INSTALAQUON@ CON PI G@UIRAGHION Y ADMINISTRACION Tecnico en 6 * SEGURIDAD CONFIGURACION DE REDES CABLEADAS En este fasciculo conoceremos la forma en que se debe configurar una red cableada, desde los protocolos utilizados hasta la asignacién adecuada de permisos. Incluye e-book: ei Asterisk .fb.com/R el Peas Técnico en &SEGURIDAD Coordinador editorial Nuestros expertos Paula Budis Valentin Almirén José Bustos Asesores técnicos Gustavo Cardelle Federico Pacheco Rodrigo Chaver Javier Richarte Alejandka Gémez Javier Medina Gustavo Martin Moglie Pablo Pagani Gerardo Pedraza Ezequiel Sanchez Cuts visual prictco Técnico en redesy seguridad es una pubcacion de Fox Andina en coedcin con Dalaga .8. Esta pba no puede se eproducida a en ‘odo ni en pare, por ringia melo actual o futuro sine perso previo y por ecto Fox Andina S.A, Dstbuidres on Argentina: Capt: Vaccaro Sanchar y Cla SC Moreno 794 piso 9 (1091), Ciudad de Buenos Aes, Ye. 5411-4342-403114032; Interior: Disibuiora Inerploas SA, (ISA Pte. Luis Sena Peis 1832 (C1T35ABN), ‘Buenos Aires, Tel 541 1-4305-0114,Bolv: Agence Madera, General Ach E-0132 Casita de comeo 462, Cochabamba, Tel. 5914-422-1414, Chile: META SA, Rebolledo 1717 - Rua - Sartiag, Tel, 562-620-1700, Colombia: Disibuidoras ‘Unidas SA, Carrera 71 Nro. 21-73, Bogté D.C, Te $71-486-8000, Evader: Disandes(Ostrbuidra dels Andes) Calle yAv, Agustin Fee, Guayaquil, Tel 59342-27 1651. Msc: Distribuidor Intermex, SA. de CV, Lucio Blanca #435, Col San Juan Tuaca, México DF (02400) Tal $255 52 30 95 4, Pert: Distibuidera Bolvaiana S.A, Av Republica de Param 3635 pio 2San ido, Uma, Tel 511 4412948 anexo 21. Uruguay: spert SRL, Parenay 1924, Montevideo, “Te, 5982 924.0765, Venezuela: isrbuidra Continental Blague de Armas, Eada Bloque de Armas Pso no, A. San Matin cuce co final A, La az, Caracas Tel. $8212.406-4250, Impreso en Sevagrat S.A, Impreso en Argentina Capyight © Fax Andina S|, Mx PARA ACCEDER AL eBOOK — (a REGISTRATE.EN TAS SRL iY CANJEA'EL SIGUIENTE CODIGO Técnico en redes y seguridad coordinado por Paula Buchs. - 1a ed » Buenos Altes: Fox Andina, 2013, 576 p.; 28 x 20 am, (Usets;22) IBN 978-987-1857-78-4 1. Informatica. 2. Redes. |. Budi, Paula, coord COD 004.68En esta clase veremos La configuracidn de redes cableadas, los protocolos y las tecnologias necesarias, asi como también algunas consideraciones importantes sobre seguridad. En la dase anterir, vimos laimplementacién completa de una red aula, y analizamos la forma en que poderos mas comunes. Efectuamos una introduc jucionar los la seguided ¥ conacimos lo dstntos tipos de switch que existe en e mercado. También explcamos que son los dominios y los puetoslécicos,y, para terminay, aprendimos a administra las patciones en un disco duro ys alcances de NetBIOS En esta entrega,nos dedcaremos a profundizar en las ta en los sistemas operatvas de: ias opciones de seguridad que es necesaro tener en cuenta, Aprenderemos a realizar la asignacién de permisos y a hacer un booteo remoto, Para conclu, veremos en deta aspectos de seguridad tan importantes como TCP Handstake je SWAY El protocolo TCP/IP en profundidad Tecnologia Wake On LAN 14 Permisos en grupos de trabajo 20 Conocer las pratocalas IP: IGMP e ICMP wow.redusers.comTECNICO EN REDES V SEGURIDAD | 06 © El protocolo TCP/IP en profundidad El conjunto de protocolos TCP/IP hace posible establecer todas las comunicaciones; sin embargo, su protagonismo se encuentra oculto. wien Insmedosde LOS ESTANDARES —_a.y dj os datsisos estandareatesconnomasy DE LOS PROTOCOLOS A continuacién,conaceremas as protools pa otinizarsv SE PUBLICAN EN detales decade una de ets epas comprensién y funciona Elconjunto de protocoos TeP/P LAS RFC (REQUEST Aplicacién define la comunicaciin entre side los FOR COMMENTS). En esta capa se procesan los pedidos diferentes tipos de equipos tecnolgicos de datos, o servicio, No se esté que podemos adqui. Su nombre esti _—_diciendo que se agrega informacion haciendo referencia ala aplicacién de foimado por la unin de os protocolos _adicional en cada capa del modelo, Usuario (software) en si misma, sino a mas conccides: TCP (nsmissin Canto! Al igual que el modelo OSI todos aquellos protocols que proveen Potaca) w (inte Petco. la arquitectura TcP/P se civide de un servicio que interactia con el Elconjunto de protoclos que lo len cuatro capas, ue podemos comparar software. Por ejemplo, en esta capa conforman nos pemite enviar cocieos_comlas de dicho modelo. Las datos qe se encuentra el protocolo POPS (Post elecrdnicos visualizar paginas web, mir enviamas a través dela red van pasando fice Protocol versién 3), utilizado para videos online hace steaming yacceder por las capas del modelo TCP, ya el corea entrant independientemente alescitoro remote; en resumen, todas les medida que o hacen, cada una agrega de software cliente de coreo que acthvidades que poderos efecuar através un nuevo encabezado, ala ver que deja tengamos. Otros protocoos que dela te ya sea interna o externa los datos preparados para que la capa _aparecen en esta capa son: FTP, SNMP, de sunvel inferior nterprete lo que «IMAP, et. En esta capa también se Capas TCP/IP est recibiendo (encabezado mas datos llevan a cabo tareas de control para Enos protocols que se dviden en originales), y pueda agregar su propio ‘la comunicacdn Se establee una capas, el conjunto de esas apas se encabezado. Este proceso se conace_comunicacin entre los exttemos para denomina pila Yogica (stack). Entonces, como eneapsulacién. Cuando los datos efectuartareas de cuando nos reerimos 2 que se agrega _legan a su destino, sucede el proceso —_errores en la traf cabecera a la pila l6gkca, estamos Inverso: cada capa lee el encabezado ylo de datos; es decir, se verifica que la En el campo de las redes, muchas veces nos encontraremos con estos términos: socket (cuando, ademas de incluir la direccién IP de destino, se incluye el puerto de destino, el conjunto de datos se denomina socket), Se ee ee ec ect Ce le agrega la cabecera), paquetes (los segmentos anteriores son recibidos por el protocolo IP, que empaqueta los datos agregando las direcciones IP de origen y destino) y traias (en la capa de enlace de datos, los paquetes IP se convierten en tramas Ethernet, para ser enviadas dentro de la LAN).comunicacion pueda establecerse (chequeo de disponibildad fisica para entablar la comunicacin) Transporte Esta capa ofrece los servicios de transporte enire el host eso yo receptor al establecer una conexion logica entre ambos. Los protocolos que intervienen en ella son TCP y UDP (User Datagram Frtoca). Los datos que se recben de la capa superior incluyen un numero de puerto que permite identificar a cada protocolo (y, 2 su vez, al software cliente {que tengamos instalado para tal fin) Es importante verificar la configuracién de routers firewalls, ya que potiamas op: Teo de ress ffsoorne guest, 2p00TRePy, @ iy Toe ncsin rie (NS tenet in: ago de deci Odes ga apt apes Ocnisieeminne (© 6: se ransaccn. Numero oe pra asear meses yspuests dos ses tid por el cert O Sire oi corso @ tags Bana sd Su your drecin © iad: Es ls deccon IP del siguiente Senior qu seul eno range Beri clair n menses DaCPOFFER y DHCPACK gad: erelre ala decén de gente de ly Uilado cuando Se banca conan sencor my @ cratic: econ de nadnare dl deme rave Nombre de hs dl sein ‘paoral Cader terrae con un rub, (52, ie: Nombre del acho de arangue Ceaena tamed con un nil. by. toi (© cide chen adess(rectin del onions: Se ref al campo de ‘Sent, Uioado et clere ess fer parses opionals, mado RENEW, BOUND 0 REBNOING. tener bloqueado agin puerto necesatio Y,entonces, la comunicacién no podtia establecerse. Los datos recibidos son segmentados en partes iguales, que se ernian desde un dispostva final a otro final (de nuestra PC al access point, del access point a outer) Esta capa aratiza el flujo de datos, a fatilidad del enlace yel contol de ertores, En «aso de que ocura un error, es posible retvansmtir el segmento perdido; esto se reliza gracias al procedimiento de ‘windowing, que sive para asegurar que ls segmentos leguen al receptor. Para lograro, el host receptor, ai reciiendo los segmentos, mand un acuse de recibo al emisor el cual leva con L___— ‘ER be DATOS canectn smafio maximo 65.500 bytes un control de ls segments enviados satisfactriamente; al no recibir el acuse e recibo, se rena el segmento pedo. Internet En esta copa se define el deccionamiento ylaslecion de uta, Los outers usan Aiferentesprotoclos para deterinar la mejor ruta que peritaestablecer la conexin cone destino Para realizar esta ‘area, necestan la dieccién IP como parte el encabezado, pra conocer su destino Deberas tener en cuenta que la dreccin IP estéformada por dos pats: con la scar dered se identifica la propia red de destin; yconla de la direcion IP al host de destino utlizando dstntos protocols que le permiten conocer la Cirecn sea gia de. Acceso a la red En esta copa se proparan los datos para su tansisin por el medio ‘isc. También se incuyen los de éirecionamiento, es dec la direciin IP asignada ala placa de red, que Se identifica por su direcci6n MAC. Por otra pate, ena capa de acceso a fared inflyen las topologias de rede ye hardware de conexién, que definen la conesién con el metio a forma de envio de os datos que crtesponden, vensedesercanTECNICO EN REDES V SEGURIDAD | 06 TCP vs. UDP Estos protocolas praveen de servicios a le copa de transporte, pero diferencian en cuanto a sus funciones -especificas. TCP es un protocol ofientado a conexiones, que antes de realizar e envio camprueba que este sea posible En la cabecera que agrege cada segmento de datos, incluye informacion que sive para aseguet Ia entrega en orden, el control de fujo yel de errores Algunas de las aplicaciones ‘que usan TCP son: navegadores de treet, clenes de cota y software para transferencia de archives mediante FIP. DDebemos tener en cuenta que la cabecera de TCP ocupa 20 bytes en total. Sus partes son las siguientes: >> Puerto de origen (16 bits): ‘mero de puerto utilizado por la aplicacion en el host de arigen, > Puerto de destino (16 bits): rimera de puerto que utilizara la aplicacién en el host de destino » Numero de secuencia (32 bits) rnimero para asegurar la corecta secuencia de ls datos que van legando, > Namero de acuse de recibo (32 bits): nimero de secuencia que includ et proximo segmento por recibit, Solo al recibir este nimero, TCP considera que el segmento anterior fue enviado en forma correcta > Posicion de datos (4 bits): se encarga de indicar dnde comienzan los datos de la capa superior > Reservado (6 bits): secuencia debits destinados a un futuro uso; a no ser utilizado, su valor corresponde & 0. > Ventana (16 bits): se trata del rnimero de bytes que el emisor espera aceptar sin acuse de recibo. > Suma de control (16 its): comprabacién inte, calcula por la suuma de los campos de cabecera y datos. > Puntero urgente: indica el final de los datos urgentes (si antes estuvo activo el bit de control URG), > Opciones: secuencia que incluye cl tamafio maximo de segmento TCP, > Datos: se trata de las datos provenientes de la capa superior También es necesaio considera la existencia de los bits de control se tata de bits utizados para realizar el control de los datos entregados por TCP, Vamos a mencionaros a continvacién > URG si su valores 1, el paquete debe entregarse en forma urgente > ACK: sil valores 1, el paquete se presenta como un acuse de recto. > PSH: siel valor es 1, el paquete puede ser forzado por el emisor para su envio, Utiliza el método denominado PUSH. > RST: siel valores 1, se realzaré reseteo de la conexisn ala red. > SYN: si el valores 1, indica un pedido para establecer una conexin. scandeatnaicom Derlen@rtacon “aac.” ourLooK DEJULIAN @ een Etesoitore dae luscay emg crecctn i eeibeior eden ‘wwrolusers.com nia ral agora ge ieabaone Acandeatnaicom Delano com lace" ‘ourtooK DEANDREA 1 iiesdecoos tlmensap con cna de corto ous @ js eemensicon En est caso vers cémo trabajan los ervidores POPS y SMTP para el envfo de mensajes. El proceso para enviar un mail es complejo y varia segin cémo este construida la infraestrucura de transmision de datos, En la mayoria de los casos, depende de servidores de terceros,20 ser sior s1? ——__ Hu ———_— — 20s ret you ——— = NAL FROM: mai@hostinrcom.ar —— — 4+ = fr Tomaiahericon — x1, ———————————_. 354d data wih -ctRoc> Site: Cargo de aso From: nataiesinexconar Wo: maicromat.con p a ——— 2500: queue a 12385 tak — 221 ye ———_______» En caso de que esta sea saisfactria, sive pata sincronizat los nimeros de secuencia, >> FIN: si se encuentra un valor 1, indica ol fin de la conexién existente Adiferendia deTCP UDP no est orentado ala conexion, Ambos utlzan protocol IP para el envio de datos, pero UDP no usa ‘acuses de reibo ni garantiza su entreg. La cabecera de UDP pesa 8 bytes, y sus partes son ls siguientes > Puerto de origen (16 bits): se trata de un campo opcional, que se uiliza solos la informacion que ha sido enviada debe regresar al host eisox > Puerto de destino (16 bits): specifica el puerto en el host destina ,a su vez el protocalo al cual UDP debe pasar ls datos. > Longitud UDP (16 bits) es el tamario en bytes que corresponde al datagrama, indluyendo la cabecera de este. > Suma de control (16 bits) también es opcional, pero se utiliza para comprobar que los datos no fueron dalados durante su transmisién, > Datos: se trata de los datos que comtespanden a la capa superiox Protocolos pertenecientes a TCP/IP El protocolo TCP/IP esta formado por \arios tos de protocolos que trabejan en diferentes capas, a continuacion, ‘conoceremos algunos de ellos: 1 1 (protocol de Internet): reibe Jos segmentos de TCP, los encapsula en paquetes y agrega las direcciones IP de origen y destino necesarias 1» ARP (orincoo de resoucion de dieccones funciona dento de una LAN, cuando los host comienzan a establecer ‘una comunicacién. Cuando tenemos varios ‘CLENTE (outlook) equipos en una LAN, y cada uno tne su ireccibn I, ARP mapea ls direcciones Foie com las tsicas. > RARP (protcolo de resolucién de Gireccines inverso): cup l func inversa de ARP, es decir que, canacendo la Gireccién fice de un host, buscaba su > DHCP (rotocolo de configuracion inmica de host: permite a cualquier spostvo obtener una creccin IP de forma automata asinada por un serie. > HTTP (protocol de transport de hipertext}:e5 et protocolo més conaido, ya que se utiiza para visuaiar as paginas ‘web con nuestro navegador preterit, » FTP (protocol de transterencia de archivos: se trata de un protocolo centado ala conexién para la transferencia de archivos en a ed > TETP (orotocolo tivial de trensferencia de archivos) es un protocolo sin canexién (utiliza UDP). Se emplea en redes LAN, yes muy usado por los suvitches y routers empresariales para la tenstalacién, actualizacién o carga de la configuracion guardaca > SMTP (protocol para a transferencia simple de oreo eecnicol: se encarga de enviar oreo electronic etre serviores. » POPS (pcioclo de ofcina de coreo versin 3: est protocoo se utiza para recibir os cates electrnicos que fueron enviads por medio ce! protoclo SMTP >> IMAP (protocol de acceso a mersales de ntemet: es una vaiante de POP3, ‘ue también podemos utiizar para recibir comes eectrnicas o istas de usin que Soporte IMAP En nusto cliente de corre, pata enviar debemos configura el sevdor SIMTP y para ec IMAP 0 POPS. m© Tecnologia Wake On LAN Es una funcién poco conocida y no muy usada, pero que puede resultar Util tanto en el hogar como en redes empresariales. 5 _racias a la tecnologia Wake On LAN, es posible cualguer PC, argat os elementos en cola arrancar uno © més equipos iberControl, para gestin tablet o smartphone en la red u version 5 posee una funcién para Hoy en cia, los comercos de tipo Gbercafé encender uno o més equpos simultaneamente, desde el servi implementan este método para 2 que la implementacion setvidor central ls decenas de equipos que poseen. Esto tambié puede resutale itil aun administrador de red, para encender un quipo que esté en una habitat desde el principal. sta funcién no es otra ‘en otro un piso lu istradores como los usuarios hogarefios que La mayoria dels usuario cuenta con las elementos necesarios antarla ‘uenten con una conexién de banda ancha yun router pueden para aprovecha is ventajas dela tecnologia Wake On LAN, ese sistema para encender un determinado equipo ya que solo se necesita disposiivos muy basicos en la empresa ola propia PC en casa, estando en otro De este modo, podran accader va VNC, VPN, FTP 0 equipo para trancte trabajo d P adicho Elo los equipos que se encenderén en forma remota deben chivas, realizar una const, disparar un contarcon una interaz de rd incorporada al motherboard, En su a que nuestra aplicacion e red PCI, ps 2P favorita, programada para arrancarautomaticamente con el que su firmware soporte este estindary se precisaa un cable [BB Administrador CAWindows ajstema2\emd exe oo fm | Microsoft Windows (U; at ane a C 7 Seen cera po, simplement co, se pode usar una pla Perret omer erent dingnico Fema ee me euy rts) re meee ere et, gees eiaieg er eee an wiaiet En esta imagen vemos el comando arp mostranda la direccin IP de la placa de red, con su respectiva direccion MAC.fb. com/RedUsersPremium chilexs22 Identi «que comunique la tarjeta de red con el motherboard, mediante un pequeo conector de tes pine llamado WOL. Sila plac de red 5 PCI 2.2, no haré feta el cable WOL, porque esta comunicacion se realza intemamente via bus PC apart de esa version > La fuente dela PC debe ser ATX. Esto se debe a qu ls fuentes de este tipo en una PC apagada, siguen amentando ciertos ispositvos como el motherboard la placa de re, el médem, el tela y el mouse (para lograr el encendido por WOL 0 WOM —Weke on Modem, también conotida coma WOR, Wake on Ring, hay que hacer clic del mouse o, desde el tecado, pulsar alguna ‘ecia 0 combinacion de elas, o usar una contasefa), > La opcion Wake om LAN o Wake on PCT Card debe estar en Enabled (habilitada) Como funciona Tal come mencionamos anterormente, ls fuentes AX contndan alimentande e matherboard mientras estén conectadas ala tersin de lina , pola tanto también aa placa de red Podemos notar que, si un equipo con fuente ATX esta apagodo, LED de link dela placa de red se encenderé al conectarle un Cable UTP proveniente de otra PC hub, switch o route De esta manera la placa de red lrecbir a orden de encencido {que coincda con su ireccén fica, envia una sen aaplaca madre, esta enciende el equipo, tal como si hubiésemos pusado €l baton de PowezOn. El encendido se produce cuando la paca de red recite un pequefio fragmento de datos lamado Magic Packet en el puerto TCP 0 UDP niimera 7. LA PLACA DE RED, AL RECIBIR LA ORDEN DE ENCENDIDO, ENVIA UNA SENAL A LA PLACA MADRE. 1 Magic Packt tiene un tamafo fio de 102 bytes, que comienza con 6 bytes, con el valor hexadecimal F, cue seria lacreccién de broadcast; en defritva, significa que se eniaré este paquete todos los equipos de la subred, Lego siquen 16 grupos de 6 valores hexadecimales cada uno, que contenen la iecciénfsca ‘© MAC Address. Por ejemplos la paca de red del equipo que quetemos psee la creccin sca 01:E4:F6:70:42:8B, el Macic Packet completo seria del siguiente forma: FP FFFRFEFFTE (01 BAS 7042 GRO Ba Fs 7042 GRO BaF 704298 01 B4 FS 704298 (LBA Fo 7042 9B Ba Fs 704 OBO BaF 704298 01 B4 FS 7042 98 (0LBABo 7042 9BO1 Ba Fs 704 9BOI Ba FH 764298 01 B4 FS 7042 98 (1 BABS 7042 9BO1 BA Fs 704 9BO1 Bs 5 764298 01 BA FS 704298 Puesta en marcha Lo primero que debemos hacer es verificar si contamos con todos las elementos necesaros en nuestra PC. Lo mas comin es tener una placa de red PCI y no poseer el cable WOL, que ESSSSSSSNSSS TTA er AAAS se puede adguitr en cualquier comercio de electénica 0 telaconado con cables y conecores de PC. Una vez que lo conectamos desde la placa de red hacia el motherboard ‘en el correspondiente conector WOL, activamos la opcién ‘Wake On LAN o Wake on PCI Device del Setup del BI0S, Recordemos que sila placa de re no tiene el conector WOt, ‘porque cumple can la norma PCI 2.2, y na seré necesario. usario. El paso siguiente es averiguary tomar nota de la irecciin IB mascara de subred y direccn fisica 0 MAC Address de cada uno de los equpos de la ed. En Windows, podemas hacerlo ingresando en la consola de comandos yejecutando el comando arp -a 0 arp, desde cualquier equipo de la red Se presentarn en pantala todas las drecciones IP y sus tespectvas MAC dela subred. i drecionamos os resultados a un archivo de texto, seté mis préctco fl manipular esa informacién mis adelante. Lo hacemos con la siguiente sentencia ‘anp ~a > macaddress.tet. Para el caso de GNU/Linux, el comando Ae Peer ot St tbe S529 (Weam ue ease pan ete depote pa shor eras Pam ue ee acetone dace "Vitec un Mag Fecha arrears evens i ye oti yo a escola Seg deanats Seduce seuss in ape. Tanio er utle ue Wego ve cere thew se scare ens gatos enna ‘wow redusers.comTECNICO EN REDES V SEGURIDAD | 06 Trac 87 Com eres Ce ee CooL 192.168.1124 255.255.255 CeO eee En esta ventana de consola se ejecuté el comando wolcma, podemos damnos cuenta que inicia sesién en un equipo remoto es el mism almat un archivo de te arp y posee un modificadorintegrada para Se tata de una pequeta a jonesen alec icacién que no requiere instaacion Address iquarla «ender (enemos que a to: se tata d vo del equipo: arp -f nombre de are fe quetero (si no se espectica ningin nombre, la informacion se guardaré. _previamente). Al hacer clic en ender PC € equivo n Jetelethers por defecto, en la mayoria de los casos) remato se encenderé al instante, Existe una versin de consala Un métod alterativa es realizar este mismo procedimiento, _lamada WOLemd (www.depicus.com/wake-on-lan/ pero en cada equipa, mediante el comand ipconfig /al wake-on-lan-cmd.aspx). 2 sentencas para este comando Este detalar los tres nimeros necesarias pata cada adaptador se ejecutan de la siguent de red, en caso de que haya més de uno en el mis iP y la mascara, pod sual reccién fisca, Siya sabemos de memoria la dite wolemd direccin Fisica direcciém IP mascara de subred puerto el comando getma, 9 Con esta tabla de datas que hemos ecabado, podemas dar ple: a orden de encendido desde cualquiera de las PCs dela red. wolemd OLO0EF367D8A 192.168.1.126 255.255.255.07 Pero para hacero, ncestaremos un pequefio programa argentino lamado Fusion WOL, que se descarga en forma gratuita desde La gran ventaja de esta modalidad es la posibiidad de crear wwwfusion-online.com.ar/es/products/wol. Scripts y encender decenas 0 cientos de equipos en pacos segundos y con tan solo un cic o un comando, quardando previamenteenun archivo .CAD o BAT que contenga as Bi comand ipconfig muestra més detalles que el comando arp. Santen iva encencor cen aorta tiempo y esfuerzo, de ellos Esto nos permite ads todos les derec sro oe eee ee Oe Tea ee ott sere eres ee eet aD Tas ree ara) et one eet ey Paces ier ? per See ret Cee fear ant sriteas Rararae ts eee CeCe ufije DNS especifico para la conexién DescripeiénIrene rein Po MAC dene ae (Gena) (esate restora Dieecinie 1527681001 Mac Adiee amauta idee Ingese la ecsnIP gn dese compo rau edado eres 1923681007 (Cenoaba Dieecines MAC ene ep se see Raat AILS Fay PE esta Pie Fam Car Firmware DD-WRT DDD-WRT es unfimiareo software Intern (sistema operative) com el que leva todas las routes WF, pete concebida para mejorar ls restacones de est ip de dspostvos. alo ‘veremos mas adelante y con mayor deal, pero amerita ofrecer un adelanto en esta oportunidad porque, justamente, DD-WRT brinda un completa apartado dedicad ala funcion Wake On LAR Hace unos cuants aos, Cisco tw la idea de usar un firmware basado en Linux en sus routes del nea Links. Al lanza a primera version de su egendaro modelo WRTS4G, two que liberar el ign fuente de su sistema operativo al piblica cuando esto se Supo, po esta bao licencia GPL A raz de esto, muchos programadores comenzaron a moditia el firmware xgial para obtener mayores beneicios por medio de la habiltacin de ores funcinesintesantes. Lo mismo sucedé con otros modelos de a misma firma, ms td, con equipos de otosfabricantes. Elfimware DD-WRT ests basado en GNUILinux yicenciad bajo. GPL2: no es compatible con todos os routers del mercado, pero siconla maori de ls modelos inalambricos de uso hogareto: 6) TEN Ree i * * la lista incye los clascos DIR-300 y DIR-600 de D-Link, os Linksys \WRT54GIGSIGL de Cisco y algunos modelos de equips TP-Link, entre otros. s dec las modelos mas cominmente utiizades por fos usuarios son compatibles con este sofware alternativa Para intalarlo, como primera medida, debemos saber si nuestro router forma parte dela sta de dspositvos compatibles con DDD.WRTT el listado completo puede consuitarse desde el enlace: -www.dd-wrt.com/wikilindex.php/Supported Devices, Una vez que lo verificaos, debermos buscarlo en la base de datos de descargas, ngresando al mens tres letras nmeros de su marca a modelo, desde el enlace: www.dd-wrt.com/site/ support/router-database, Luego de ubicar nuestro modelo, hacemos lc sobce el nombre (marca © model), lo cual nos enviar a una nueva péaina con alversas versiones del firmware LA MAYORIA DE LOS USUARIOS CUENTA CON LOS ELEMENTOS NECESARIOS PARA APROVECHAR LAS VENTAJAS DE LA TECNOLOGIA WAKE ON LAN. Wake On Internet Si tenemos una conexién directa (cablemédem) con IP fa, etd todo dicho: los datos que debemos ingreser son los mismos que pa una eé LAN. Er caso de conta con mas de un equipo © conexiin ADSL, debertos tener nuestra outer siempre online {con la opcén Subnet Directed Broadcasts habilitada, fn caso de que el router no dsponge de esta opcn,habré que establecer en ls ruts estiticas que cada PC tene en fa ed interna (ditecién IP <-> drecc6n sce).TECNICO EN REDES V SEGURIDAD | 08 © Tecnologia FireWire para equipos en red Si tenemos puertos IEEE1394 en nuestros equipos, nada mejor que conectarlos via red por medio de esta interfaz; asi tendremos acceso a una alta velocidad en la transferencia de datos. a tecnologia FireWire fue desarrllada por la empresa Apple en la década de 1980 con a idea de utiizarla para interconectar discos duros internos en los equipos Mac de aquella paca. Luego de unos aos, ya en los 90, IEEE (nstitute of Elctrical and Electronics Engineers) se baso en esta tecnologia pata crear lo que hay canocemas como IEEE-1394o Fireice (Sony la adquiri para sus cémaras DV bajo el nombre de i-Link,utlizada en impresoras, escéneres, discos externos y, sobre todo, en cimaras de vdeo profesional, Oto detalle que hace a FireWire mas versti que USB 2.0 (su principal competdor) es que puede usarse como un dispositive de red, es decir que, por medio de un cable especial, se pueden interconectar computadoras yyestas pueden compartir sus recursos con fas demds (archivos, impresoras y hasta la conexin a Interne) Estandar El estindar FireWire A posee una tasa de transferenca de 400 Mbps, y FireWire 8, lanzado més adelante alcanza los 800 Mbps valores muy superiors a los de une interaz Ethernet comin y cortente, que es de 100 Mbps Este sistema permite conecar hasta 63 dispostves, aunque cabeadlarar que, usando unos aparatas especiales llamado concenradors, sa cia puede topar hasta los 1024, Esta tecnologia, al igual que USB, también es hotplug, es dec, los tspositivos e pueden conectar tients el equipo esta encendo yserén detectadosautomsticamente. Cada tecnologia es buena en su especalidad. USB fue diseiada para interconectardisposiives como impresoras, escdneres, webcams, pen chives, et. logra muy bien su objetivo, sobre todo, el de la universalidad Y populardad. FireWire punta ala RS cm aC See ee ocd ‘en otras plataformas que no hayan sido concebidas inicialmente para soportarlas, como TCP/IP sobre FireWire, existen otros ejemplos, como IP sobre Bluetooth. Esta implementacién permite crear una red para que dos dispositivos que se comunican mediante Bluetooth transfieran datos ‘mediante el protocolo IP, al igual que lo harian si estuviesen enlazados fisicamente por un cable Ethernet o inalimbricamente mediante Wi-Fi. ‘wwrw.redusers.com transferencia masiva de datos, por ejemplo, en las cémaras de video DV oen grandes unidades de aimacenamiento extern. (uizés esté menos difundido yino sea tan popular como US, pero en émbits profesionales (como la eticion de video digital) 5 muy reconacido, Adem de FireWire 400 y FireWire 800, ersten dos versiones posteriores ‘menos frecuentes, FireWire 1600 y FireWire 3200, mucho mas veloces: de 1,6 3,2 Gbps, respectivamente, TCP/IP over FireWire TcPAP over FireWire es un stack que posta establecercomunicaciones de red basadas en IP sabe una conexién Freie, s decir, se aprovechan as vertajas que ten FireWire, como la ata velocidad de transmisin de datos y la posbldad de sostenerla en el tempo (a diferencia de ovas tecnologia, que son ims luctuantes),y se la hace actuar como si fuera una conexion de ed Ethernet. Esta conversién es transparent al usvaio y selva a cabo mediante un diver 0 contralador que Windows XP y Mac 0S X incluyen on frma rai. Incuso,FreWre A (de 400 Mbps) supeala tsa de transferenci sosteida de unaintefaz Ethemet operendo a una velocidad maxima tebtica de | Gps Sibien USB 2.0 opera 8480 Mbps, Fier aprovecha mejor su arqutecture, aun vbajando a 400 Mops obtiene mejores resuitadosail Establecer conexién Para establecer una nev conesién de red mediante FireWire, sola deberos conectar is computadoras con un cable FireWire especial (que tenga una ficha macho en ada uno de sus exteros). Los equips pueden ser Maco PC, indistntamente; incluso, se puede conectar una PC 2 una Mac. El sistema operativo puede set Windows, Mac 0S X o GNULInux; ¥ también se podkén comunicar entre Un sistema y ato silos equipos paseen diferentes pltaformas de software. La configuiacén del software en Windows es muy simple. Ingresamos en las conexiones de red, donde figura la iteriaz FiceWire. Hacemas cic derecho sobre su icon, vamos a Propiedades all, establecernos una direcetOn IP ¥ una mascara de subred. En Linus, hhay que segui los pasos que indicamos ‘a continuacon, Para actvar el drier, ingresamos en la consola de comands y ejecutamos el comand: sudomodprobefizewire-net Para actvar automticamente esta interfaz durante el boates, hacemos un cambio en - auto firewireo lace fxewized inetstatic addsess192.168.3.% netmask 255.255.255.0 Droadeast192.168.3.255 pre-upmodprobefirewize-net Soporte native en Windows Des lao 2004, Mist deci no bindar mas soporte para edes TF! I Sobre Freire para futures versiones de Windows (desde Vista en adelante ‘alegando la popularidad y bajo costa de las interfaces de red de | Gbps. Por suerte, una compafia llamada UniBrain desarrollo sus propios contyoladores IP over FireWire para Windows Vista Serves 2008, 7y 8 (en sus versiones tanto de 32 como de 64 bits lamados drivers ubCore, enlace para descargar los controladores ‘ubCore es www.unibrain.comy download/download.asp. Una vez que los tenemos, os instalamos para lograr la compatbilidad necesaria. a WSC MUU) Ethernet 10Bas6T ClenteServidor 10 Mbps 100m Ethernet 1008aseTx lentetSenidor 100 Mops 100m Ethernet 10008a5eTx ClentetSenidor 1 Gbps 100m use 20 Basado en host 480 Mops ww 5m Firewire A (400) Punto a punto 400 Mops 63 425m FireWire B (800) Punto a punto 800 Mops 8 100m vw. redusers.com jaTECNICO EN REDES Y SEBURIDAD | 06 © Montaje del switch Conector de energia LEDs del puerto Lado de laranura del cable de seguridad y paneles traseros Av av av av av av Los puerto Energia Sobre Ethernet Puertos Fast (PoE, Power over Ethernet) Ethernet suministran hasta 15.4 W cada uno, Puertos enlace con deble Utlidad: modulo SFP y so/100/1000BaseT COMO ARMARLO | Procedimiento de instalacion rAso1 Junto cone switch, se nclyen las abrazadeas os tmilos.Algunos modelos teen sus propios modelos de tamil, incluyen, ademnés, Ia hevramienta pare ators (Similar als toils Alen), proveyendo tina mayor seguridad para su ancaePARA MONTAR UN SWITCH EN EL RACK EN FORMA CORRECTA DEBEMOS CONSIDERAR ALGUNOS ASPECTOS IMPORTANTES, LOS CUALES REVISAMOS EN ESTAS PAGINAS. Switch Cable de alimentacién Autonegacin y auto-MDIK habiltados en ° ar todos los puertas Sod om Abrazaderas ytorilos | © | y o i Cal para montare bastdor a E ° iS @ LEDs del switch System: Estado de switch Alert: Eventos detectados PoE: Estado de PoE Setus: Mod de configuracon Patas de montaje ig “wr ome ay atin Sep DocumentacénTECNICO EN REDES V SEGURIDAD | 08 © Permisos en grupos de trabajo En estas paginas aprenderemos la forma en que podemos compartir recursos con usuarios o grupos de usuarios y configurar los permisos de acceso adecuados para cada recurso o usuario en particular. Uuando tenemos vatis usuarios de una red, tal vez rho queramos compartir toda la informacién con ells, sino solo algunas carpetas especicas. En sistemas Windows es posible hace frente a esta tarea realizando la creacon de usuatos lacales, a los cuales se les otorgancistintos privilegios, tal como explicaremos elas siguientes secciones. Privilegios Wind ehairatei ints pg pata ios cle ea apne ede epeis >» Administrador: con esta cuenta tendremos acceso a todo el sistema, de modo que podremos instalary desinstalar programas, o realizar otras madificaciones. > Usuario estandar: con este tivo de usuario tenemos acceso limitado al equipo; podemos utlizar todo el software que se oerired COU ier darts tcp tnt, ry ass Opens og. ‘ opmso socom Ropers Brees tos ns retomnse one oer Racin mates Beamer cece encuentra instalado, ero no desinstalar oinstalar nuevas aplicaciones, y las modficaciones que hagamos se limitarén solo ala configuacién de nuestro usuario personal > Invitado: ese tipo de cuenta puede actvarse para aquellas personas que no usan diariamente el equipo, pero lo necesitan durante un tiempo. Na posee carpeta personal ena cual se almacenen documentos, y no admiteefectuar ‘madificaciones; solo puede utilizar el software instalada. Compartir con usuarios especificos Pata coiri capetas eats de rata psionic en nueva ed debems establecerpvlegos. or ejemplo, iia qi vaca epics por erga (de escritorio 0 notebooks). En todos ellos debemos crear al usuatio de os oto equips con su respec conan Poderosconigurarel ini atomic para ues usuario Sino queremos esti la dave cod vez que ines sen, or£ conveniente crear una carpeta especial ene que quardaremos Jos documentos que querames compart con os ates usuais. or ejemplo, ceamos la capeta Compartido devo de Mis Documentos. Luego, hacemos cic derecho sobre el, vamos 2 la esta Seguridad ya Editar, Pulsamos en Agregar, yen la siguiente ventana, vamos escbiendo el nombre de lo usuarios on ls cuales desearos compartra. En la parte inferior de donde aparecen los usuarios, podemos configura deforma personalizada las pemisos que querer otorgarles sobre lecture yescritura para la carpeta compatida. Para texminay, aceptamas todos los cambio. EN WINDOWS ENCONTRAMOS DIFERENTES PRIVILEGIOS PARA APLICAR A USUARIOS LOCALES. Grupos (tra opcén es asociar tds las usuarios que hemas ceed en un ‘grupo comin, por elem, si guetemas compart una crpeta con algunas personas del trabao, otra con nuestra familia ‘Una vez que hemos creado todos los usuarios que necestamos, los reurimos en orups. Para rer un grupo de usuario, hacemos licen Inicio, escibimos MMC y aretams ENTER. Se abi la ventana de Management Console sien e ment dele derecha ro vemos et item llamado Usuaries y Grupos Locales, lo afiadimos desde Archivo/ Agregar o quitar complementos, selecciondndola dela lista. Aceptamos os cambios, y el tem mencionado ya aparecerd en la derecha, Al desplegar Usuario ¥ grupos locales, elecimos Grupos. Desde el meni Accin ‘reams los grupos necesaros; para nuestro ejemplo, uno Trabajo otro Familia, Luego,en ellos selecionams los usuarios que comespondian, Una vez hecho esto, hacemos lic derecho sobre la arpeta que deseamos compart y vamos 2 Propiedades, como \imos antriormente solo qu en vez de it slecionando los usuarios de a uno y escribir sus nombres, indcamos el del grupo. Los permisos que concedamos se aplicarin a todos ls usuarios que forman parte del grupo. rsPremium lenti SO TSS aap Grupo en el Hogar A parirde Windows 7, contamos con fa funcién de Grupo en el Hogar, cue permite confguar deforma casi automata los recursos y archivos que desearos compartir en nuestra red loca. Pere cear un grupo, hacemos clic en Inicio, escibimos Grupo Hogar ypresonams ENTER. e ae una ventana que nos inca si frmamos parte de uno, «nos da a opcién de crear uno ryevo. lear un nuevo Grupo, nos pregunta qué deseamos compartir (sca, imagenes, videos 0 impresors). El asstente configura lo recursos seleccionados,y nos muestra en pantala una cantrasefa para ol grupo en cuestbn Los demas equpos se debenuniraese grupo, para cul, tuna vez ms, desde Grupo en el Hogar, hacemos dicen Unie Se nos preguntaré qué recursos queremos compart y el ingreso dela contasea que se nos otorgé anterionmente, ‘Apart de ese momento, si abrimos el explorador de Windows, er el ment de la derecha apareceré el tem Grupo en el Hogar, ¥ veremos, por nombre de usuario, os equipas que lo componen. Si somos usuarios de dos equips del grupo —porejenpl, lsponemas de uno potty uno de escrito, debemos tener un nombre de usuario que nes ayudea identifica a cada uno, com UsuarioPC para el desktop y UsuarioNet para la netbook Quitar 0 agregar carpetas al Grupo en el Hogar Para quitar una capetao archivo que ya no deseemos compart en el grupo, simplemente hacemos lc derecho en elachiva, yen el meni contextual varios a Compartc con, dande elegimos Nadie. De esta forma, pedemos exci Carpetaso archivos espectfios del grupo. De un modo similar, si tenemos una carpetaen otra ubicacién, como en otro isco rgd, y queremos compara con el grupo, del mend contextual Compartir con, pulsamos en Grupo en el Hogar, 3 veremos dos opciones: compartir solo lectura,oletura escrtura Enel time caso, ls usuarios que se conecten a esta carpta compara tenn la libettad completa para agregar 0 bora lo archivos que considerennecesarios. m ww.redusers.com iaTECNICO EN REDES V SEGURIDAD | 06 © Booteo remoto: entorno PXE y protocolo TFIP 4Es posible bootear una PC sin disco duro, ni unidad éptica, ni llave USB? Si, mediante la placa de red y un servidor de booteo. | significado dela sigla PRE #5 Preboot eXecution — se = = Environment, o entomno de is SS SE eteal SEE Esun protocol entero : que combina to dos: DHCR, para asknar : dieccons IP autonsticamentey TTP, > =. pate realca la tansferencia de archives * de inicio foostap ots adkonals — = emplando los puetos UDP 67a 62 . = Aplicaciones snot as Los usos que se le pueden dar a este sistema alterativo de aranque son variados. continacién mencionamos algunos ejemplos de ellos > Booteo en equipos sin CD-ROM ni ‘floppy (cas0 muy corn em ls estciones de trabajo de la mayoria de las empresas y cibercatés). A la hora de hacer recuperar software de diagnéstico o recuperacién que pueden alojar todas las herramientas una imagen de disco va red en este de datos, herramientas de particion booteables en un servidory acceder a escenari, PXE se tomna imprescindble, _clanacién e imagen de discos duros. elas desde cualquier equipo que las requiera, sin necesidad de transportar > Recuperacién de desastres:en casos» Booteo prictico y cémodo: se clscas de acranque, ys sea CD, DVD 0 de emergencia, se lo utiliza para bootear vata de una opcién muy ati para los nidades USB; asi se reduce el tempo y via ted utilidades como antivirus, ‘administradares de red en una empresa, el esfuerzo del administrador de la red YET Cy La aplicacién Winimage permite crear, editar y guardar imagenes booteables de discos de inicio Peco ae gen ne eran Cece archivos dentro de esas imagenes de disco. Ademas de que podemos editar discos de inicio nos sera de utilidad para generar discos de arranque destinadas a otros fines, como software de diagnéstico de hardware y algunos discos de emergencia, por ejemplo.Cémo funciona Como primera media, deems tener habit ts opcin de booteo por ed nel Setup del BI0S del equip cente; dec, primer Boot Device debe estar establecido en la opcdn LAN. De esta forma, el BIOS astrearé el bootstrap a raués dela placa dere, ya sea que esté incorporada al motherboard o en formato de tarjeta discreta, En caso de no tener placa de red onboard, podremos usar una onvencional, pero esta debers tener el Chip de BOOT ROM colocado ene cao. Este firmware se encatga de dsparary hacer funcionar el sistema PXE. Por st parte, las pacasincorporadas vaen este fire intearado desde fabvica Una vez que el BIOS inc el booteo via XE, el fmware dela placa dered spara la bisqueda del servidar DHCP presente nla ed, Cuando lo encuenza,consuita si cuenta con funcionalidades PXEy, en caso afrmativo,procede ala peticion de la ubicacin del NBP (Network Bootstrap Program Est se transfer via TIP y se aloj ene memoria RAM del equipo cliente, donde se ejeuta exactamente igual que un dsquete 0 CD-ROM de inicio. EL SIGNIFICADO DE LA SIGLA PXE ES “ENTORNO DE EJECUCION PREVIA ALARRANQUE". Manos a la obra Necesitaremos el software TFTPD32 (o TEPTD6A) para cubs as necesidades ie servidor DHCP y TPT. Esta aplcacion s gratuita y puede descargase desde este vinculo: htep//eftpd32.jounin.net! ‘tpd32 download html. Ademss precisamos ars archivos, como xelinux.0, mem (civ sn extensidn), que se obtiene de paquetes como SYSLINUX (www.kernel.org/ pub/linux/utis/boot/sysinux! systinux-4.06.2ip:y dos archives de coniguracfn, cuyos contenidos detallaremos més adelante. programa TFTP32 debe ejecutarse en ef equipo que har as veces de senidot. En ealdad, este software no requiere instalacién, por lo que, simplemente, descomprimimos el archivo que descargamos en la ubicacin C:\pxe ‘También extraemos los archivos necesarios ‘mencionados anterioomente (pxetinux.0 y memdisk) en el mismo directorio, Ingresamos en esa carpetay eecutamas cl archivo tftpd32.exe. En caso de poseer ‘mas de una ineraz de red, en el campo Server interface selecionamos la que nos ‘une on elo los equipos que bootearsn ered, Para este ejemplo, utlizamos una placa de red con una direcién Clase A (10.00.10), pero es oosbe usar una de lage B oC, como la dsia 192.168.0.1, Enese cas, deberas realizar el reemolazo de las dos primeros octetos en las direciones: 192.168, por 10.0 Ingresamos en el botin inferior Settings ¥ nes ditigmos a la solapa DHCP. En l campo IP pool starting address calacamas el nimero de IP que da inicio alrango de asgnacién de dreciones por DHCP (debe ser cstinto de la IP de ‘nuestra interfaz dere). En Size of pool, pponeros un valor de 10, que es el rango de directions IP que asignar el DHCP EnBoot File escribimos pxelinux.0 (es el bootioader incluido en el zip de SYSLINUX). En los dos campos siguientes, DNS/WINS Server y Defautt router, Ingresamos la dieccin de la paca de ed local (en caso de compartir la conexin de Internet o bien lade la puerta de enlace predeterminada © router de la red local, si.es que hay uno. Enel cuatro Mask, escrbimos 255.0.0.0 para una direccién IP de Clase A o 255.255.255.0 para una de Clase C,Ahara debemos driginas a la solapa TETP. Activamas las casas PXE Compatibility y Use tftpa32 only on this interface, y también seleccionamas la dreccién IP de misma placa que antes (en este caso, 10.0.0.10) Al aceptar los cambios, volemos ala solapa DHCP Server del ment principal, onde pulsamos en el botén OK.TECNICO EN REDES V SEGURIDAD | 06 Archivos de configuracién Cos Cae ae Pere ete were Dentro de la peta C:\pxe, creamos Un archivo de texto plano llamado menu eB ees (sin extensién) com el siguiente contenido Pr mere a (@ mado de ejemplo, segin as necesidades Streeter TT Ronee de cada administrador y de cada caso} Ca Merry meres Meni de PKE / Booteo Remoto: ee eed Seleccione una opcién de arranque: 4: Disco de inicio Windows 95 oot Agent, PXE-2.0 (build 062 1.62) indows 98 ree me ety F Prot Antivirus (008) = Data LifeGuard Tools 2: Diseo deine 3: Ghost Deere R Emon int i Ae a a eee mee 6 ; Ese era el mend que aparecerd ante nuestros ojos al booteer via red Los numeros asociados a cada opcién de arranque servirin como referencia para bootear una w otra opcién, pulsando Luego de’ yquardar estos Winlmage pare quardarla coma archivo en el tecado el que cortesponda, en sendas carpetas,quardamas as imagenes Esta herramienta es muy tac de utlizar Adem, dentro dela misma carp de disquets en la ubcacén C:\pe, solo debemas insertar el disquete en la C:\pxe, cteamos un directorio con cen formato ING 0 IMA, Para genera las —_unidad, ir al ment Disk y elegir a opcion el nombre pxetinusx.cf, en el cual Imagenes de cco booteables existe un Read disk. Lna ver copiada a memoria, uardamos.un archivo de teto plano bajo softuare Hamada Winlmage, con elcual se guardamos el archivo resutante con el nombre default, conel siguiente texto: pon leerlos dsquetes de aranque que _funcin Save del meni File. Todos os senecestenysequadarinenlacarpeta_atcivos imagen deberén quardarse dento PROMPT 1 rmencionada como achvos IMA La version de a carpet C:\pxe. DEFAULT 4 8e Winimage puede descargarse deste TIMEOUT 200 werwu.winimage.com,y probaise SYSLINUX DISPLAY menu petiodo de 30 dias (aba) SYSLINUX es un bootloader pa niiar label 2 todo tio de sistemas. Sunomire es un KERNEL memdisk Imagenes booteables ‘tanto engafioso, ya que esta solucién no APPEND initd-Otwin95.img La forma mas sencilla de crear archivos se emplea habitualmente para bootear label 2 booteabls es cn a apicacion cisvibucones GNUNnux KERNEL memis Winlmage, porque es capa de ee En estas paginas por razones de espacio, APPEND initud-02win9@.img dsquetesbooteabesy quardar un archivo se desarcalla un meni basado en modo label 3 de imagen en formato IMA Tambien ‘ext per est poderso y vers enorno KERNEL memaisk _xdmite cambiar su contenido agregando, permite mostrar las cferentesopcones APPEND initd-O3ghost.img aquitando © modiiando archivos, etc. de bonteo en red mediante un istaso label 4 Para este ejemplo, uiizamas las ylamatve ment en modo gf, KERNEL memadisk imagenes de disquetes booteables com interesatesfunciones para apicar en APPEND initrd-o4pqmagicimg de Windows 95, 98y Me. ya na nuestro abs. Este entra de bacteo label 5 uilzamos ests sistemas para generar oftece una amplapsiilidad de citing KERNEL memidisk 250s discos de inicio, podemos descargar pata ejecutar varios modus las imégenes booteables de Internet. SYSLINUX esti formado por varios Este mend y estas aplicaciones se mdulos, cada uno de ellos encargado presentan a modo de ejemplo, pero de resolver dstintas cuestiones, que odes buscar nuestros programas vemos a continuacié prefers de diagndsticoy rescate, > MEMOISK: dispara la carga de KERNEL memdisk iente disquete antiguas imagenes de disco, como discos APPEND initr-074lg.img de arranque ycapturat la imagen con de arranque de DOS, Wind y similares [a] ween aotal TFTP | oacP| systos | Base Diecty TETP Seay hore & Sanda Hah © Reason TETP corfigaston Tio econ) Max Retarenit Tropot oc pots pol Aranced TF Ot TF Opten regeston I Pe Corpabiy I Shon Peper FF Trl rans Ord TIPtoti ters tow Vaso TF Useaetcpain don ct [Tages TF Hie idan a a 7 Gwe ate Crate ns tee Beep ng eater PISOLINUX:es e] médulo encargado de bootear imagenes ISO, muy dtl para iniciar aplicaciones de rescate de sistemas operativos, discos de emergenca, etc. > EXTLINUX: se ocupa de Iniciar entornos Linux basados cen sistemas de archivo ext2, ex3, extd, etc Scripting con SYSLINUX Opcionalmente, pderos mejorar un poco la apariencia de ‘nuestro ment de booteo PXE. Luege del encabezado del scrip, uma serie de comands definen el aspecto del mend Pr ejemplo, veamos el siguiente fragmento de scp: ‘MENU TITLE Nenu de booteo por ved MENU WIDTH 63 MENU MARGIN 1 ‘MENU ROWS 35 La primera linea muestra en pantalla un nombre par el mend. La segunda define el ancho,en caracteres, que tends la pantalla (el maximo es 80). La tercera espectia el margen, en caracteres, que tendréel texto, contando a partir del borde iquierdo, La cuata linea indica el nimero de fils que podrs ‘parecer en pantalla, con un méximo de 35. Asignar colores en el mend de SYSLINUX puede ser un tanto complejo a principio pero muy vest contamos con una paeta de 16 millones de colores con un canal alfa para controlar las tansparencias a gust. Yeamos ahora un eferplo del comando MENU COLOR: menu color title 1;37:64 #00000000 #00000000 none Los cidigos numévicos separades por ";”cortesponden al formato y el estilo. Ls dios numéios ubcados a continvacin corresponden adits heradecirales de canal alpha (opaca oj, verde y azul respectvamente HAARRBBGG), Por atin, hay un masicador que define a sora de texto y tiene cuato posibls opciones: none (in sombra, td (sombra estandat all (sombra onal y de fondo) y re (Sombra invert. Tarea cumplida ada usuaroescoger las heamientasbooteablesesencles seat su necesidad,sguiendo los ejemplos aqui provistos. Los nombres de estas deben escribir en el archivo men, mientras que ls archivos de imagen y sus nombres deben declararseen el archivo default, ubicad en el directorio prelinux.efg ecutamos TFTP32, qu estar sto para seria tou otros cequipos dela ed. En ellos tendremas que ingresaren el Setup dl 10S yen a secuenca de aranque, establecer la opcén LAN como primer métado de boctea. Al encende l equip la placa de ed buscar un sendor DHCP durante unos segundos al encontrar, “TFTP32 le asionara su direccén y eens la informacion de inicio, que presenta en pantalla el mei de opciones dearanque, de donde poems ee la necesaria en cada caso, Placas de red sin Boot ROM Gertas placa de red no posen a funcibnPXE inter ada yfo no tienen su chip de Boot ROM en el z6calo para tal fin. En ese caso, es posible emular ese firmware mediante un disquete. Desde http:/rom-o-maticnet/gpxe/gpxe-t.0.1eontrib/ rom-ormatig ntcamos nuestro modelo de placa de rey seleccionamo el formato de archive dedsqute bootable al una ver descargado, debe escbirse en el dsquete mediante ravwrite (http: nosetup.org/programa/113).TECNICO EN REDES ¥ SEGURIDAD | 06 © Conocer los protocolos IP: IGMP e ICMP IGMP e ICMP son los protocolos que hacen posible la comunicacién, y en ocasiones, nos ayudan a resolver problemas. (05 protocols denominados IGMP e ICMP pertenecen 2 la capa de red y utiizan el protocol IP para enviar os datos requeridos. A lo largo de estas paginas, vamos a realizar la revision de cada una de sus cractristcas yalcances asi coma también la forma correcta de configuar su funcionamient para lagra los mejores resultados ¥ aprovechar su potercal en la esolucén de problemas. Protocolo IGMP El protocolo de administracion de grupo de internet define cémo se procesarn los paqutes IP de mulusi, aquellos datos que erin reid por un grupo de hosts El proceso de multidfusion es la transmisién de un datagrama Pa un grupo de host identicados por una soa dreccin IP de destin, Se trata de una dieccion IP especial, utiizada paa tal fin ‘su vez, tampoco se garatiza que os datagrams transmitidos sean recibidos por tods os miembros del grup de muti. Hie i Vins go cayeee guise gure Temper; [soe Peener ep Bweow ere Lo permanenca de un host en el grupo es dinémica: pueden Unis o dejar el grupo en cualquier momento; incluso, pare ‘enviar datas por multifusin, no es necesario que pertenezcan al grupo de destino, Un hast que tiene mas de una placa de red puede pertenecer a vatios grupos de multidifusién segin la cantidad de placas de red que tenga instalada, Para pertenecer a un gtupo, el host envia su peticion como mensajes IGMP. El protocol IGMP utiliza un métode de pregunta y respuesta par defn a pertenenca. Los routers multiifusién ‘envian consultas determinando el tiempo por medio de datagramas multidifusin, recibidos por los hosts miembros. Protocolo ICMP Elptotocola de control de mensajes de internet iambin funciona en cnjunto con el protocol PA veces suele confundislas, ya que cualquier sistema que ofrezca soporte pare IP en general también lo tiene pare ICMP. El prtacolo ax@eicesora GE aaaneeen # ite tropoox ta syne Proroco? 128 Bronbox Lan syne Protocol 128 @opbor Lam Syre Protocal ot 0935'> abv tap Tack] Sea-02 ACk-149 win-256 Leno ‘wwrolusers.comeM utliza mensajes de control y error durante el proceso de transmisién de paquetes I, para ayudarnos a resolver ‘algunos problemas de red, El formata de ‘mensaje de ICMP esta compuesta dela siguiente manera: > Tipo: indica el tipo de mensaje 0 error; por ejemplo, destina inalcanzable, respuesta de eco, tiempo excedido, etc. > Cédigo: informacin adicional specifica sobre el tipo de mensaje. > Suma de control: similar ala comprobacién que realiza > Miscelaneos: se trata de informacion utlizada por diferentes mensajes; incluso, puede no ser usado, en cuyo ‘aso su valor queda en 0. > Cabecera y datos: contiene a cabecera del datarama IP, los primeros 64 bits de datos del paquete eniado, Podemos considerar a ICMP come un protocolo de preguntas y respuestas, (que antes de realizar el env comprueba sise puede enviar datos Y espera la respuesta para decidir qué accién tomar. Algunostipos de mensaje ‘que utiliza ICMP son fs siguientes: 0: respuesta de eco 1-2: sinasignar 3: destino inaleanzable 4: disminucion del trfico desde el orgen 5: rediveeconar (cambio de ruta) tiempo excedido : problema de parémetros traza de rita fb.com/Re rsPremium Ay icone tarde demasiado tompe El servidor en 872358523 ext tamande demasise emp para responder 1 et putde no ear assent emoorramerte 9 ear sobeearance. ete ‘nanan en os meet. 1 Sim pues agar inna pg vrtigue conn de su compdadra a3 1 Sia cmputadom ord esin pete por in feel pony aagirese get Featorene perso prs aceaers ie Una vez conacido el tipo de menseje, de destino esta prohibida ¢fcbdigo de mensaje nos provee de por reas administrativas informaciinespecica con la cual potternos 11: red de destino inaleanzable determinar cul es el problema y buscar por el tipo de servicio su solucén.Algunas de los digas 12: host de destino inaleanzable utlizados por ICMP son los siguientes: por el tipo de servicio 13: comunicacién probibida 0: ted inalcanzable por regas administrativas 1: host inaleanzable 2: destino no dispone Cémo funciona ICMP el protocol soticitado {cM envia mensajes cuando detect un 3: no se puede legar al puerto toy el mas comin dels cuales ese de destino destino inacanzable, Cuando ejecutarnos 4: se aplica defragmentacion, pingx.x.tx, estamos probando la pero esta indicado no fragmentar conexion. Sel host remote acepta, ruta de origen incorrecta teciirers a respuesta de que los 5 red de destino desconocida paquets fan sido enviados, ila IP ala hast de destino desconocido ‘que pedimos la consuita tiene bloqueadas host de origen aistado las pticones de eco, ono existe, el comunicacion con la red destino ser inalcanzable de destino est proibida por Un concepto importante es e de MTU reglas administrativas {Meximur Transmission Unit 0 unidad 10: comunieacién eon el host ‘maxima de trnsmision). ELMTU ests relacionado con a capa fisica de datos. For ejempl, ethernet acepte TU de 1500 bytes: de oto dspostio recbe una IU mayor, se ofragmentarden partes pequeis qu si puede soporta su MTU. Pata eitarlafragmentacién se usa Path MTU Discovary. Su uncin es enviar ‘un paquete con la opcén de no ser fragmentado; cuando un dspostivo en laed detecte que su MTU es mayor, coma 10 pod fragmentarlo, responder con un mensaje de ICMP Este proceso serepte ‘con menoves tamafos de MTU, hasta que todos ls dispostivs o acepten, vues oon 4TECNICO EN REDES V SEGURIDAD | 08 © Seguridad: TCP handshake y headers EI disefio de los protocolos TCP/IP y sus métodos de funcionamiento son muy importantes en seguridad de redes, aqui los conoceremos. |funcionamiento de los protocols TCP/P es de suma importancia en la seguridad informatica, pues muchos problemas se han heredado de su dsefio original ‘demas, las herramientastealizan tareas especticas que se basan en la manigulacién de paquetes y encabezados (headers), de maners tal que puedan obtenerse las respuestas esperadas en caso de ulizar técnica activa. ‘Dado que muchos fabricantes utlizan ios protocolas TCP/IP sin austarse estrictamente a sus especiicacione, en Gertas ‘oportunidades surgen anomalias, ue pueden ser reconocias por los sistemas de deteccion de itrusiones (IDS) odetectadas por los analizadores de protacolas, com Wireshark Saludo Recordando algunos concepts bisics sobre TP, para incr una comunicacion tenemos el conocito saludo de tres vias de TcP 0 TCP 3-way handshake. Se tata de un método a partir del cual dos dispositivos se ponen de acuerdo para establecer une conerén entre elas. Para hacerlo, tlizan una serie de compas de a cabecea TCP: por un ado susan los fags TP SIM TP ACK: y proto ls campos conespendentes a as nimero de secuenciy de acuse de recibo. Como primer pa, el cent envi una peticin de cones al senor actvando elfag SI ante un nimer de secuercia gereredo en forma psewoaleatra seq). n aso de que el puerto no ast abiro ena seridar stele eva un paguete al clnte conel fag RST activado, para indica rechazo del ntento de cone, Camo segundo paso, si del lado del servo e puerto est abiet, ete responders ala pati SY alca Com un paquste quo tenga e fag YW yo ACK actin, ademés de incr en ol compa de acue de recibo al nimero de secvenia del cent incramentado en 1 (ackexe),Y an ol campo de nimero de secuenci, uno avew, esta vex generado de modo pseudoaleatorio por el servidor (synay). UF OnlineDomainTools inten ws ais amma Nmap Online Scanner © beh anc co F-15-F TOP 10 Tools Advertisement ‘worw.redusers.comPara finalizar, como tercery timo aso, el cliente responders con un paquete que pose el flag ACK actvado, yee campo de acuse de recibo, el nimera de secuencia del servidor inctementado en 1 (seqny+4)-También es necesatio finalizar la conexin TCP de manera correcta, siguiendo los pasos preestableidos por el estandar, en cuatro etapas. Primero, el host A indica que quiere fnalizar la conexién enviando un paquete con el fag FIN activo. EI host B responde con un paguete con el lag ACK pata confirmar la recepcin,y al terminar de enviar los paquetes pencientes, da por finalized le conexién, Luego, este manda un ppaguete con el flag FIN levantado al host A, que respanderé con un paquete ‘ACK para confimar la recepcién. Asi, ‘ambos dan por concluda la conesién, Flags En pocas palabras, podemes resuir la funcién de cade uno dels fags dela siguiente manera: > SYN (Synchronization utlizado para indicar el ntento de una nueva conexion, > ACK (Acknowledgement: ademas de los datos que pueda contener el paquete, sine coma confirmacidn de un paquete anterior, > Fin (Fraizaion: indica que se desea cetar la conexién y se queda ala espera de que el otro hos esté listo para hacerlo P-URG (Urgent: indica que el paquete comtiene datos urgentes (se trata de una funcién que no es muy usada) PSH (Pasi: indi que se debe veciar el buffer de tansmisin 0 recepciéin 9 pasa os dats ala pil PRT (Rese edie al otro extrema de a conn que ha habido algin tipo de problema con la sincronizacién de la conexién y que se cera El ejemplo més concreto dela ‘manipuiacion deliverada de los cencabezados se encuentra en los escineres de puertos, ue utiizan las mas clversas técnicas para deteminar si un sistema estd disponible (pingsweep © barrido de ping) o,fundamentalmente, para saber si un puerto est aberto, ‘Ades realizanatras funciones, como la deteccdn del sistema operatvo, a recopilacén de leyendas de aplicaciones (banner grabbing), y demés Estado de los puertos El hecho de que un puerto esté abierto impica que el equpo objetivo acepra peticiones de él, Est fitrade cuando ‘un firewall u otro dispositive de red lo enmascara,ypreviee que se determine si esta abierto ono. Finalmente, se encuetia cerrado cuando el puerto no admite cconexiones, es decit, responde con un paquete TCP que tiene habltad el lag RST. Las técnicas de escaneo surgen a paride la acivacién de uno o varios flags de la cabecera TCP. Lamanera mds sencila de identifica estado de un puerto es deci de saber si cst abirto,ceada irado~ es tratando de conecarse al, i eta abet, segin la visto a partir del 3-way handshake, responderd un ACK; si esta cerrado, responderd un RST; en tanto que si ests fitrado, nose reciré ring tno de ‘respuesta. En caso de que el puerto esté abierto, continuamos con los otros dos ‘pasos y establecemos la conexion, Este escaneo es conocido como TCP Connect. Si bien esta forma es valida y efectiva, desde el punto de vista del atacante, es muy ruidosa, porque deja muchas registros en el objetivo yes faciimente detectable Por todo lo mencionado, existen veriantes a dicho escaneo, y la més conocida €s SYNSean, La diferencia con la anterior es que, en vez de responder l itimo paso con un paquete que tenga el lag ACK activado y finalmente establecr la conexign,envia un RST de modo tal de cortar la conexién, Este nuevo escaneo dela menor cantidad de registros en el objetivo, Otras técnicas Otro tipo de escaneo es el llamado FiNscan tamtien conocido como ‘www redusers.comTECNICO EN REDES Y SEGURIDAD | 06 Stealthscan, por ser muy sigiloso y (SYN, sea=X) discret entre las técnicas mas comunes, Se basa en el ero de un paquete FIN al puerta del sistema remoto (de ahs nomire,E estandar TCPP indica que, al recbir un paquete FIN en un puerto certado, se debera responder con ut (ACK, ackay +1) paquete RST, Entonces, si ecibmos RST or respuesta, implica que el puerto esta cerrado, y en caso de no redbi (0 sea, que se ignore el paquete FIN), ! puerto podria encortarseabiero, En fos sistemas Windows, un puerto cerrado confimacién aleatorios, de m ignara fos paquetes FIN, por lo que que, al recibir el paquete sie 21 momento de encuentre el socket, Estos estados son excaneo dard resultados erréneos, eto, responder con un (tra técnica es UDPscan, que no se AST y si est cera, con un RST Sino Listen: espera de conexiones basa en TCP sino en UDP. con se obtene respuesta estando el equipo en escucha de un puerto ‘andar un paguete UDP vacio nea, significa que el puerto est fitrado. _» Syn-Sent: se produce al enviar un de datos) a puerto en cuestin Sieste se Porsu pate el escaneo llamado Nullseanpaquete SYN y comenzar el handshake ita cerrado, el sistema tesponderé se basa en enviar un paguete con todos» Syn-Recelved: se produce en con un paquete ICMP de tipo 3 (destino las flags desactivados. Si el puerto esta _el segundo paso del handshate. inalcanzable). En caso de no responder, el cerrado, responders un RST; sin recibe _» Established: se produce al completarse puerto podria estar abierto, nada como respuesta se tata el handshake y permanece en él durante puerto abiertoo fitrado, el tiempo que dure la conexién LA TECNICA DE ESCANEO > Finalt-t:se produce cuando DEPUERTOS SIRVE COMO Ottas protocolos Swe pean a cn he ao cla i Wl 0 is BASE PARA LA POSTERIOR —srnperees uP ux ‘neotmedn tN FASE DE ESCANEO DE SaCNneS REDMRIST NALane”Falpwe Gia ly SE poaee VULNERABILIDADESEN 19 como TCP. El timo protocolo > Closing: se produce cuando dos hosts UN SISTEMA REMOTO. encionar en este quieren finalizar la conexin ala tamet Control > Last-Ack: cute cuando el iltimo en También existe ACKscan,orientado a Message Protoco), que trabaja también haber enviado el paquete FIN pendiente Tent os fitrados, en estado cen capa 4 y estd arientado a control de de confirmacién entra en estado Last-Ack silencioso",o equipos dtiés de un errores, Normaimente, un paquete ICMP > Time-Wait: ocurre cuando, una vez firewall que bloquee los intentos narmales se utiliza para aisar de eventos. Por ser enviados los paquetes FIN, el primero de conexién (SYN}.Se basa enelenvio de TCP unprotocolaorientado a conexion, manda paquetes ACK con nimeras de secuencia tine estados defnides seg Time onfirmacin y entra en estado pata esperar ra ached | Bed ee eed a petra ifpoenonret a ree ent ee ented eee ete ts] recepcicn. m etait NON MP CT eee ita ttre Peers ps aPROXIMA ENTREGA INSTALACION DE REDES INALAMBRICAS En el préximo ntimero En el préximo nimero aprenderemos a realizar la instalacién de redes inalémbricas y a configurar interfaces Wi-Fi. También revisaremos las opciones de seguridad. tT) COmPuTingTécnico en &SEGURIDAD > PROFESORES EN LINEA profesor@redusers.com > SERVICIOS PARA LECTORES usershop@redusers.com @ SOBRE LA COLECCION ‘CURSO VISUAL ¥ PRECTICO QUE APORTA LOS SABERES NECESARIOS PARA FORNIAR TECNICOS FEXPERTOS El REDES ¥ SEGURIDAD. INCLUYE (Us GRAN CANTIDAD DE RECURSOS DlDACTICOS ‘COMO INFOGRAFIAS,GUiAS VSUALES 'Y PROCEDINIENTOS REALIZADOS PASO A PASO Con fa mejor metodologia para llevar adelante el montaje y mantenimiento de las redes informéticas y con los aspectos clave para brindarles la proteccién necesaria, esta obra es ideal para aquellos aficionados que deseen profundizar tos y para quienes ‘quieran profesionalizar su actividad, REDS ES | 00.006 9 '7898, INI 71 CONTENIDO DE LA OBRA 1 Introduccién a tas redes informaticas 2 Tipos de redes y topologias 3 bispositives de red 4 instatacifn de redes cableadas 5 Puesta en marcha de una red cableada 6 CONFIGURACION DE REDES CABLEADAS 7 nstalacién de redes inalémbricas 8 Configuracién de redes inaldmbricas 9 Seguridad en redes cableadas e inalémbricas 10 contiguracién avanzada de routers 11 Recursos compartidos y dispositives multimedia 12 Seguridad tisica de la red 13 impresoras de red 14 Hardware de servidores 15 Administracién de Windows Server 1 Administracién de sistemas Linux 17 hdministracién y asistencia remota 18 servidores web y FIP 19 servidores de mait 2D Sorvidores de archivos e impresién 21 Servidores aticion 22 Vian, VPN y trabajo remote 23 Teletonia iP 24 cimaras ie SNH HAHAHAHAHA EIT