por eso se huye de los viernes, jueves...). Microsoft fue la primera compañía grande en adoptar esta técnica así que eligió el mejor día de la semana posible, el martes. Oracle, segunda en programar sus macro parches, también se quedó con este día. Cisco, última en llegar, decidió usar los miércoles (probablemente para no coincidir con las otras dos). En cualquier caso, todos los meses de marzo de todos los años, en un periodo de 24 horas en el peor de los casos y de pocos días en el mejor, las tres coincidirán por necesidad.

Así que los administradores de sistemas (los que se preocupen por la seguridad) tienen ahora un buen trabajo por delante, en el que deben parchear, comprobar, revisar, actualizar... productos y dispositivos críticos en sus redes.

Más Información:

Cisco:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a5c4f7.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20090114-ons.shtml
http://www.cisco.com/en/US/products/products_security_response09186a0080a5c501.html

Oracle:
http://www.oracle.com/technology/deploy/security/alerts.htm

Vulnerabilidades en SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx

Fuente:www.hispasec.com

Dispositivos inalámbricos y Topologías (IV de IV)

2009-01-15T15:16:00.004-06:00

Tramas de Administración, que contienen:

o Solicitud/respuesta de asociación

o Solicitud/respuesta de pruebas

o Beacons

o Autenticación

Tramas de control

o Solicitud para enviar RTS (Request to Send)

o Listo para enviar (CTS, Clear to Send)

o Acuses de recibos

Tramas de datos

De todas ellas SOLO la trama de datos es similar a las tramas Ethernet de cable (802.3) y es eso.... similar... no igual.

Las tramas inalámbricas pueden transportar 2346 bytes (es el MTU, la unidad máxima de transmisión) mientras que las tramas Ethernet 802.3 el MTU está limitado a 1518 bytes, si bien, sólo se usan 1500

Es por ello que las tramas WiFi están limitadas a 1500 bytes, así se consigue una compatibilidad con ethernet si necesidad de otros dispositivos como routers.

Cuando expuse en el apartado las Normativas IEEE, me repetía constantemente algo fundamental...esas velocidades, esas tasas de transmisión son.... son cuanto menos engañosas, en este apartado encontraremos los motivos.

La Radiofrecuencia es un medio compartido y los puntos de acceso actúan como un HUB...

ya ... y???

Pues que las señales de unos y otros "chocan" colisionan constantemente... y qué ocurría en Ethernet cuando se producía una colisión???

Pues que las tramas (los datos a transmitir) se destruyen, se envía una señal para que todo quisqui se calle o deje de transmitir y se espera un tiempo aleatorio antes de poder volver a hacerlo, en esto se basa el algoritmo CSMA/CD que usa Ethernet.

Esto significa que si hay muchos nodos, habrá muchas colisiones y si los paquetes colisionan se han de retransmitir por que lo que colisionaron se descartan... por tanto la velocidad no es la que nos pintan.... si para enviar 50 megas tengo que repetirlo 2500 veces, tardaré mas que si lo repito una sola vez... es de cajón... y mientras yo envío (me apropio del medio) y los otros no pueden hacerlo, esto son microsegundos... pero muchos microsegundos hacen minutos, horas, días....

Las Wireless usan un protocolo llamado CSMA/CA (parecido al de Ethernet) por lo que si le añadimos, el protocolo, las veces que se han de repetir los datos tras las colisiones, el uso de un medio compartido, el cifrado, las balizas, las tramas de control y administración, los acuses de recibo, las interferencias, el ruido, los obstáculos y toda la problemática vista hasta ahora.... nos quedamos que en una red sin cables la eficiencia no llega al 50% del ancho de banda...

Dicho de otro modo... si usamos 802.11b (11Mbps) nos daremos con un canto en los dientes si la tasa de trasferencia real llega a los 5Mbps.

Además... cuando la señal pierde potencia, se invoca a una señal llamada ASR (Selección de Tasa Adaptativa) que obliga a disminuir la tasa de transferencia.... por lo que en muchos casos, aunque dispongamos de conexiones de 54Mbps, podemos llegar a disponer tan sólo 1Mbps.... tasas menores suponen la pérdida de conexión.

Autor: Vic_Thor
Pulicado en los Foros HxC

Herramientas de Diagnóstico_IV

2009-01-15T10:49:00.001-06:00

Medidores de gauss y tesla

Un medidor de gauss mide campos eléctricos y magnéticos (EMFs), que son producidos por las líneas eléctricas, el cableado eléctrico y el equipo eléctrico. A veces éstos pueden causar problemas con los dispositivos y operaciones de red. Los EMFs son líneas de fuerza invisibles que rodean a todos los dispositivos eléctricos. Los campos eléctricos son producidos por el voltaje y aumentan en fuerza a medida que el voltaje aumenta. La fuerza del campo eléctrico se mide en unidades de voltios por metro (V/m). Los campos magnéticos resultan del flujo de la corriente a través de cables o dispositivos eléctricos y aumentan en fuerza a medida que la corriente aumenta.

Los campos magnéticos se miden en unidades gauss (G) o tesla (T). La mayoría de los equipos eléctricos tienen que estar encendidos para que se produzca un campo magnético, ya que la corriente debe estar fluyendo. Los campos eléctricos están presentes incluso cuando el equipo está apagado, mientras permanece conectado a la fuente de la energía eléctrica.

Los campos eléctricos son blindados o debilitados por materiales que conducen electricidad incluyendo árboles, edificios y la piel humana. Los campos magnéticos atraviesan la mayoría de los materiales y por lo tanto son más difíciles de blindar. Tanto los campos eléctricos como los magnéticos disminuyen a medida que la distancia desde el origen aumenta.

Herramientas de Diagnóstico_III

2009-01-15T10:45:00.002-06:00

Analizadores de Espectro

Impedimentos de RF

Muchos factores impiden la transmisión o recepción exitosa de una señal de radio. Los problemas más comunes son:

interferencias de radio
interferencias electromagnéticas
problemas de cables
problemas de antena

Un analizador de espectro es la mejor herramienta para determinar si existe actividad sobre una frecuencia . Si se sospecha que hay interferencia de radio en la transmisión o recepción de la WLAN, apague el equipo que funciona sobre la misma frecuencia y ejecute la prueba. La prueba muestra cualquier actividad sobre esa frecuencia y sobre otras frecuencias donde el equipo puede trabajar. Esto ayuda a determinar los cambios de frecuencias.

Las fuentes de interferencia y de degradación de la señal pueden ser las siguientes:

Interferencias de Radio – Como no se necesita licencia para trabajar con equipos de radio en la banda de los 2,4 GHz, donde trabajan los equipos de la WLAN, es posible que otros transmisores emitan sobre la misma frecuencia.

Interferencias Electromagnéticas – Es posible que las EMI sean generadas por un equipo que no es de radio que funciona en las proximidades del equipo de la WLAN. Es más probable que las EMI afecten a los componentes del transmisor en lugar que a la transmisión. Para minimizar los efectos posibles de las EMI, es mejor ubicar el equipo de radio tan lejos como sea posible de las fuentes potenciales de EMI. Trate de suministrar energía condicionada al equipo WLAN para disminuir los efectos de la EMI generados también sobre los circuitos de energía.

Teléfonos Inalámbricos u otros dispositivos inalámbricos de 2,4 GHz – Si el teléfono es un dispositivo DS que utiliza el mismo canal que el equipo WLAN, y si el teléfono está ubicado cerca del equipo, pueden ocurrir problemas cuando ambos se utilicen simultáneamente. Las siguientes sugerencias pueden ayudar a resolver el problema:
Cambie la ubicación del AP o de la base del teléfono inalámbrico.
Trate de conmutar al canal 1 o al canal 11 en el AP.
Utilice una antena remota en la tarjeta del cliente si eso es una opción.
Utilice el teléfono con la antena bajada, si es posible.
Utilice un teléfono de 900 MHz en lugar de un teléfono de 2,4 GHz.

Dispositivos inalámbricos y Topologías (III de IV)

2009-01-14T19:04:00.003-06:00

Localización de Dispositivos

Al fin!!!! Bueno... tras este "peazo" de rollo, de siglas, de normativas, etc... vamos a empezar a entender DE VERDAD como se produce la conexión wireless... todo lo que vienen a continuación es muy, MUY IMPORTANTE que lo comprendas bien, además es muy sencillo.

No es que todo lo anterior no haya sido importante, pero no deja de ser "culturilla" y aclaraciones, sin embargo a partir de aquí.... FUNDAMENTAL.

Proceso de conexión

Cuando un cliente es activado en una WLAN, éste empieza escuchando para localizar un dispositivo compatible al conjunto de protocolos que implementa su tarjeta.

Este proceso de escucha se denomina escaneo y puede ser de dos tipos:

Activo:

SSID/ESSID

Servicio de Identificación

SSID

Pasivo:

becons o tramas de administración de balizas

beacons

SSID

Como ves... seguridad poca... porque "aparentemente" cualquiera que llegue con su portátil cerca de un punto de acceso y lo configure en modo pasivo terminará por "entrar" en la red.

Por otra parte, si los chicos malos se vuelven peores... pueden lograr que equipos lícitamente asociados y autenticados se disocien utilizando señales mal intencionadas o intentando que la el punto de acceso cambie la fuerza de sus señales.

También, si los clientes de la red ya están asociados y "entramos" con un nuevo punto de acceso, esos clientes se asociarán al nuestro... vamos que hay para mucho juego....

Claro... no vayas a pensar que para todo esto se necesita acudir a la oficina con un hub, un punto de acceso, una antena, baterías, etc... nos basta con un portátil y dos tarjetas pcmcia o cardbus.

Aclaremos más sobre los estados posibles.

Primero hay que recordar que la autenticación WLAN tiene lugar en la Capa 2 del modelo OSI, aunque parezca mentira, el conjunto de protocolos 802.1x no es realmente un protocolo inalámbrico, sencillamente describe un método de autenticación de puertos que se puede aplicar a cualquier red, pero bueno... esto no es lo que interesa en estos momentos.

Lo que importa y sí que es importante es que recuerdes que la autenticación es del dispositivo, no del usuario.... es física y de enlace a datos.... capas superiores no intervienen, por tanto con dispositivos configurados a tal efecto y ante una red "desprotegida" las travesuras pueden ser de máximo riesgo para el pobre administrador despreocupado o que se fía de sus conexiones....

La autenticación puede ser un proceso nulo, este es el caso de puntos de acceso y tarjetas de red sin configurar (nada mas salir del embalaje), sencillamente se envía la trama beacon y se produce la autenticación.

La asociación llega después de la autenticación... de la autenticación positiva, claro... y en ese estado el cliente puede usar los servicios que brinde la red.

Por tanto tenemos tres estados de autenticación/asociación:

Desautenticado y disociado:

Autenticado y disociado:

Autenticado y asociado:

En cuanto a los métodos de autenticación, IEEE 802.11 define dos formas posibles:

Autenticación abierta:

SSID

Clave compartida:

uso de WEP

Proporciona mayor seguridad... pero WEP es vulnerable... y mucho.... aunque se precisa de cierta cantidad de tráfico esnifado para hallar la clave y craquearla... te adelanto... usaremos herramientas que provocarán que el punto de acceso emita mas balizas de la cuenta.... extraeremos la clave cifrada y la craqueamos... o mejor... la pasamos "con audacia" y ZAS!!! En la red... nos ahorraremos el incordio del crack... que siempre es lento....

También hay que hablar de canales... los canales son "pequeñas" variaciones de la frecuencia, los dispositivos inalámbricos pueden configurarse para que hagan un barrido de los canales disponibles o forzarles a usar uno en concreto.

Si hacemos esto último, TODOS los dispositivos deberían usar el mismo canal, de otro modo nos quedamos sin conexión... el roaming es la capacidad que tienen los dispositivos wireless para escanear señales por todos los canales disponibles de su banda de frecuencia.

Canales más comunes

Figura 3. Tabla de canales y frecuencias 802.11b

Herramientas de Diagnóstico_II

2009-01-14T14:01:00.000-06:00

Analizadores de Red

Un analizador de red decodifica las diferentes capas de protocolos en un frame grabado y las presenta como abreviaturas o resúmenes legibles. Un analizador de red detalla cuál capa está involucrada y qué función proporciona cada byte o contenido de byte. Los analizadores de redes también reciben el nombre de analizadores de protocolos o sniffers de paquetes. Están disponibles diferentes paquetes de software inalámbrico, como WildPackets Airopeek, Network Stumbler y Sniffer Wireless . Fluke proporciona dos dispositivos dedicados diferentes, el OptiView y el WaveRunner, los que proporcionan análisis inalámbrico.

La mayoría de los analizadores de red pueden realizar las siguientes funciones:

Filtra el tráfico que cumple con cierto criterio, por ejemplo, puede capturar todo el tráfico hacia y desde un dispositivo en particular

Le coloca la hora a los datos capturados

Presenta a las capas de protocolos en una forma fácilmente legible

Genera frames y los transmite por la red

Incorpora un sistema experto en el cual el analizador utiliza un conjunto de reglas, combinadas con información sobre la configuración y funcionamiento de la red, para diagnosticar y resolver problemas de red

Herramientas de Diagnóstico_I

2009-01-14T13:56:00.002-06:00

Probadores de cables, multímetros y monitores de red

Las que siguen son herramientas de terceros que se utilizan normalmente en la solución de problemas de la internetwork:

Volt-ohmetros, multímetros digitales y probadores de cables son útiles para probar la conectividad física de una red de cables.

Los reflectores con indicación temporal [time domain reflectors (TDRs)] y los reflectores con indicación temporal ópticos (OTDRs) son dispositivos que ayudan a localizar roturas de cables, desigualdades de impedancias y otros problemas físicos de la red de cables.

Las cajas de conmutación y las fox boxes son útiles para solucionar problemas en las interfaces periféricas.

Los analizadores de red decodifican problemas en las siete capas OSI y pueden identificarlos automáticamente en tiempo real, proporcionando así una visión clara de la actividad de la red y clasificando los problemas por su importancia crítica.

Los volt-ohmetros y los multímetros digitales están en el extremo inferior del espectro de las herramientas para probar cables . Estos dispositivos miden parámetros como el voltaje AC y DC, la corriente, la resistencia, la capacitancia y la continuidad. Un probador de cable podría realizar las siguientes funciones:

Probar y reportar las condiciones del cable, incluyendo NEXT, atenuación y ruido

Realizar reflectometría con indicación temporal, supervisión del tráfico y funciones de mapeo de cables

Visualizar información de capa MAC sobre el tráfico de la LAN, proporcionar estadísticas como el uso de la red y proporciones de errores de paquetes, y realizar una prueba de protocolo limitada, como pruebas de ping TCP/IP

Un equipo de pruebas similar está disponible para el cable de fibra óptica. A causa del costo relativamente alto del cable de fibra óptica, éste debería ser probado antes de la instalación, lo que también recibe el nombre de prueba en el carretel, y después de la instalación. La prueba de continuidad de la fibra requiere una fuente de luz visible, o un Reflectómetro, y se utiliza con medidores de energía que miden las mismas longitudes de ondas de la luz, prueban la atenuación y devuelven la pérdida en la fibra. El probador de cables verifica la conectividad de todos los tipos de cables de LAN. Puede medir la longitud del cable o la distancia hasta un defecto. También se utiliza para probar las fallas como: pares abiertos, en corto, invertidos, cruzados o separados.

En el extremo superior del espectro de probadores de cables están los TDRs. Estos dispositivos puede localizar rápidamente circuitos abiertos y en corto, dobleces aplastados, enrulados, agudos, discrepancias de impedancias y otros defectos en los cables de cobre. Algunos TDRs también pueden calcular la velocidad de propagación basada en la longitud de un cable configurado.

Los supervisores de red llevan la cuenta continuamente de los paquetes que atraviesan una red. Esto proporciona una imagen precisa de la actividad de la red en cualquier momento, o un registro histórico de la actividad de la red durante un período de tiempo. Los supervisores de red no decodifican el contenido de los frames. Son útiles para encontrar la referencia de una red. La toma de muestras de la actividad de una red durante un período de tiempo para establecer un perfil normal del rendimiento proporciona la referencia. El Fluke OptiView es un ejemplo de supervisor de red. El OptiView detecta dispositivos en la red, lista posibles problemas y también descubre segmentos de la red y dominios de Net BIOS.

Manual Online del Packet Tracer 4.11

2009-01-14T13:19:00.002-06:00

A pesar que la última versión del Packet Tracer es 5.0, creo que les puede servir de mucho a quienes recién empiezan o tal vez a los que desean conocer detalles sobre el uso de esta herramienta, este link a un manual online en inglés del Packet Tracer 4.11.
Espero que les sea de provecho. Saludos.

Changes to CCIE Lab and Written Exam

2009-01-14T11:27:00.004-06:00

Hola bueno el día de hoy recibi este mail, como lo comentaba el buen Raul Velazquez en algun post que puso en su blog algunos meses ya estan mandando la informacion los de CISCO donde comentan cambio del examen.... Aqui el Mail:

Changes to CCIE Lab and Written Exam Question Format and Scoring
Effective February 1, 2009, Cisco will introduce a new type of question format to CCIE Routing and Switching lab exams. In addition to the live configuration scenarios, candidates will be asked a series of four or five open-ended questions, drawn from a pool of questions based on the material covered on the lab blueprint. No new topics are being added. The exams are not been increased in difficulty and the well-prepared candidate should have no trouble answering the questions. The length of the exam will remain eight hours. Candidates will need to achieve a passing score on both the open-ended questions and the lab portion in order to pass the lab and become certified. Other CCIE tracks will change over the next year, with exact dates announced in advance.

Effective February 17th, 2009, candidates will also see two other changes in CCIE written exams. First, candidates will now be required to answer each question before moving on to the next question; candidates will no longer be allowed to skip a question and come back to it at a later time. Second, there will be an update to the score report. The overall exam score and the exam passing score will now be reported as a scaled score, on a scale from 300-1000. This change will not affect the difficulty of the current set of exams and will assure CCIE written exams will be consistent with Cisco’s other career certification exams.

Videotutoriales CCNA

2009-01-14T09:46:00.002-06:00

Como dicen que "Un video vale más que 1000 palabras...", aquí les dejo un link en el que podrán apreciar un buen número de videotutoriales, aunque cortos pero creo que en algo o en mucho nos ayudarán a concocer algunos otros perfiles desconocidos o poco conocidos que emergen en nuestro proceso de aprendizaje rumbo al examen CCNA. Aunque la mayoría están en el idioma francés algunos están en inglés. Algunos podrán decir, vaya consuelo, pero bueno como dicen "A caballo regalado no se le mira los dietes..." ;-)
Espero que les sea de provecho. Saludos.

SAP y Cisco ofrecen solución conjunta para proteger la privacidad de los datos

2009-01-14T05:56:00.000-06:00

Ya está disponible para el mercado latinoamericano Data Privacy Composite Application, una solución creada de manera conjunta entre SAP, proveedor líder mundial de soluciones de software de gestión de negocio con sede en Walldorf (Alemania), y Cisco Systems, compañía con sede en San José (California, Estados Unidos) y actualmente líder mundial en soluciones de red e infraestructuras para Internet, que apunta a evitar que se quebranten normas de privacidad de la información en el marco de la red de una organización.

La aplicación soporta conformidad con políticas de privacidad de la información en una compañía, así como cualquier requisito externo de las instituciones gubernamentales. Por ejemplo, si un empleado de una fábrica de automóviles que maneja información confidencial sobre nuevos modelos quisiera enviar un e-mail a la competencia con datos clasificados como confidenciales, la aplicación SAP-Cisco identificaría ese correo y lo pondría en cuarentena, evitando de este modo que se envíe.

Además, la solución puede impedir que un empleado transfiera información confidencial de la red a un medio de almacenamiento externo, como una memoria USB; permite crear políticas basadas en ubicación (para que un usuario de un país, por ejemplo, tenga acceso restringido a información almacenada en otro territorio) y bloquea correos electrónicos cuyos remitentes no tengan permiso para transitar por la red. En otras palabras, soporta tanto el cumplimiento de políticas de privacidad de la información en una compañía así como cualquier requisito externo de regulaciones gubernamentales.

Leticia Cavagna, gerente de desarrollo de negocios para SAP América Latina en la línea de negocios POA, o Aplicaciones de Optimización del Desempeño Corporativo, señala que la relación estratégica que están estableciendo Cisco y SAP llevará a las empresas una combinación entre redes inteligentes y soluciones de negocios, con foco inicial en GRC (Governance, Risk and Compliance, o Gobierno Corporativo, Control de Riesgos y Cumplimiento Regulatorio). Leticia Cavagna indica que las reglas y los controles de los procesos de negocio, que residen en el nivel de aplicación y que habitualmente se utilizan por los responsables de GRC, nunca antes habían sido integrados en las políticas de red de TI y por esto es que la solución es única.

Carlos Rodriguez, Gerente de Desarrollo de Negocios en Data Center de Cisco América Latina, dijo que esto es un claro ejemplo de la utilización de la red como plataforma para agregar valor al negocio. Carlos Rodriguez señala que ya no es la red que simplemente ofrece conectividad, sino es la red de servicios inteligentes capaz de interactuar con las aplicaciones en favor de sus clientes.

Esta aplicación es única en su tipo, ya que toma sus componentes de la capa de aplicación de SAP y de la capa de red de Cisco, consolidándose como una solución completa de prevención. Al utilizar los elementos del portafolio de aplicación GRC de SAP, para incluir controles a los procesos de negocio y a los documentos cuando están relacionados con la privacidad, los controles se hacen cumplir a nivel de red al utilizar el midldleware AON (Application Oriented Networking) de Cisco, que incorpora la capacidad de examinar la red a nivel de mensaje.

Según datos del mercado, el costo promedio de arreglar una brecha en la privacidad de la información y de pagar las multas relacionadas es, en los Estados Unidos, de 4.8 millones de dólares por incidente. Leticia Cavagna concluye añadiendo que este esfuerzo conjunto beneficiará a sus clientes ya que eliminará las barreras entre los procesos de negocios y la actividad de la red, para proveer capacidades únicas orientadas al manejo de riesgos de negocios en tiempo real.

Fuente: www.telcommunity.com

Configurar Rutas Estáticas en Packet Tracer (III de III)

2009-01-13T18:06:00.004-06:00

Comprobación de Rutas Estáticas usando la Interfaz de Salida
El comando “show ip route” muestra la tabla de enrutamiento del dispositivo. Las rutas marcadas con “c” pertenecen a las redes directamente conectadas y las marcadas con “s” son las rutas estáticas configuradas.

Resultado “Show IP Route” en RouterA
Observaciones: En el RouterA la lectura de las rutas estáticas será la siguiente: Todo tráfico con destino a las redes 192.168.2.0 y 192.168.3.0 será enviado por la interfaz local Serial 0/0.

Resultado “Show IP Route” en RouterB
Observaciones: En el RouterB la lectura de las rutas estáticas será la siguiente: Todo tráfico con destino a la red 192.168.1.0 será enviado por la interfaz local Serial 0/0 y todo tráfico hacia la red 192.168.2.0 será enviado por la interfaz local Serial 0/1.

Resultado “Show IP Route” en RouterC
Observaciones: En el RouterC la lectura de las rutas estáticas será la siguiente: Todo tráfico con destino a las redes 192.168.1.0 y 192.168.2.0 será enviado por la interfaz local Serial 0/1.

Comprobación del Ejercicio
Para comprobar el ejercicio solo basta con hacer ping entre los diferentes host y si son todos exitosos el ejercicio está correcto.

Escrito por: Gastón García.

vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
Configurar Rutas Estáticas en Packet Tracer (I de III)
Configurar Rutas Estáticas en Packet Tracer (II de III)
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv

Dispositivos inalámbricos y Topologías (II de IV)

2009-01-13T18:05:00.004-06:00

Dispositivos inalámbricos y Topologías (I de IV)

2009-01-13T15:11:00.004-06:00

*************************************************************************************
Dispositivos inalámbricos y Topologías (I de IV)
Dispositivos inalámbricos y Topologías (II de IV)
Dispositivos inalámbricos y Topologías (III de IV)
Dispositivos inalámbricos y Topologías (IV de IV)
*************************************************************************************

Para comunicar un PC mediante dispositivos sin cables, necesitaremos tarjetas de red con capacidades inalámbricas, las hay de muchos tipos... ISA, PCI, Cardbus, Pcmcia, USB... imagino que todas estos conceptos los conoces... lo más habitual es encontrarnos con tarjetas PCI para equipos de sobremesa y con tarjetas pcmcia o cardbus para portátiles.

Es importante la diferencia entre cardbus y pcmcia, en ocasiones hablamos de pcmcia y englobamos cardbus en ello, su comportamiento, drivers y configuración son diferentes, las tarjetas cardbus son una especie de PCI en ranuras pcmcia... usan 32 bits y son más actuales que sus predecesoras.

Los dispositivos usb también llegan con fuerza, pero volvemos a lo de antes... tristemente los fabricantes "se olvidan" un poco de que existe LiNUX, proporcionan drivers y controladores para Microsoft Windows... hasta para W98!!!! Pero es la comunidad de usuarios de LiNUX los que en muchas ocasiones se buscan la vida... por eso para configurar muchos dispositivos "modernos" tenemos que hacer un auténtico vía crucis para que se soporten en este sistema operativo.

Ya lo desarrollaré mejor, el secreto está en el chipset, en los módulos del kernel y en una configuración "artesanal", sobre todo con tarjetas muy modernas hasta para alguna de ellas nos tendremos que olvidar de LiNUX... bueno, no para comunicarnos... más bien para usarlas como herramientas de escaneo, ataques o similares, pero casi siempre pasa por "el trauma" de compilar el kernel y/o actualizarlo.

Si estás pensando en adquirir una tarjeta wireless para trabajar con LiNUX ANTES de comprar "el no va mas" piensa que igual te has de conformar con tener conexión y nada mas... no obstante explicaré la forma de cómo usar dispositivos en LiNUX usando los drivers que nos suministran para Windows, eso sí... sólo conseguiremos "hacer funcionar" la tarjeta y lograr conectividad... nos olvidaremos de usarla como herramienta de análisis o de intrusión.

El caso es que para conectar dos Pc’s bastará con disponer de una tarjeta inalámbrica en cada uno de ellos... si quieres conectar más de dos hosts, has de recurrir a un Access Point, un Punto de Acceso (PA), que se comportará como un HUB inalámbrico que también se podrá conectar a la red de cable convencional y unir ambas redes.

Lo normal es disponer de un PA, sin embargo también es posible montarse un PA "manual" con dos tarjetas WiFi en un PC y ofreciendo capacidades de puente (bridge) para ello, de hecho una de nuestras prácticas será construir falsos puntos de acceso y derivar la comunicación hacia ellos... una especie de Man in the Middle aplicado a las WLAN.

Dependiendo de la estructura y localización de los puntos de acceso, de las antenas, del tamaño de la celda y de la ganancia, podemos extender la WLAN desde unos metros hasta cerca de los 40 Kilómetros.

Lo más frecuente es que el alcance ronde los 150 metros, para distancias mayores hay que instalar varios PA con solapamiento y tránsito entre celdas, igual que hacen los operadores de telefonía... es como "alumbrar" una zona usando varios puntos de acceso, varias "antenas".

La celda es la conectividad de un área específica en las comunicaciones inalámbricas y el solapamiento es la intersección de la zona que "alumbra" con la celda de otro punto de acceso, mejor un gráfico....

Figura 2. Solapamiento de celdas

Las zonas azules representan el solapamiento de áreas de cada Punto de Acceso.

El solapamiento óptimo es debe ser entre un 20% y 30%, porcentajes mayores provocarían que los hosts que "pertenecen" a un punto de acceso entren en estados de conexión/desconexión frecuentemente y se asocien a los puntos de acceso no deseados o que se queden "aislados" de la red.

Con porcentajes de solapamientos de 20-30 conseguiremos estados de conexión y desconexión transparentes al usuario (sin intervención del mismo) y sin interrupción del servicio.

Configurar Rutas Estáticas en Packet Tracer (II de III)

2009-01-13T11:46:00.017-06:00

PASO 3 - Configurar Rutas Estáticas
Hay dos formas de configurar las rutas estáticas, usando la “IP del siguiente salto” o la “interfaz de salida”, pueden usar cualquiera de las dos. Normalmente se usa la “IP del siguiente salto” que es la IP de la interfaz del router directamente conectado, pero si entre los datos no la tenemos, podemos usar la “interfaz de salida” que es la interfaz del router local. No hay forma de hacer rutas estáticas sin conocer la dirección de red destino, para ese caso se usan “rutas por defecto” o un “default gateway” en el router (ya haré un tutorial sobre estas configuraciones).

A) Configurar Rutas Estáticas Utilizando la “IP del Siguiente Salto”
Router A
RouterA>enable
RouterA#config terminal
RouterA(config)#ip route 192.168.2.0 255.255.255.0 10.0.0.1
RouterA(config)#ip route 192.168.3.0 255.255.255.0 10.0.0.1
Observaciones: Con estas rutas estáticas le estamos diciendo al RouterA que todo tráfico hacia la red 192.168.2.0 y 192.168.3.0 se debe enviar hacia la interfaz con la IP 10.0.0.1 para que lo resuelva.

RouterB
RouterB>enable
RouterB#config terminal
RouterB(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.2
RouterB(config)#ip route 192.168.3.0 255.255.255.0 11.0.0.2
Observaciones: Con la primer ruta estática le estamos diciendo al RouterB que todo tráfico hacia la red 192.168.1.0 se debe enviar hacia la interfaz con la IP 10.0.0.2 para que lo resuelva.
Con la segunda ruta estática le estamos diciendo al RouterB que todo tráfico hacia la red 192.168.3.0 se debe enviar hacia la interfaz con la IP 11.0.0.2 para que lo resuelva.

RouterC
RouterC>enable
RouterC#config terminal
RouterC(config)#ip route 192.168.2.0 255.255.255.0 11.0.0.1
RouterC(config)#ip route 192.168.1.0 255.255.255.0 11.0.0.1
Observaciones: Con la primer ruta estática le estamos diciendo al RouterC que todo tráfico hacia la red 192.168.2.0 se debe enviar hacia la interfaz con la IP 11.0.0.1 para que lo resuelva.
Con la segunda ruta estática le estamos diciendo al RouterC que todo tráfico hacia la red 192.168.1.0 se debe enviar hacia la interfaz con la IP 11.0.0.1 para que lo resuelva.

B) Configurar Rutas Estáticas Utilizando la “Interfaz de Salida”
Router A
RouterA>enable
RouterA#config terminal
RouterA(config)#ip route 192.168.2.0 255.255.255.0 s0/0
RouterA(config)#ip route 192.168.3.0 255.255.255.0 s0/0
Observaciones: Con estas rutas estáticas le estamos diciendo al RouterA que todo tráfico hacia la red 192.168.2.0 y 192.168.3.0 se debe enviar por la interfaz local s0/0.

RouterB
RouterB>enable
RouterB#config terminal
RouterB(config)#ip route 192.168.1.0 255.255.255.0 s0/0
RouterB(config)#ip route 192.168.3.0 255.255.255.0 s0/1
Observaciones: Con la primer ruta estática le estamos diciendo al RouterB que todo tráfico hacia la red 192.168.1.0 se debe enviar por la interfaz local s0/0. Con la segunda ruta estática le estamos diciendo al RouterB que todo tráfico hacia la red 192.168.3.0 se debe enviar por la interfaz local s0/1.

RouterC
RouterC>enable
RouterC#config terminal
RouterC(config)#ip route 192.168.2.0 255.255.255.0 s0/1
RouterC(config)#ip route 192.168.1.0 255.255.255.0 s0/1
Observaciones: Con la primera ruta estática le estamos diciendo al RouterC que todo tráfico hacia la red 192.168.2.0 se debe enviar por la interfaz local s0/1. Con la segunda ruta estática le estamos diciendo al RouterC que todo tráfico hacia la red 192.168.1.0 se debe enviar por la interfaz local s0/1.

Comprobación de Conectividad entre Dispositivos
Antes de configurar las rutas estáticas tienen que estar seguros de que todos los dispositivos vecinos de la topología se están viendo.
Una de las formas es usando el comando “show cdp neighbors” desde cada router que nos mostrará en su resultado los routers y switchs directamente conectados a el, si no aparece alguno hay algo mal configurado.
Otra cosa que tienen que probar es que los hosts se comuniquen con el “default gateway” (puerta de enlace) de la red, esto lo pueden hace con un ping desde un host a la IP de la interfaz del router conectada a la red a la que pertenece el host.

Resultado “Show CDP Neighbors” en RouterA

Resultado “Show CDP Neighbors” en RouterB

Resultado “Show CDP Neighbors” en RouterC

Comprobación de Rutas Estáticas usando la IP del Siguiente Salto
El comando “show ip route” muestra la tabla de enrutamiento del dispositivo. Las rutas marcadas con “c” pertenecen a las redes directamente conectadas y las marcadas con “s” son las rutas estáticas configuradas.

Resultado “Show IP Route” en RouterA

Observaciones: En el RouterA la lectura de las rutas estáticas será la siguiente: Todo tráfico con destino a las redes 192.168.2.0 y 192.168.3.0 será enviado hacia la interfaz con la IP 10.0.0.1.

Resultado “Show IP Route” en RouterB

Observaciones: En el RouterB la lectura de las rutas estáticas será la siguiente: Todo tráfico con destino a la red 192.168.1.0 será enviado hacia la interfaz con la IP 10.0.0.2 y todo tráfico hacia la red 192.168.2.0 será enviado hacia la interfaz con la IP 11.0.0.2

Resultado “Show IP Route” en RouterC

Observaciones: En el RouterC la lectura de las rutas estáticas será la siguiente: Todo tráfico con destino a las redes 192.168.1.0 y 192.168.2.0 será enviado hacia la interfaz con la IP 11.0.0.1.

vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
Configurar Rutas Estáticas en Packet Tracer (I de III)
Configurar Rutas Estáticas en Packet Tracer (III de III)
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv

Solución de Problemas según OSI_IV

2009-01-13T09:48:00.001-06:00

Solución de problemas de TCP/IP

La solución de problemas básicos de TCP/IP en máquinas con Windows combina los datos reunidos desde la perspectiva del router, switch, bridge y AP con datos reunidos desde la perspectiva del cliente o servidor Windows.

Ping
Uno de los usos más comunes del ICMP es como herramienta de diagnóstico. Un simple ping utiliza ICMP para determinar si un host está recibiendo o no paquetes. Para más detalles sobre ICMP, vea el RFC 792. Un ping al loopback es una de las primeras pruebas de ping que debería realizarse cuando está cuestionada la conectividad. Un ping al loopback está dirigido a 127.0.0.1, la dirección de loopback, para revisar la integridad de la pila TCP/IP y de la NIC.

ARP
ARP mostrará el mapeo de dirección IP a MAC. Para ver el caché ARP, en el prompt de comando escriba arp –a.

Ipconfig o Winipcfg
Se puede usar ipconfig en Windows NT, 2000/2003, XP,Vista o winipcfg en Windows 95 o 98 para revisar la configuración de host local. Ingrese a una ventana de Promp de Comando en el host y escriba el comando ipconfig /all. El resultado de este comando muestra la configuración de dirección TCP/IP, incluyendo la dirección del servidor del Sistema de Nombres de Dominio (DNS). Si alguna dirección IP es incorrecta o si no muestra ninguna dirección IP, determine la dirección IP correcta y edítela o ingrésela para el host local. El comando ipconfig /release seguido por ipconfig /renew forzará un pedido para el servidor DHCP de una dirección IP.

Tracert
La herramienta tracert en un host Windows NT, 2000, o XP reporta cada nodo que cruza un paquete TCP/IP en su camino hacia un destino. Hace esencialmente lo mismo que el comando trace en el Software Cisco IOS.

Solución de Problemas según OSI_III

2009-01-13T09:45:00.000-06:00

Problemas a Solucionar en la Capa de Red

Predeterminados
Filtros
Dirección IP y máscara de subred
Problemas de la VPN
NAT

routers

Los routers son dispositivos de internetworking que trabajan en la Capa 3 de OSI, la capa de red. Los routers enlazan, o interconectan, segmentos de red o redes completas. Pasan los paquetes de datos entre las redes basándose en información de Capa 3. Los routers toman decisiones lógicas con respecto a la mejor ruta para enviar los datos en una Internetwork basándose en información de Capa 3. Luego los routers dirigen los paquetes hacia el puerto y segmento de salida apropiados. Por lo tanto, el enrutamiento a veces es llamado conmutación de Capa 3. Los routers vienen en una gran variedad de tamaños y factores de formato, pero tienen características físicas comunes, como interfaces LAN/WAN que proporcionan conectividad entre redes. Si IP u otros servicios pueden ser accedidos sobre la LAN, pero el acceso a Internet no está disponible, el router puede ser el punto de falla. Otros problemas de conectividad, como acceder a otras VLANs, pueden ser atribuidos a un router. En muchos casos, el router está configurado con listas de control de acceso (ACLs) para evitar el acceso no autorizado. En una red muy segura, el agregar nuevos dispositivos requiere planificación y coordinación. Siempre consulte al administrador de LAN/WAN cuando conecte nuevos dispositivos a la LAN. Los routers proporcionan numerosos comandos integrados para ayudar en la supervisión y solución de problemas de la internetwork, como muestra la Figura . Si no existen problemas de configuración en el router, otros posibles podrían ser problemas de cableado en el router o cortes del proveedor del servicio.

Uso de Comandos show

Los comandos show, mostrados en la Figura , son poderosas herramientas de supervisión y solución de problemas. Utilice los comandos show para realizar una variedad de funciones, incluyendo:

Supervisión del comportamiento del router durante la instalación inicial.
Supervisión del funcionamiento normal de la red.
Aislamiento de interfaces, nodos, medios o aplicaciones con problemas.
Determinación del congestionamiento de la red.
Determinación del estado de los servidores, clientes u otros vecinos.

Configurar Rutas Estáticas en Packet Tracer (I de III)

2009-01-12T14:44:00.003-06:00

Este tutorial es para que comprendan cómo funciona y cómo se configura el enrutamiento estático.

En el gráfico pueden ver la topología que vamos a usar y que tienen armada y funcionando en Packet Tracer. La finalidad de ejercicio es que se pueda enrutar tráfico entre las redes 192.168.1.0/24, 192.168.2.0/24 y 192.168.3.0/24 sin ningún protocolo de enrutamiento, usando solo rutas estáticas.

PASO 1 - Configuración de los Hosts
Host A

IP: 192.168.1.2
Máscara: 255.255.255.0
Default Gateway: 192.168.1.1

Host B

IP: 192.168.2.2
Máscara: 255.255.255.0
Default Gateway: 192.168.2.1

Host C

IP: 192.168.3.2
Máscara: 255.255.255.0
Default Gateway: 192.168.3.1

Observaciones: El default gateway (puerta de enlace) para los hosts es la interfaz del router conectada a la red a la cual pertenece el host. En este caso es la FastEthernet 0/0 de cada router.

PASO 2 - Configuración Básica de los Routers
Router A
Router>enable
Router#config terminal
Router(config)#hostname RouterA
RouterA(config)#interface fastethernet 0/0
RouterA(config-if)#ip address 192.168.1.1 255.255.255.0
RouterA(config-if)#no shutdown
RouterA(config-if)#exit
RouterA(config)#interface serial 0/0
RouterA(config-if)#ip address 10.0.0.2 255.0.0.0
RouterA(config-if)#no shutdown
Router B
Router>enable
Router#config terminal
Router(config)#hostname RouterB
RouterB(config)#interface fastethernet 0/0
RouterB(config-if)#ip address 192.168.2.1 255.255.255.0
RouterB(config-if)#no shutdown
RouterB(config-if)#exit
RouterB(config)#interface serial 0/0
RouterB(config-if)#ip address 10.0.0.1 255.0.0.0
RouterB(config-if)#clock rate 56000
RouterB(config-if)#no shutdown
RouterB(config-if)#exit
RouterB(config)#interface serial 0/1
RouterB(config-if)#ip address 11.0.0.1 255.0.0.0
RouterB(config-if)#clock rate 56000
RouterB(config-if)#no shutdown
Router C
Router>enable
Router#config terminal
Router(config)#hostname RouterC
RouterC(config)#interface fastethernet 0/0
RouterC(config-if)#ip address 192.168.3.1 255.255.255.0
RouterC(config-if)#no shutdown
RouterC(config-if)#exit
RouterC(config)#interface serial 0/1
RouterC(config-if)#ip address 11.0.0.2 255.0.0.0
RouterC(config-if)#no shutdown

Observaciones: Con los routers así configurados tienen que tener conectividad básica entre todos los dispositivos.
Si tienen dudas hagan desde los routers, en el modo exec privilegiado (#), un “show cdp neighbors” y en el resultado, si está todo bien configurado, les deben aparecer los routers y switchs directamente conectados, si no les aparece alguno revisen la configuración porque algo mal hicieron.

vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
Configurar Rutas Estáticas en Packet Tracer (II de III)
Configurar Rutas Estáticas en Packet Tracer (III de III)
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv

Solución de Problemas según OSI_II

2009-01-12T14:42:00.000-06:00

Problemas a Solucionar en la Capa de Datos

* Controladores NDIS
* SSIDs
* Adhoc versus infraestructura
* Claves WEP activadas
* Autenticación OPEN/compartida/EAP
* Filtros
* Modo encabezado/mundial de onda corta
* VLANs
* LEAP nombre de usuario/password
* STP
* ¿Está activada la espera en caliente [hotstandby]?
* Que los LEDs del Access Point titilen
* Reinicio/restauración
Capa 2: bridges y switches

Bridges
Los bridges y APs inalámbricos son dispositivos de comunicación de datos que funcionan principalmente en la Capa 2. Varios tipos de bridges son usados como importantes dispositivos de internetworking. El bridging transparente se encuentra principalmente en los entornos Ethernet, mientras que el bridging de ruta origen ocurre principalmente en los entornos Token Ring. El bridging de traducción trabaja sobre los principios de formatos y de transporte de diferentes tipos de medios, normalmente Ethernet y Token Ring. Los bridges analizan los frames entrantes, toman decisiones de envío basadas en la información contenida en los frames, y envían a los frames hacia sus destinos. La transparencia en el protocolo de capa superior es una ventaja principal del bridging. Como el dispositivo funciona en la capa de enlace de datos, no se necesita examinar la información de capa superior. Esto le permite enviar rápidamente al tráfico que representa a cualquier protocolo de capa de red. No es raro que un bridge mueva tráfico de AppleTalk, DECnet, TCP/IP, XNS y otros entre dos o más redes. Los bridges son capaces de filtrar frames en base a cualquier campo de la Capa 2. Un bridge inalámbrico, por ejemplo, puede ser programado para que rechace a todos los frames de una red en particular. Como la información de la capa de enlace de datos a menudo incluye una referencia a un protocolo de capa superior, los bridges pueden normalmente filtrar sobre este parámetro. Además, los filtros pueden ser útiles al tratar con broadcast innecesario y paquetes multicast. Al dividir a las redes grandes en unidades auto contenidas, los bridges inalámbricos proporcionan varias ventajas. El bridge puede actuar como un firewall contra algunos errores de red potencialmente dañinos, y puede soportar comunicaciones entre una cantidad de dispositivos mayor que la que una sola LAN conectada al bridge podría soportar. Los bridges extienden el alcance efectivo de una LAN, permitiendo la conexión de estaciones distantes que no estaban permitidas anteriormente.

Switches
La conmutación es una tecnología que alivia la congestión en las LANs Ethernet reduciendo el tráfico y el ancho de banda creciente. Las características comunes del switch incluyen puertos Ethernet o de Fibra para proporcionar conectividad entre dispositivos de red como estaciones de trabajo, impresoras, servidores y dispositivos de internetworking como routers, switches y hubs. Los switches típicos se muestran en la Figura. En las comunicaciones de datos, todo el equipo de conmutación y enrutamiento realizan dos operaciones básicas:

* Conmutación de frames de datos – El proceso por el cual un frame es recibido sobre un medio de entrada y luego es transmitido hacia un medio de salida
* Mantenimiento de las operaciones de conmutación – Los switches arman y mantienen tablas de enrutamiento y buscan bucles. Los routers arman y mantienen tablas de enrutamiento y tablas de servicios.

Al igual que los bridges, los switches conectan segmentos de LAN, usan una tabla de direcciones MAC para determinar el segmento sobre el cual un datagrama necesita ser transmitido, y reducen el tráfico. Los switches funcionan a velocidades mucho mayores que los bridges, y pueden soportar nueva funcionalidad, como LANs virtuales VLANs). Si las VLANs han sido configuradas sobre un switch, esto puede afectar la conectividad con otros dispositivos sobre la LAN, dependiendo de la configuración del router.

Los switches determinan la segmentación de una red construyendo tablas de direcciones que contienen la dirección de cada dispositivo de red e identifican cuál segmento debe ser usado para llegar a ese dispositivo. Mientras ocurre el aprendizaje, el tráfico no será enviado.

Si el tráfico no pasa después de la fase de aprendizaje y si las VLANs están configuradas correctamente, otro problema común puede ser las configuraciones de seguridad de los puertos que bloquean el tráfico desde dispositivos host no autorizados. Revise la configuración del switch para verificar las configuraciones de seguridad.

Solución de Problemas según OSI

2009-01-12T14:37:00.001-06:00

Problemas a Solucionar en la Capa Física

* Problemas de energía
* Cableado de la antena
* Frecuencia de 2,4 Ghz
* Control de la configuración de Ethernet
* 802.11a,b,g
* Interferencia
* Amplificadores
* Conexión a tierra
* Concordancia del número de canal
* Distancia versus velocidad
* Seguridad eléctrica
* Energía de transporte
* Modo de la antena
* Rol de la radio
* Arranque contra repetidor
* Durante la configuración inicial
* Interfaz Ethernet
* Que esté activa
* Asegurarse de que la radio esté activada

Los problemas más comunes de la red pueden ser atribuidos a problemas de cableado que comprenden medios, conectores y paneles de conexión. Estos son los problemas de la Capa 1 que no pueden ser pasados por alto. Por ejemplo, los cables de fibra multimodo y de modo simple son usados a menudo para ATM, FDDI, Fast Ethernet y Gigabit Ethernet . Cuando se solucionan problemas con cables de fibra óptica, una consideración importante a hacer es a los problemas de conectividad asimétrica. Un problema de conectividad asimétrica ocurre cuando falla un extremo de un par de cables transmisor/receptor, pero el cable restante continúa enviando datos. La conectividad asimétrica puede afectar la habilidad de eludir bucles del spanning-tree. Muchas cosas también pueden funcionar mal con los cables de cobre UTP . Por ejemplo, el cable que está expuesto a áreas de alto tráfico puede ser roto, doblado o desconectado causando problemas de conectividad.
Cuando se solucionan problemas de cableado de un dispositivo o entre dispositivos, realice las siguientes preguntas:
* ¿Los cables son del tipo correcto para la instalación? La Categoría 3 es sólo para 10BaseT. ¿Está instalado un cable de Categoría 3 en lugar de un cable de Categoría 5?
* ¿El cable de Categoría 5 está instalado correctamente?
* ¿El cable es cruzado o derecho? ¿De cuál tipo debería ser? Compare los conectores RJ-45 de ambos extremos del cable si no está seguro.
* ¿Hay un alambre cortado en alguno de los extremos del cable? Los cables que están instalados demasiado ajustados o agrupados demasiado apretados con una banda de sujeción pueden tener alambres cortados en el conector. Los cables que se extienden por un pleno pueden tener alambres cortados y exhibir condiciones intermitentes de circuitos abiertos.
* ¿El cable es más largo que la especificación de 100 m (328 pies)? Un reflectómetro de dominio de tiempo [time domain reflectometer (TDR)] puede mostrar la longitud del cable, incluyendo a todas las conexiones del gabinete de cableado.
* ¿El cableado del punchdown es correcto? ¿Hay cables faltantes, flojos o cortados en el bloque punchdown ?
* ¿Está funcionando bien la tarjeta del adaptador de red/puerto de interfaz en el extremo del usuario?
* ¿El dispositivo está conectado al puerto correcto? ¿El puerto está activo?
* ¿Se está usando un transceptor para convertir el medio? ¿Funciona correctamente?

Un método que puede utilizarse para probar el cableado instalado es reemplazar el cable completo por un cable externo. Si hay un cable Categoría 5 probado, extienda el cable entre los dos dispositivos para probar la conectividad. Esta prueba eliminará cualquier duda sobre los cables de los equipos o sobre las conexiones punchdown. Esto también puede ser verificado con un probador de cables. Los hubs aun son usados en muchos entornos LAN. Asegúrese de que estén funcionando correctamente controlando la luz del enlace/estado del puerto además de los LEDs de estado de la unidad.

Normativas de LAN inalámbricas

2009-01-12T12:44:00.001-06:00

Para variar el IEEE (Instituto de Ingenieros Electrónicos y Eléctricos) es el emisor de normas para las tecnologías inalámbricas, igual que para Ethernet (IEEE 802.3) o Token (802.5) establece las normas que han de cumplir los fabricantes de dispositivos, sólo que en comunicaciones WLAN (Lan Wireless) el conjunto de protocolos es 802.1x y derivados....

IEEE 802.11

La base de todos ellos lo encontramos en el IEEE 802.11 (digamos que es como "la madre" de todas ellas), los sufijos a, b, g, i, etc... son una especie de revisiones, complementos, mejoras, del protocolo 802.11

Este estándar define tres posibles niveles físicos:

FHSS

DSSS

Infrarrojos

Encontrar dispositivos que operen únicamente en este estándar es difícil hoy en día, lo normal es encontrar 802.11b u 802.11g, tanto el estándar 802.11 como sus versiones b y g, operan en la frecuencia de los 2,4GHz.

Es un protocolo que opera en DSSS y se aplica a dispositivos que operan a 1 ó 2 Mbps y aunque pueden llegar a los 11 Mbps, no se consideran compatibles

IEEE 802.11b

El sucesor de 802.11 fue 802.11b, también es DSSS y puede operar a 1,2, 5.5 u 11 Mbps, estos dispositivos son compatibles con el anterior (802.11).

Aunque su tasa puede llegar a los 11Mbps, no te fíes... muchos de ellos dan problemas y terminan funcionando a 1 ó 2 Mbps, sobre todo cuando conectamos la red "sin cables" a la red cableada... ahí es dónde se producen los problemas...

IEEE 802.11a

Los dispositivos que operan en este protocolo lo hacen en frecuencias de 5 GHz y no de 2,4GHz como los anteriores, por tanto, no hay compatibilidad entre unos y otros... ten cuidado con ello, si usas dispositivos 802.11 u 802.11b junto con dispositivos 802.11a

Utilizando una tecnología de modulación llamada OFDM (Multiplexión por división de tiempo ortogonal), en bandas de frecuencia de los 5 GHz

802.11a puede transmitir a 54 Mbps aunque muchos fabricantes ofrecen velocidades de tasa doblada, pudiendo alcanzar los 108 Mbps, pero es tecnología "de propietario" y puede no ser compatible con otros estándares o ante dispositivos de distintos fabricantes.

Aunque debiera haber sido el sucesor lógico de 802.11b, no lo es como tal... ambos son incompatibles y la distancia a cubrir por ellos es la mitad que el de los estándar.

IEEE 802.11g

Proporciona el mismo rendimiento que el anterior (54 Mbps).... pero con compatibilidad "hacia atrás" utilizando una tecnología de modulación OFDM en bandas de frecuencia de los 2.4 GHz por lo demás, lo mismo del anterior.... 54 Mbps y compatibilidad con el estándar 802.11 y 802.11b

Seguramente será la tecnología deseada por todos ahora mismo... compatible con el estándar, compatibilidad, mayor rendimiento, mayor distancia.... el problema lo encontraremos en los drivers... sobre todo para LiNUX, ya veremos en sucesivas entregas la problemática de los Chipsets de los fabricantes... si lo que buscas es una mera conectividad es la mejor opción... pero si quieres "otras cosas" igual hay problemas con tu LiNUX.

IEEE 802.16

Fue aprobado hace unos pocos años nada más... es un protocolo que pretende cubrir un área metropolitana enterita... una ciudad.... Utiliza frecuencias de 10 a 66 GHz y como todo evoluciona... el año pasado apareció la revisión 802.16a

Dispone de un alcance de unos 30 kilómetros y velocidades de 70Mbps, las desventajas... te las imaginas... precio, banda con licencia y muy susceptible al ruido por causas meteorológicas.

IEEE 802.11i

Ciertamente este protocolo es una variación de los anteriores pero con seguridad añadida... ya hablaremos de los cifrados, de WEP, de EAP, LEAP, etc... la seguridad en las Wireless se basa en capa 2,

La expectativa de este protocolo es sustituir a WEP, pero no todos los fabricantes lo implementan y tampoco están definidas del todo sus funcionalidades... de momento pensaremos que 802.11x es lo que hay.... es más... TKIP que usa 802.11i ya ha sido vulnerado... todo se andará... tranquilos...

Autor: Vic_Thor

Bandas de Radiofrecuencia Inalambrica

2009-01-12T12:42:00.000-06:00

Como ya dije, la mayor parte de las bandas suelen estar autorizadas, esto es, son bandas en las que se necesita una licencia para poder emitir.

Las bandas sin licencia son las que nos interesan, estas son:

900 MHz

2.4 GHz

802.11b

1, 2, 5.5 u 11 Mbps

5 GHz

hacia atrás

es una tecnología de banda dual

54 Mbps

Seguro que estás pensando que se me olvida "algo"... seguro que has oído hablar de 802.11g, de 802.11i, de 802.16.... de la banda UNII que transmite a 5,8 GHZ....

Bien.... 802.11g dispone de una tasa doblada de 802.11a pero en frecuencias de 2.4GHz en lugar de los 5GHz de la 802.11a, es decir, el método de modulación de onda permite ratios mayores, hasta de 108 Mbps, eso sí.... en detrimento de la distancia... sólo para unos 20 metros en espacios interiores y de unos 800 en espacios abiertos.

En cuanto a 802.11i, 802.16 y nuevas bandas de frecuencia, deberás esperar al final de este "avance" para saber más de ello... por el momento ya vamos servidos.

Como estarás intuyendo hay una relación entre la frecuencia, potencia, distancia y tasa de trasferencia....

Dejando aparte fórmulas y cálculos complejos (que ya vendrán para los mas frikis) digamos que:

A mayor frecuencia e igual potencia y ganancia, la distancia a cubrir disminuye.

Cuando más alta sea la frecuencia mayor necesidad de que los nodos estén alineados o sean visibles. La frecuencia digamos que es la banda o conjunto de bandas a usar, la potencia será la fuerza de la señal y la ganancia la capacidad de recepción de la antena, esto es de andar por casa... ya os digo, elegí la forma "simple" de expresarlo en lugar de excesivos tecnicismos.

Lo explico.... supongamos una señal de 100mW (mili watios y no Watios como he leído por algún post... que si fuesen Watios achicharramos a todo bicho viviente) a 5GHz se obtiene mayor tasa de trasferencia que a 2.8GHz pero "alcanza" la mitad de la distancia y mayor será la necesidad de que emisor y receptor estén alineados.

Una señal a 900 MHz, alcanza distancias mayores, es menos susceptible a cambios al atravesar obstáculos.

Claro, lo mejor será cuanto "mas mejor", es decir, tasas muy altas con distancias muy lejanas y velocidades muy rápidas con el mínimo de absorción, dispersión y refracción... pero eso es muy costoso, de mantener, de implementar y de fabricar....

Entonces... ¿Qué se utiliza en lo que llamamos WiFi o Wireless?

R: El Espectro Diverso. (SS, Spread Stream)

Al igual que una radio "convencional" dispone de distintas bandas (AM, FM, MW….) otras radios utilizan determinadas bandas, frecuencias y tipos de modulación.

SS es una técnica de modulación que dispersa una señal por una banda ancha de radiofrecuencias, ahora en cristiano: Sacrifica el ancho de banda para ganar rendimiento... para una mejor relación señal-ruido. (mayor señal, menos ruido, tasa de datos mas alta)

En realidad lo que hace SS es dispersar la señal por una frecuencia mucho más ancha de la que necesitaría, con ello se crean menos interferencias y se ganan señales menos susceptibles al ruido.

Antes hablamos de banda estrecha... lo que hace una banda estrecha es amplificar la señal con la esperanza de que la información recibida sea correcta... es justamente lo contrario de la tecnología de espectro diverso (SS).

Para usar bandas de radio sin licencia es obligatorio usar técnicas de espectro diverso y tenemos dos opciones:

FHSS

espectro diverso por salto de frecuencias

DSSS

espectro disperso de secuencia directa

Con FHSS las transmisiones "saltan" de una frecuencia a otra por patrones aleatorios, por ejemplo, de 2.42 a 2,40 a 2,42, a 2,44, a 2,43.... con esta técnica se sortean las interferencias causadas por banda estrecha, se obtiene una señal más clara.

Las tecnologías DSSS utilizan una secuencia (llamada secuencia de chipping), lo que hace es que cada cero o uno a transmitir se envía como una secuencia de ceros y unos a su vez, por lo que aun cuando se pueda perder la mitad de la señal, el receptor puede reconstruir la cadena original, por tanto permite accesos a mayor distancia y tasas elevadas de datos.

FHSS permite sólo tasas de 2Mbps puesto que el receptor y el emisor deben utilizar el mismo patrón aleatorio de salto de frecuencia, por el contrario DSSS es la tecnología que usa la norma 802.11b, es decir, el estándar 802.11b proporciona una tasa de datos de tipo Ethernet a 11Mbps sobre DSSS.

Aunque los dispositivos basados en DSSS pueden interoperar con dispositivos FHSS hay problemas debido al diseño de los fabricantes, hasta podemos encontrarnos con dificultades si las tarjetas no son de "la misma marca", quizás nos olvidaremos del FHSS y nos centraremos en DSSS.

Escrito por Vic_Thor

WebCast - Seguridad Wireless

2009-01-12T05:56:00.001-06:00

Luego de postear el anterior artículo sobre seguridad wireless, aquí les dejo un enlace a un WebCast, aunque fue realizado hace un tiempo atrás me parece muy útil verlo y estudiarlo si estamos interesados en saber más sobre esta tecnología. En síntesis en este WebCast :

Se analiza las debilidades de los estándares iniciales que rigen el funcionamiento de esta tecnología.
Se explica de cómo se llevan a cabo los ataques más frecuentes a este tipo de infraetructuras.
Se revisa los nuevos estándares y tecnologías disponibles para poderlas securizar con todas las garantías.

Espero que les sea de provecho. Saludos.
Nota: Para reproducir el video deberás tener instalado el Windows Media Player.

Seguridad Wireless (IV de IV)

2009-01-11T15:33:00.010-06:00

Analizando el tráfico de otros usuarios

Las conexiones en redes WPA/WPA2 utilizan claves por usuario y sesión derivadas de la clave PSK para el cifrado de los datos, de esta manera se supone que cada conexión tiene la privacidad necesaria para el usuario.

No obstante, si se captura el proceso de autenticación de un usuario en la red y al conocer la clave PSK que está siendo utilizada, las direcciones MAC y el SSID, basta con capturar los números Snounce y Anounce intercambiados para conocer cuál es la clave PMK y por tanto, poder acceder a las claves PTK del usuario.

Conocidas las claves PTK es posible descifrar todo el tráfico generado por un usuario. Si el usuario se encontrara conectado previamente no sería posible realizar este proceso pues no se habría podido capturar el proceso de autenticación. Por ello, es necesario realizar un ataque 0 al usuario al que se desea analizar el tráfico.

Analisis del trafico un usuario en una red WPA/WPA2-PSK

Commview permite analizar el tráfico tanto para redes WEP como para redes WPA/WPA2-PSK. Para realizar el descifrado de tráfico de la red en el menú preferencias, en la opción Claves WEP/WPA se pueden cargar las claves conocidas de las redes wireless.

Imagen 14: Clave de cifrado WPA

A pesar de tener configurada la clave PSK de la red aún no sería posible descifrar el tráfico de red de un usuario que estuviera previamente. Para descubrir las claves que están siendo utilizadas por cada uno de los clientes es necesario lanzar un ataque 0 de des-asociación. Esto obligaría a los clientes a re-asociarse y ahora, al contar con la clave PSK de la red, Commview obtendrá la clave PMK e inmediatamente las claves de cifrado que están siendo usadas por cada cliente en concreto. Esto permitirá ver todo el tráfico de la red descifrado.

Imagen 15: Paquetes WPA2 capturados y descifrados

Recomponiendo la sesión
Al igual que con otros sniffers de red, es posible reconstruir la sesión TCP completa y ver la comunicación que se está produciendo en cada cliente. En este caso, la página Web que estaba visitando el usuario en El Lado del Mal.

Imagen 16: Sesión TCP/IP reconstruida

Conclusión

El uso de WPA/WPA2-PSK es una solución adecuada de seguridad en un entorno doméstico siempre y cuando se utilice una clave segura. Como se ha visto a lo largo del artículo la seguridad no depende de la cantidad de tráfico que circule por la red, sino de la posibilidad de obtener la clave de cifrado a partir de los paquetes donde se produce la autenticación del usuario. Basta con una pequeña cantidad de paquetes para poder obtener los paquetes derivados de la clave. Por lo tanto, es necesario utilizar frases o claves fuertes. Para determinar la fortaleza de una clave se puede recurrir a páginas como Passwordmeter, o a cualquiera de los generadores de claves WPA/WPA2 que proporcionan claves fuertes, como, por ejemplo el de http://www.kurtm.net/wpa-pskgen/.

Para evitar que el craqueo de la clave PSK sea trivial para un atacante hay que evitar claves que se encuentren en diccionarios, claves de poca longitud de caracteres y de poca complejidad. Así mismo, para evitar que puedan utilizar tablas pre-calculadas hay que evitar los nombres SSID simples o comunes, del tipo “Home”, “Personal”, "Wifi", “Default”, “Wireless”, “Net”, etc…

A pesar de todo, el tener una red WPA/WPA2 PSK más o menos segura contra atacantes externos mediante el uso de claves difíciles de crackear, esta infraestructura no ofrece ninguna protección contra atacantes internos. Este artículo deja claro que cualquier usuario legítimo de la red podrá acceder a todos los datos de todos los demás usuarios como se ha visto en la última parte.

Soluciones

Para evitar que las comunicaciones pudieran ser espiadas por parejas, familiares o vecinos existen soluciones WPA/WPA2 empresariales con el uso de servidores RADIUS y sistemas de autenticación EAP basados en certificados digitales, contraseñas e incluso el uso de cifrado SSL para el intercambio EAP [Protected EAP]. Así podríamos implantar una infraestructura WPA/WPA2-EAP-MSCHAPv2, WPA/WPA2-EAP-MD5, WPA/WPA2-EAP-TLS (con autenticación del cliente mediante certificados digitales de usuario) y los más fortalecidos WPA/WPA2-PEAP-MSCHAPv2, también conocido como TLS-EAP-TLS por ser este el orden de las capas de los protocolos, dónde primero se autentica realiza una conexión SSL entre el servidor y el cliente con certificado de máquina del servidor o del servidor y el cliente, con lo que se autentica digitalmente la máquina cliente primero, luego se negocia con EAP la autenticación mediante el uso de certificados digitales de usuario y por último el usuario envía su certificado sobre la capa SSL inicial.

Para realizar una implantación segura aquí tienes algunos recursos:

- [PCWorld] Proteger una red wireless I
- [PCWorld] Proteger una red wireless II
- [PCWorld] Proteger una red wireless III
- Webcast Seguridad en Redes Wireless
- Securing Wireless Lans with PEAP and Passwords
- Securing Wireless Lans with Certification Services

Escrito por: Alejandro Martin y Chema Alonso.

Espero que les sea de provecho. Saludos.

Seguridad Wireless (III de IV)

2009-01-11T13:52:00.001-06:00

Crackeo de clave WPA/WPA2 PSK - Teoría

En el modo WPA/WPA2 PSK la clave PMK de la cual se deriva luego la PTK se obtiene con la siguiente función:

PMK = PBKDF2(PSK, SSID, longitud SSID, 4096, 256)

Donde PBKDF2 es una función de derivación de claves que forma parte de los estándares criptográficos de clave pública de los laboratorios RSA (PKCS). Se trata de una función pseudoaleatoria que se utiliza para derivar la clave (PMK) haciendo uso de la frase PSK y SSID.

Para derivar a partir de aquí la clave de cifrado por sesión (PTK) se hace uso de la PMK, los números aleatorios intercambiados, conocidos como anonce y snonce, y las direcciones MAC de cliente y punto de acceso. Dado que todo lo que se utiliza ha sido capturado salvo la PSK, basta con probar diferentes frases ya sea por fuerza bruta o mediante el uso de diccionario, para dar con la clave que se ha utilizado en el cifrado.

Para realizar este proceso de crackeo existe la posibilidad de utilizar tablas pre-calculadas [Rainbow tables] de modo que se incremente el número de pruebas que se pueden realizar por segundo para tratar de averiguar la clave. Esto es factible, sin embargo, existe una gran diferencia con el uso de este tipo de tablas en el crackeo de otras contraseñas.

El problema radica en que los hashes precalculados dependen del SSID de la red, con lo que no es posible tener precalculados todos los hashes para todos los posibles nombres de red. Existen proyectos, como el de Renderlab donde es posible obtener hasta 33 GB de hashes precalculados, partiendo de un diccionario (en inglés) y listado de SSID. Lógicamente aquí en España su utilidad es bastante más limitada.

Crackeo de clave WPA/WPA2 PSK - Práctica

Una vez que se han capturado los paquetes de una sesión de autenticación de un cliente, entonces puede ejecutarse un proceso de cracking de la clave PSK. Para realizar este proceso es posible utilizar Cain, una herramienta de auditoría de seguridad que entre otros módulos trae uno especial para craquear contraseñas. En la pestaña Cracker de Cain, en el apartado “802.11 Captures” se debe importar el fichero .cap que contiene la captura de la autenticación de un cliente. Cain analiza el fichero de captura e indica si dentro del fichero .cap se encuentra algún Handshake válido del que se pueda extraer la clave PSK.

Imagen 8: Hanshake WPA2 capturado

Una vez que se tiene capturado el intercambio se envía a craquear, es posible utilizar un ataque por fuerza bruta o basarse en un diccionario para tratar de agilizar el proceso.

Imagen 9: Ataque sobre el hash de autenticación

El éxito del ataque ahora radica única y exclusivamente en la fortaleza de las password que haya utilizado el administrador de la red. Si ha colocado una clave de red que aparezca en un diccionario o la clave es suficientemente pequeña e insegura será factible romperla. Para tratar de romperla por fuerza bruta es necesario elegir el alfabeto a utilizar, las longitudes mínimas y máximas y empezar a probar.

Imagen 10: Ataque por fuerza bruta sobre el hash de autenticación

Para el ataque basado en diccionario, es necesario contar con un buen diccionario, e indicar las posibles pruebas a realizar con cada una de las palabras disponibles en el diccionario.

Imagen 11: Ataque por diccionario sobre el hash de autenticación

En cualquiera de los dos casos si consigue dar con la clave nos lo mostrará en la parte inferior con un mensaje como el siguiente:

Imagen 12: Resultado exitoso en el ataque sobre el hash de autenticación

La última versión de Cain tiene como limitación que no es capaz de trabajar con ciertos caracteres, con lo cual no sería posible crackear algunos hash de autenticación. Como alternativa a Cain se puede utilizar la suite aircrack, disponible tanto en Linux como en Windows, que permite trabajar con todo el abanico posible de caracteres.

Imagen 13: Éxito en el ataque sobre el hash de autenticación con aircrak

Conceptos básicos de comunicaciones inalámbricas (II de II)

2009-01-11T13:21:00.004-06:00

AM es alterar la altura de la onda

alterar la frecuencia

ondas digitales

cambian

Con un gráfico lo entenderemos mejor:

Figura 1. ondas y señales

La señal digital

sube

baja

En AM

mas altas

mas bajas

más pegaditas

alarga

invertida

· La distancia es un factor clave en las comunicaciones inalámbricas... cuanto más lejos estén emisor y receptor más débil será la señal... es obvio... pero no hay que olvidarlo.

Si queremos ser un poco más técnicos, diremos que cuanto más lejos estén los nodos inalámbricos, la diferencia entre la señal y el ruido será menor... porque ruido hay... siempre lo hay... cuando un receptor solo capta ruido no se puede comunicar.

Con ruido no sólo me refiero al ruido electrónico, al ruido eléctrico o al ruido de otras señales... en comunicaciones el ruido puede ser una pared que se debe atravesar... no es lo mismo que una onda electromagnética atraviese un fino panel de pladur o un tabique que una puerta acorazada o una ventana o el agua....

· La relación señal ruido es un requisito fundamental en la comunicación, hay que tender a más señal con menos ruido, si hay ruido en el medio, en el canal, la velocidad de transmisión se reduce... o reducirse tanto que no exista comunicación.

Por tanto, el ruido, la velocidad y la distancia están íntimamente ligados en la transmisión, recuerda esto también.

Los ordenadores envían señales de datos electrónicas, los radio transmisores son los encargados de convertir esas señales en ondas de radio, por eso se necesitan antenas, una antena (entre otras cosas) se ocupa de cambiar la corriente eléctrica en ondas.... esas ondas se "lanzan" (se irradian) hacia el exterior en línea recta y a medida que "avanzan" van perdiendo la fuerza... se atenúan... si además deben atravesar obstáculos, árboles, paredes, ventanas, etc... se debilitan aún mas... terminado por desaparecer.... o dicho de otra forma... el ruido es mayor que la señal y se pierde la comunicación.

Para que te hagas una idea, la fuerza de una señal a unos pocos metros de la antena que la transmite es de sólo la centésima parte que la salida inicial... esto es la atenuación.... pérdida de la señal debido a la distancia entre dos nodos.

Por si fuese poco, a la atenuación hay que sumarle otros factores negativos en la pérdida de la señal, como son la absorción, la dispersión, la refractación y otras interferencias.

Cuando una señal de radio atraviesa un objeto, parte de ella "se absorbe", esa absorción puede refractar la onda o dispersarla... por ejemplo, una pared "normal" refracta la onda... "la dobla", pero también el aire hace eso mismo... todo depende del índice de refracción del material por el que pasa... repito, no es lo mismo hacer pasar una onda por el aire o por un cristal que por una pared metálica.

El agua es un factor muy negativo.... y a veces llueve... o hay niebla.... las gotas en el aire hacen que la señal se absorba o disperse perdiendo la comunicación... por ello en días lluviosos, con niebla es probable que nuestras comunicaciones se vean afectadas.

Vuelvo a repetir algo importante.... la pérdida de señal no tiene porqué ser una pérdida de comunicación total.... pero afectará a la velocidad, a la distancia a recorrer y a la tasa máxima de datos a transferir.

Cuando hablamos de interferencias en una comunicación inalámbrica, nos referimos a "otras señales" que pueden interferir negativamente en las mismas, entre ellas están:

Señales de banda estrecha

y caro, un analizador de espectros puede costar cerca de los 5.000 euros, eso de los baratos

aparatillos

Todas las Bandas:

bluetooth

La Intemperie:

Escrito por: Vic_Thor

Conceptos básicos de comunicaciones inalámbricas (I de II)

2009-01-11T13:03:00.007-06:00

*************************************************************************************
Conceptos básicos de comunicaciones inalámbricas (I de II)
Conceptos básicos de comunicaciones inalámbricas (II de II)
*************************************************************************************
Con este primer avance voy a explicar la terminología usada en comunicaciones inalámbricas, que no es poco y disponen de un maremagno de siglas, especificaciones y peculiaridades.

Aunque esta sea la parte "mas pesada" del Taller, es IMPRESCINDIBLE, que tengamos estos conocimientos claros y bien afianzados, en esta parte no encontraréis otra cosa que llamar a cada cosa por su nombre y asentar los principios básicos de la comunicación sin cables.

El objetivo de esta parte del Taller es ser capaces de diferenciar los distintos protocolos, hardware disponible o necesario, normativas, factores que determinan la comunicación, problemática y por ondas, etc..

Comencemos.... Las señales inalámbricas son ondas electromagnéticas que viajan a través de un medio concreto: habitualmente el aire, pero también el vacío o cuando "se tropiezan" con un obstáculo parte de esa señal lo atraviesa o queda retenida o se "refracta"

Pueden cubrir tanto grandes distancias como pequeñas, todo dependerá de factores como la frecuencia, la potencia o como se dijo antes, los medios que atraviesa la señal....

La unidad de medida para distinguir unas señales de otras en las comunicaciones wireless, es el hercio y cada dispositivo o conjunto de ellos, emiten en diferentes frecuencias, en distintos hercios, para que unas señales no "estorben" a otras.

Sin embargo, no todas las comunicaciones inalámbricas transportan datos, las hay de vídeo o de voz, también... el conjunto de todas ellas se les denomina espectro de radio, es una parte de un todo llamado espectro electromagnético, y utiliza frecuencias desde los 3 Kilo hercios (3KHz) hasta los 300 Giga hercios (300 GHz), todo lo que a continuación se relata, versa sobre la transmisión inalámbrica de datos.

Cada tipo de comunicación inalámbrica tiene sus "mas y sus menos", entre los más significativos tenemos:

Banda Estrecha:

Espectro Diverso:

Spread spectrum

PCS:

Communications Service

CDPD:

Cellular Digital Packet Data

No podemos emitir en cualquier frecuencia... bueno si... pero podemos incurrir en delitos... hay "bandas de frecuencia" que se necesita un permiso, una Licencia, para transmitir por ella y otras que no.

Las Licencias las entregan los gobiernos u organismos autorizados para ello, obviamente lo que llamamos comunicaciones WiFi o wireless utilizan bandas sin licencia, también los bluetooth, las PDA’s, etc... ellos también usan bandas sin licencia... y los mandos de la televisión, del aire acondicionado, los coches teledirigidos, juguetes de niños, etc... todos ellos son ejemplos de uso de bandas de radio frecuencia sin licencia.

Independientemente del tipo de comunicación a usar, existen diversos factores, parámetros y problemáticas , como base, apuntaré de momento varias preguntas que debemos hacernos:

¿Cuál es la Tasa de datos que podemos conseguir?

¿ A qué distancia se pueden colocar las estaciones inalámbricas entre ellas? Claro... manteniendo la tasa máxima de datos.

¿Cuántos usuarios pueden existir sin perjuicio de la tasa de datos?

Como ves, el factor determinante es la tasa de transferencia de datos, el ancho de banda máximo, como lo quieras llamar.... cuanto mayor sea la tasa de datos mejor.... pero hay que luchar con la distancia, la cantidad de usuarios y la rapidez para lograr una óptima comunicación.

Además, a estos factores "tangibles", se le añaden otros que pueden reducir la calidad de la señal, ya lo veremos más adelante.

El caso es que todos esos parámetros y factores persiguen un objetivo: La capacidad de recibir una señal buena tan lejos como sea posible.

Algo que no debemos olvidar es que el incremento de la cantidad de datos requiere un uso de un espectro de frecuencia mayor, o por lo menos, un método diferente de colocar en el medio la señal de radio frecuencia.

Es como el cable... para obtener mayores "velocidades" sin pérdidas de señal podemos usar medios "de mayor capacidad", como la fibra, o podemos usar métodos diferentes para transportarla... como el uso de cables para recibir y emitir al mismo tiempo (Full Duplex) en lugar de un mismo cable para las dos cosas (Half Duplex)

Si lo prefieres puedes verlo de otro modo... imagina los bomberos en acción apagando fuegos con sus mangueras ... o imagínatelos usando pajitas de esas que usamos para tomarnos una horchata.... la tasa de trasferencia de agua será mayor con sus mangueras, no sólo porque son "mas anchas", también porque "sale más deprisa", con mayor presión, más cantidad en menos tiempo.... algo parecido ocurre cuando combinamos frecuencia, potencia y amplitud en las señales inalámbricas.

Seguridad Wireless (II de IV)

2009-01-10T10:38:00.008-06:00

Capturar el Handshake

Cómo se ha indicado en el punto anterior, un atacante que quiera vulnerar o romper una red WPA/WPA2 debe monitorizar todas las tramas que se intercambian en la red Wireless durante el proceso de autenticación PSK para obtener los números aleatorios intercambiados. De esta forma se podrá descubrir la clave PSK que se está utilizando en la red para autenticar a los clientes.

Para monitorizar la red en un entorno Windows se puede utilizar Commview for Wifi u Omnipeek según el soporte que proporcionen a las tarjetas que vamos a utilizar, por supuesto existen más herramientas.

En este articulo se ha utilizado Commview for Wifi, junto con el chipset Intel Centrino Pro Wireless 2200BG, mientras que para las inyecciones de tráfico se ha utilizado la tarjeta Orinoco 11a/b/g ComboCard 8480-FC.

En primer lugar es necesario cargar el driver que proporciona Commview, bien a través del asistente del programa o a través del administrador de dispositivos, en cualquier caso el controlador de la tarjeta debe quedar con el driver como se indica en la imagen 2.

Imagen 2: Driver de commview instalado

Una vez instalado correctamente el driver, en la barra de herramientas principal de Commview se debe activar la captura de tráfico con el botón de Play. Con la captura de tráfico activada se podrá comenzar la exploración de los canales WI-FI accesibles, como se muestra en la Imagen 3.

Imagen 3: Exploración de puntos de acceso

Commview mostrará todas las redes disponibles en todos los canales ofreciendo una visión global del espacio WI-FI del área. Una vez seleccionada la red objetivo, basta con activar la captura de paquetes de esa red con el botón de capturar que se encuentra en el panel de opciones de la derecha.

Commview muestra, en la pestaña Nodos, los puntos de acceso y clientes asociados que usan el canal en un determinado instante.

Imagen 4: Nodos usando el canal

En la imagen 4 se puede ver un punto de acceso usando WPA2-PSK con cifrado CCMP y dos clientes que se encuentran asociados a la red. En estos momentos Commview se encuentra capturando todos los paquetes que circulan por el canal. Para no saturar el equipo, dado que el objetivo en un primer momento, es capturar el intercambio de los números aleatorios en el proceso de autenticación WPA/WPA2, es suficiente con capturar únicamente los paquetes de datos. Para realizar esta selección de paquetes es posible añadir filtros en la captura, por ejemplo por direcciones MAC de los equipos.

Imagen 5: Configuración de las reglas de captura

El ataque 0

Para obtener el intercambio de números aleatorios entre un equipo y el punto de acceso de forma rápida, es decir, sin esperar a que un nuevo equipo se conecte a la red, se lanza un ataque de desasociación de modo que se desconecte el equipo obligándolo a conectar de nuevo. Este proceso es automático en sistemas operaitos Windows XP pero se requiere de la intervención del usuario en Windows Vista. Para hacer esto desde Commview basta con acudir al menú herramientas y pulsar sobre Reasociación de Nodos.

Imagen 6: Ataque para obligar a un nodo a reasociarse

Para tener acceso a estas opciones es necesario que la tarjeta wireless permita la inyección de paquetes. En caso de estar usando el chipset de Intel 2200BG, no será posible realizar la inyección, con lo que la única solución es esperar a que algún cliente se autentifique con el punto de acceso.

En este cuadro de diálogo se selecciona el punto de acceso que va a ser spoofeado, es decir, la dirección que va ser simulada como origen de envío de la trama de desasociación, y el cliente que se quiere desasociar. Además, se debe indicar el número de paquetes a enviar.

Una vez lanzado el ataque, y dado que Commview ha estado capturando todos los paquetes, bastaría con almacenar los mismos en formato .cap, de modo que se tendrían todos los paquetes, incluidos aquellos donde se realiza el intercambio de números aleatorios listos para craquear la PSK que está siendo utilizada en esa red.

Imagen 7: Guardar los paquetes capturados

Seguridad Wireless (I de IV)

2009-01-09T15:37:00.004-06:00

Hablar de seguridad Wireless en el ámbito domestico es hablar, irremediablemente, de WPA/WPA2 PSK, dejando a un lado el viejo y vulnerado cifrado WEP. Sí, existen puntos de Acceso WiFi con servidor RADIUS incorporados, pero no es lo más común que se encuentra en el router que utiliza una familia para conectarse a Internet en su casa.

En el presente artículo vamos a ver de forma práctica cómo funcionan las amenazas en WPA/WPA-2 PSK en el ámbito domestico. Para ello se verá como se puede atacar una infraestructura de estas características y cuáles son las recomendaciones de seguridad.

WPA/WPA2

WPA [Wifi Protected Access] surge como una solución temporal de la Wi-Fi Alliance mientras que en IEEE se trabajaba sobre el estándar IEEE 802.11i para securizar las redes Wireless una vez que quedó de manifiesto la debilidad de WEP [Wired Equivalent Privacy]. Cuando IEEE sacó a la luz 802.11i, la Wi-Fi Alliance proporcionó la certificación WPA2 a todos aquellos dispositivos que cumplían con las especificaciones marcadas por el nuevo estándar. Ambas soluciones, WPA y WPA2, soportan el protocolo 802.1x para la autenticación en ámbitos empresariales y la autenticación mediante clave compartida (PSK) [Pre-Shared Key] para los entornos SOHO [Small Office and Home Office] y ámbitos domésticos.

WPA y WPA2 se diferencian poco conceptualmente y difieren principalmente en el algoritmo de cifrado que emplean. Mientras WPA basa el cifrado de las comunicaciones en el uso del algoritmo TKIP [Temporary Key Integrity Protocol], que está basado en RC4 al igual que WEP, WPA2 utiliza CCMP [Counter-mode/CBC-MAC Protocol] basado en AES [Advanced Encrytion System]. La segunda diferencia notable se encuentra en el algoritmo utilizado para controlar la integridad del mensaje. Mientras WPA usa una versión menos elaborada para la generación del código MIC [Message Integrity Code], o código “Michael”, WPA2 implementa una versión mejorada de MIC.

Lógicamente, a la hora de elegir cómo securizar la red domestica, mejor decantarse por WPA2-PSK debido a que la fortaleza de cifrado de AES es netamente superior a la de TKIP. Sin embargo, si no se cuenta con el hardware que soporte esta tecnología es perfectamente válido el uso de WPA-PSK pues la principal vulnerabilidad de WPA-PSK y WPA2-PSK no se encuentra en el algoritmo de cifrado sino en la fortaleza de la clave utilizada.

Arquitectura WPA/WPA2 PSK

Tanto WPA-PSK como WPA2-PSK adolecen de vulnerabilidad y es posible atacar estas tecnologías con el objetivo de poder hacer uso de la red e incluso escuchar y analizar el tráfico que por ella se propaga. En este articulo se pretenden reflejar por qué y dónde es vulnerable WPA-PSK y WPA2-PSK, cómo explotar esta vulnerabilidad y cómo proteger adecuadamente la red.

Para entender las vulnerabilidades hemos primero de analizar el proceso de asociación de un cliente a la red wireless. Independientemente del sistema de seguridad que se elija para la red (WEP, WPA-PSK o WPA2-PSK), el proceso de asociación es siempre el mismo. Este proceso va a depender de si el punto de acceso está emitiendo tramas “Beacon Frame” para el anuncio de la red mediante la publicación de su ESSID [Extended Service Set Indentifier] o no.

Si el punto de acceso está emitiendo tramas “Beacon frame” el cliente se conecta a la red en dos fases, una primera Fase de Autenticación, que podrá ser abierta o con clave compartida, y una segunda Fase de Asociación.

En el supuesto caso de que el punto de acceso no esté emitiendo “Beacon frames” existe una Fase de Prueba inicial dónde el cliente envía el ESSID de la red wireless a la que quiere conectarse esperando que el punto de acceso responda y así iniciar las fases de Autenticación y Asociación. Todo este proceso, para una conexión WPA2-PSK puede verse en la imagen siguiente. En ella se pueden ver las tres fases descritas.

Imagen 1: Negociación WPA2-PSK en una red sin publicación de ESSID

La única diferencia con una red Abierta o WEP, es que punto de acceso y cliente acuerdan la política de seguridad a seguir, siendo ésta la primera fase del proceso de autenticación de una red WPA/WPA2.

Esta forma de funcionar es importante conocerla, pues como puede verse en al imagen, el cliente se conecta inicialmente a la red sin que haya comenzado el proceso de autenticación WPA/WPA2, tanto si es por medio de PSK como si no, por lo que el tráfico enviado todavía no está siendo cifrado. Debido a esta situación un atacante podría mandar una trama de des-asociación a un cliente de la red provocando que éste se desasocie e inicie un proceso de asociación nuevamente y un nuevo proceso de autenticación WPA/WPA2. A esto se le conoce como el ataque 0 o de des-asociación.

Este proceso de re-autenticación se realizaría únicamente si la conexión se tratase de WPA/WPA2 empresarial, es decir, la conexión está configurada utilizando 802.1x para la autenticación del puerto y EAP [Extended Authetication Protocol] contra un servidor RADIUS [Remote Authentication Dial-In Service] para autenticar la conexión. En el caso de WPA/WPA2 con PSK se pasa directamente a la fase de intercambio de claves.

En la fase de Intercambio de claves el cliente y el AP utilizan la PSK para generar un clave llamada PMK [Pairwise Master Key]. Esta PMK es una derivada cuando el sistema es WPA/WPA2 empresarial pero es la misma PSK en los entornos WPA/WPA2 PSK.

Con la PMK se genera una clave de cifrado para cada proceso de autenticación de un cliente llamada PTK que básicamente se genera a partir de dos números aleatorios, uno de ellos generado por el cliente y el otro por el punto de acceso que intercambian para obtener ambos la misma clave PTK. Este proceso se llama 4-way-Handshake.

Una vez que el cliente está autenticado, el protocolo TKIP utiliza 6 claves de cifrado por cada sesión, 4 de ellas son utilizadas para comunicaciones unicast y 2 para comunicaciones broadcast. Estas claves son únicas por cliente y sesión y se cambian periódicamente. Estas claves se generan a partir de derivadas de las direcciones MAC, ESSID y la PTK.

¿Cómo puede ser vulnerada la red WPA/WPA2 PSK?

Un atacante que quiera vulnerar una red WPA-PSK va a tratar de capturar ese intercambio de números aleatorios, para una vez conocidos estos, junto con el SSID y las direcciones MAC del cliente y el punto de acceso de la red obtener la frase o secreto compartido que se utilizó. Una vez que el atacante tenga la clave compartida se podrá conectar a la red.

¿Podrá el atacante acceder al tráfico generado por otro usuario?

En teoría no debería poder, pues las claves TKIP que se generan son únicas y por sesión pero sí el atacante está conectado a la red y captura todo el proceso de autenticación de otro usuario podría acceder a los números aleatorios intercambiados y al poder conocer el ESSID, la PSK y la MAC del cliente y el punto de acceso, podría generar la PTK. Con la PTK podría descubrir cuáles son las claves TKIP que se intercambian cifradas. Una vez que el atacante tiene las claves TKIP tiene acceso a todo el tráfico y por tanto SÍ puede acceder a los datos transmitidos. El proceso con WPA2-PSK es similar y el atacante buscará las claves que se intercambian en AES-CCMP.

¿Se podrá modificar la información en tránsito?

WPA y WPA2 implementan de forma distinta el MIC [Message Integrity Code] y, aunque en teoría el MIC de WPA podría ser engañado, las condiciones para poder realizar dicho cambio no se dan en la implementación práctica que se hace. Está bien explicado este aspecto y puedes leer más sobre él en el trabajo “Observations on the Message Integrity Code in IEEE802.11Wireless LANs” de Jianyong Huang, Willy Susilo y Jennifer Seberry de la School of Information Technology and Computer Science de la University of Wollongong en Australia.

No obstante, si deseas conocer a fondo la teoría de los ataques a los protocolos Wireless, el artículo de Guillaume Lehembre, publicado en la revista Hackin9 es de lo mejor que existe. Y además, está traducido al castellano: Seguridad WiFi – WEP, WPA y WPA2

Preparación para una falla de la red

2009-01-09T15:29:00.000-06:00

Siempre es más fácil recuperar una falla de la red cuando los preparativos se realizaron antes de que ocurra. Posiblemente el requisito más importante en cualquier entorno de red es tener información actualizada y detallada sobre la red disponible para el personal de soporte en todo momento. La información completa es necesaria para permitir tomar decisiones inteligentes relacionadas con cambios en la red. La información completa también permite que la solución de problemas se realice tan rápida y fácilmente como sea posible. Durante el proceso de solución de problemas de la red, es muy importante asegurarse de que esta documentación se mantenga actualizada. Como ayuda para prepararse para una falla de la red, responda las siguientes preguntas:

¿Hay un mapa físico y lógico detallado de la red?

¿La organización o el departamento tienen un mapa de la red actualizado que explica la ubicación física de todos los dispositivos de la red y cómo están conectados?

¿Tienen un mapa lógico de las direcciones de red, números de red, subredes, etc.?

¿Hay una referencia establecida para la red?

¿La organización ha documentado el comportamiento y el rendimiento normal de la red en diferentes horas del día?

¿Hay una lista de todos los protocolos de red implementados en la red?

Para cada uno de los protocolos implementados, ¿hay una lista de números de red, subredes, zonas, áreas, etc. que están asociados con ellos?

¿Qué protocolos están siendo enrutados?

Para cada protocolo enrutado, ¿hay una configuración correcta y actualizada del router?

¿A qué protocolos se les está aplicando bridging?

¿Hay filtros configurados en los bridges? Si es así, ¿hay una copia de estas configuraciones?

¿Cuáles son los puntos de contacto de las redes externas, incluyendo cualquier conexión con la Internet?

Para cada conexión de red externa ¿qué protocolo de enrutamiento está siendo usado?

Como enfocar en forma general la solución de problemas en una red

2009-01-09T15:14:00.002-06:00

Las claves para mantener un entorno de red libre de problemas son la documentación, planificación y comunicación. Estos tres factores también determinan la capacidad para aislar y arreglar una falla de red rápidamente. Esto requiere un marco de trabajo de procedimientos y de personal que esté establecido mucho antes de que se realice cualquier cambio en la red.

Las redes continúan sumando servicios a medida que pasa el tiempo, y cada servicio adicional introduce más variables en la implementación de la red. Esto también agrega complejidad a la solución de problemas de la red. Por lo tanto, las organizaciones dependen cada vez más de los administradores de red y de los ingenieros de red con fuertes habilidades en la solución de errores.

Los ingenieros pasan una gran parte de su tiempo solucionando problemas. Por lo tanto, todas las herramientas procedimentales que puedan simplificar el proceso son importantes. El tiempo que tome el familiarizarse con cada una de estas herramientas puede reducir el tiempo pasado solucionando problemas en el campo. La decisión de invertir tiempo en aprender un nuevo procedimiento no es algo fácil de hacer. El objetivo principal es optimizar el tiempo de aprendizaje de nuevos procedimientos para ayudar a acortar el tiempo de trabajo en el campo.

Después de que hayan sido considerados los protocolos y las líneas de productos, la solución de problemas es esencialmente un ejercicio de lógica. Cuando se enfrente a un problema de la red, debería usar algún tipo de modelo de solución de problema. Este modelo deberá proporcionar un método lógico de trabajo paso a paso hacia una solución. Es importante comprender que los ingenieros de redes no consultan de un manual de metodología de solución de problemas cuando encuentran un problema. En realidad ellos trabajan en base a sus propias habilidades personales y con la metodología de solución de problemas que han desarrollado con el tiempo. Una metodología lógica puede ayudar a minimizar el tiempo perdido asociado con la solución de problemas no estructurada.

El razonamiento deductivo trabaja de lo más general a lo más específico. Esto recibe el nombre informal de enfoque descendente. El razonamiento deductivo comienza con el desarrollo de una teoría sobre el problema. Esa teoría es luego reducida a una hipótesis específica que puede ser probada. Las observaciones luego se reúnen en base a la hipótesis. Esto permite que las hipótesis sean probadas con datos específicos. Esto dará por resultado una confirmación o rechazo de la teoría original.

El razonamiento inductivo funciona en forma opuesta, yendo desde las observaciones específicas hasta las generalizaciones y teorías más amplias. Esto a veces recibe el nombre de un enfoque ascendente. El razonamiento inductivo comienza con observaciones y mediciones específicas. Los patrones y regularidades luego conducen a la formulación de hipótesis tentativas que pueden ser exploradas. Finalmente se pueden desarrollar algunas conclusiones o teorías generales.

Síntomas, Problemas y Soluciones: Las fallas en las redes se caracterizan por ciertos síntomas. Estos síntomas pueden ser generales, como la incapacidad para acceder a Internet. Los síntomas también pueden ser más específicos, como la incapacidad para acceder a servidores específicos. Usando herramientas y técnicas específicas de solución de problemas se puede identificar a los problemas o causas de cada síntoma. Una vez identificados, cada problema puede ser resuelto implementando una solución consistente en una serie de acciones.

Modelo General de Solución de Problemas: Cuando se solucionan problemas en un entorno de red, funciona mejor un enfoque sistemático:

1 Defina el problema y reúna los síntomas.
2 Identifique todas las causas potenciales que pudieran estar causando los síntomas observados.
3 Elimine cada problema potencial, desde el más probable hasta el menos probable, hasta que los síntomas desaparezcan.

Cuando una red está caída, se necesita un enfoque sistemático para levantarla. En la mayoría de los escenarios de solución de problemas, es mejor ir de lo general a lo específico y eliminar las variables no relacionadas para enfocarse en el subconjunto de variables que contiene la solución. Este es un principio fundamental de la ciencia y no es sólo aplicable a la ingeniería de redes. El dividir problemas complejos en pasos más pequeños y el determinar las relaciones entre ellos puede ayudar a simplificar la formación de una solución total después de haber resuelto los problemas más pequeños.

En algunas situaciones, la parte más difícil de solucionar problemas es la documentación después de que el problema está resuelto. Un diagrama de red sencillo sirve como punto focal para la documentación compilada. La documentación cuidadosa es un proceso necesario que simplificará la vida del ingeniero y de otros en la organización. La documentación deberá realizarse una vez durante el estudio del sitio de la red y otra vez después de la finalización de la instalación y de la fase de prueba. La falta de documentación puede ser un factor que afecte a muchos problemas. Esto es especialmente cierto cuando el personal no tiene una vista detallada del estado actual de la red o del rendimiento anterior de la red. La documentación deberá proporcionar información fácilmente accesible a aquellos que la necesiten. Esta información también deberá ser fácil de actualizar. Es importante recordar que la documentación simplifica la administración de la red y reduce en gran medida el tiempo necesario para solucionar problemas.

Auditar seguridad en dispositivos Cisco.

2009-01-09T14:40:00.007-06:00

Usando la aplicación Nipper que sirve para auditar la seguridad de dispositivos de red: Switches, routers y firewalls. Este auditor de seguridad soporta los siguientes dispositivos:

Cisco Switches (IOS)
Cisco Routers (IOS)
Cisco Firewalls (PIX, ASA, FWSM)
Cisco Catalysts (NMP, CatOS, IOS)
Cisco Content Service Switches (CSS)
Juniper NetScreen Firewalls (ScreenOS)
CheckPoint Firewall-1 (FW1)
Nokia IP Firewalls (FW1)
Nortel Passport
Bay Networks Accelar Switches
SonicWALL SonicOS Firewalls (SonicOS)

Nipper es gratuito y funciona bajo las plataformas Windows y Linux. Su funcionamiento consiste en que, pasándole la configuración del dispositivo,Nipper genera un log en HTML con las posibles fallos de seguridad, tales como:

Si la versión del software tiene vulnerabilidades y los números de referencia para esas vulnerabilidades.
Recomendaciones de inhabilitar los servicios que puede ser usado para tener acceso no permitido al dispositivo.
Comandos necesarios para ayudar a asegurar el dispositivo.
Muestra la configuración del dispositivo explicando cada servicio y utilidad.

Uso de Nipper.

Primero se necesita conseguir la información del dispositivo, para extraer esta información hay que conectarse vía Telnet o SSH al dispositivo y usamos el comando:

show running-configuration

Y copiamos el resultado en un archivo de texto que podemos copiar en la ruta de instalación del Nipper. Después ejecutaremos Nipper con los siguientes parámetros:

nipper --ios-router --input=routerconfig.txt --output=resultado.html

# --ios-router Su usa para el tipo de dispositivo
# --imput El archivo de configuración del dispositivo
# --output El log Html generado con la evaluación de seguridad.

Después solo tendremos que ejecutar el archivo resultado.html en el navegador para visualizar los fallos de seguridad reportados por la aplicación. En caso de duda de los parámetros de Nipper puede ejecutar el comando:

Nipper –help

Más información y descarga de Nipper:
http://nipper.titania.co.uk/

Router Cisco serie 800 configuración dinámica de Telefónica

2009-01-08T13:56:00.009-06:00

Aquí publico un videotutorial para los routers Cisco de la serie 800, con la explicación necesaria para configurarlos con una conexión dinámica de la compañía telefónica con el protocolo PPoE.
El videotutorial se compone de dos partes:
1- El primero es un videotutorial de cómo configurar la interfaz Ethernet del router a través del hyperterminal para después poder acceder a la consola web.

2- El segundo es el proceso de configuración dinámica a través de la consola web del router.

Nota: Extraído de http://www.adsltodo.com/