MANUAL

Practicas integrales
M de l
Manual
Practicas Integrales
REDES Con Imunes y Knoppix
d REDES
de

Prof. Andrs E. Castillo

Introduccin
Este documento, consiste en una compilacin de practicas, que cubren, desde los elementos
bsicos de la redes (maquinas, concentradores, conmutadores, router), los servicios de red bsicos
(HTTP, FTP, DNS, DHCP, NAT), hasta los montajes de configuraciones comunes (Proveedor de
Servicios Internet, red domestica conectada a internet, red empresarial, conectada a internet, una
seccin de red internet,, con conexiones domesticas,, empresariales
p y pproveedores de servicio web y
ftp), ests practicas estn dirigidas a especialmente a los participantes de la Materia Practicas
Integrales de Redes, del 4to trimestre del curso de Especializacin en Redes de Computadoras, de
la opcin Telemtica del IUETLV, en donde ya, en cursos anteriores, se han manejado los conceptos;
en este nivel se busca consolidarlos, y llevarlos a las practica, en este sentido, nos movemos, sobre
un lema, Saber, Saber Hacer y Hacer, en los cursos anteriores, se ha venido trabajando en el saber,
y en el saber hacer, en esta materia vamos a trabajar en el saber hacer y en el hacer, nuestra
experiencia actual, nos indica que estas practicas, obligan a un darse cuenta de lo que se sabe y a
desarrollar habilidades practicas en la conexiones, configuraciones y en las operaciones con las redes
y sus componentes.

A pesar de lo anteriormente expuesto, este manual de practicas aspira tambin a ser un

instrumento de auto-aprendizaje para personas interesadas en las redes y que estn dispuestos a
abordar los temas de estudio tericos por su cuenta, utilizando los libros, que se sugieren en la
bibliografa, y que estn en formato pdf, en uno de los CDs que vienen con este documento.

A estas alturas, la utilizacin de CD-Live nos ha reportado muchos beneficios, resultan

extraordinariamente tiles, por que son sistemas operativos que se cargan en memoria, que no
afectan la informacin que yace en los discos duros, ni alteran los sistemas operativos que
contengan, y donde el practicante de redes, que en circunstancias normales, es un peligro, por que
por razones de
d los
l mismos sistemas operativos, se le
l deben
d b otorgar privilegios
l d administrador,
de d d y
tiene derecho a utilizar comandos que pueden literalmente destruir la informacin que se tiene en
el disco duro. Ciertamente con la utilizacin de CD-Lives no se puede evitar que el participante se
equivoque, pero si garantiza, que los efectos que produzcan los comandos que utilice el
participante, sern inocuos.

Nuestra filosofa: mxima flexibilidad,, mxima calidad a costos mnimos. Cuando hablamos de
flexibilidad, hablamos de poder hacer las practicas, en el laboratorio, en un cibercaf o en la casa; la
mxima calidad, tiene que ver, tanto con la potencia de los instrumentos que utilicemos, como con
la calidad de los instructivos con que contar el participante; los costos mnimos se derivan del
material que utilizaremos para implementar las practicas, de imunes un software de libre distribu-
cin, los CD-Lives que se recomiendan y los cables de conexin.

Prof. Andrs E. Castillo

Mapa de ruta

Fig. 1 Mapa de Ruta

Este curso, se desarrolla a travs de 4 mdulos, tal como la muestra la figura 1, los mdulos
son :

Modulo 1: Elementos auxiliares.

Introduccin a Imunes , el emulador/simulador de redes qque utilizaremos intensivamente a lo

largo de este curso; a Knoppix el CD-Live Debian-Linux, a la filosofia de las practicas, a ethereal,
un visualizador de tramas y a otros elementos que complementan el arsenal de recursos de que
dispondremos.

Modulo 2. Practicas con los elementos bsicos de las redes.

Se utilizarn los comandos: ifconfig,

g, p
ping,
g, route,, netstat,, tcpdump,
p p, topp y otros.

Los protocolos ARP, ICMP, UDP,TCP, RIP, OSPF y otros, sern visualizados con ethereal.

Conectaremos maquinas reales con maquinas reales, maquinas virtuales con maquinas virtuales y
maquinas virtuales con maquinas reales.

Se configuraran
g mquinas
q reales y maquinas
q virtuales ppara qque acten como encaminadores.

Se introducir al software Quagga, que permite que una maquina linux trabaje como router RIP,
OSPF o BGP.
.
Prof. Andrs E. Castillo
Modulo 3: Servicios

En el modulo 3, entraremos en contacto, con los servicios que se brindan en internet y

l
lanzaremos dif
diferentes servidores,
id tales
l como DHCP,
DHCP DNS,
DNS HTTP,
HTTP FTP,
FTP NAT,
NAT PROXY,
PROXY INET,
INET
conoceremos de cerca los archivos de configuracin, que son los que determinan el funcio-
namiento del servidor, descubriremos que al cambiar el archivo de configuracin cambia el
funcionamiento del servidor

Modulo 4: Practica con montajes

j de configuraciones
g de red.

Este mdulo es con mucho, el ms importante, por que es la implementacin practica de

configuraciones relativamente extendidas, comenzamos con el montaje, de un sistema domestico
de redes, dos computadoras, un modem y 2 direcciones IP, asignadas por el ISP, seguiremos con
la configuracin de una organizacin mediana, con algunas computadoras y que tiene su propio
servicios de paginas web, que cuenta con dos reas, una militarizada, donde operan las
maquinas de la organizacin y otra desmilitarizada (DMZ),
(DMZ) donde operan los servidores de
acceso pblico, HTTP y FTP de la organizacin, seguimos con el desarrollo de un Proveedor de
Servicios Internet, el cual cuenta, con servidores DHCP, Firewall y DNS, cada uno de estos
servicios se justifican y se necesitan. Cerramos este modulo, con la proposicin de una practica
integral, en donde se combinan mas de un ISP, donde cada ISP, tiene por lo menos dos afiliados y
tenemos mas de un de un nivel de servicio DNS y mas de un servidor de paginas WEB, al
finalizar este modulo, ya deberamos haber desarrollado una visin slida del funcionamiento de
internet, como un todo y a nivel de cada una de sus partes.

Esta materia, la planteamos como una aventura en el mundo de las redes, que no solo le
dejar al estudiante una experiencia prctica, si no herramientas, como imunes y los CD-Live,
que le permitirn seguir experimentando, profundizando y modelando, por lo que la combi-
nacin de Imunes y los CD.Live, realmente significan un extraordinario laboratorio, de bajo
costo, altas
l prestaciones
i y mxima
i portabilidad.
bilid d

Prof. Andrs E. Castillo

 Modulo I
Los elementos Auxiliares

Imunes.
Knoppix.
Knoppix & Imunes.
Ethereal
Quagga.
Ultimate Boot CD forWindows.
Las interfaces de red.
Caractersticas de las practicas.
El material complementario
CD Lives
Material de estudio.
 Imunes
Imunes es un software de emulacin-simulacin desarrollado en Croacia, en la Universidad de Zegreb. Su
nombre es un acrnimo de Integrated Multiprotocolo Network Emulation Simulation, podramos
traducirlo como Simulador Emulador de redes, multiprotocolo.

Imunes explota las tecnologa de maquinas virtuales,

virtuales pero a diferencia de plataformas de operacin con
maquinas virtuales como VMware, imunes solo virtualiza el stack TCP-IP, y lo asocia a una maquina virtual
y al mismo tiempo le da representacin dentro de un ambiente de Interface Grafica de Usuario (interface
GUI), En imunes no se virtualiza, todo el sistema operativo, solo la infraestructura TCP-IP, o sea que se
crea un stack TCP por cada maquina virtual, sin embargo el sistema de archivos no se virtualiza, esto tiene
la gran ventaja, desde el punto de vista del aprovechamiento del espacio de memoria RAM de la maquina,
pporque
q se ppueden implementar
p muchas maquinas
q con relativa ppoca capacidad
p de RAM.

Un aspecto importante, es que todas las maquinas virtuales de imunes, comparten el mismo sistema de
archivos, esta condicin es potencialmente problemtica, ya que por ejemplo, los servidores requieren de
archivos de configuracin, y dos servidores de la misma clase, utilizaran el mismo archivo de confi-
guracin, sin embargo la utilizacin de enlaces simblicos, permitir diferenciarlos adecuadamente.

Imunes es un ambiente de redes

virtuales con interface grfica.
Tiene iconos grficos asociados
a concentradores, conmutado-
res, encaminadores, servido-
res, maquinas normales y co-
nectores que representaran a
las interfaces ethernet reales de
la maquinas que alojen a imu-
nes.
Imunes
I opera en dos
d modos:
d
modo edicin y modo ejecu-
cin.
Imunes viene en un CD-Live
cuyo sistema operativo es Free- imunes
BSD. Modo edicin:
FreeBSD es un UNIX para la P
Para configurar
fi l redes
las d
arquitectura Intel 386 y si- Modo execute:
guientes. Para correr los programas desde cada
maquina individual.
Prof. Andrs E. Castillo
 Imunes tiene varios elementos:

Una barra de men.

Una barra vertical de iconos.
Una zona de ggraficacin ((canvas).
)

Los elementos de redes, se escogen con el

ratn y se arrastran hasta el canvas.

Cuando se quiere enlazar elementos, se escoge

con el ratn el icono de enlaces, y con el mis-
mo ratn se escogen las maquinas que van a
quedar enlazadas.

Imunes asigna automticamente direcciones IP

a cada una de las maquinas involucradas.
Cuando se tiene la configuracin deseada, en la
barra men, en el item Experiment, se activa
ell modo
d execute.
En el modo execute, cada maquina, tiene asociada
consolas, tantas como se requieran.

En las consolas se corren programas propios de Li-

nux.

Algo que hace extraordinariamente til a imunes, es

que se pueden ejecutar, desde la consola, programas
reales, tales como ping, ifconfig, route y muchos
otros, por lo que la experiencias practicas, son rea-
listas.

Se pueden escoger entre mas de un shell: bash y

sh,
h son lo
l mas comunes.

Adems de la consola, se puede activar, el analizador

de protocolos, denominado ethereal.

Con la versin de imunes, viene una gran cantidad de programas, tales como ping, ifconfig, netstat, route,
routed, traceroute, openvpn, openssh, httpd, dhcpd, named, tcpudmp, nmap, ipfw, akpop3, natd, top, netnet-
snmp, quagga, ethereal y algunos otros. Todos los programas que mencionamos, son programas de redes,
necesarios en cualquier ambiente de practica de redes y en ambientes de produccin.

Un aspecto importante, es que el IUETLV, hemos avanzado significativamente en el uso de imunes, hasta el
punto de haberlo remasterizado y obtener versiones, con practicas y montajes incluidos, con el lector pdf que
trae imunes, se pueden leer las practicas.

Prof. Andrs E. Castillo


Los cambios deben hacerse, siempre
p en el modo
edit, para que tengan efecto, cuando se active el
modo execute.
En nuestras practicas, los cambios los haremos en
modo execute, los haremos desde una consola,
con los programas adecuados, por ejemplo para
cambiar la direccin IP,
IP utilizaramos el comando
ifconfig.
Selector de iconos.
Enlace o Link.
Concentrador o hub.
Conmutador o switcher
Encaminador o router,
Servidor
PC
Conector RJ-45
Si se coloca el ratn, encima de un icono, y se presiona
el botn derecho, aparecer una caja de dialogo, en
donde se tendr, diversas opciones, y depender del
i
icono que se escoja.
j Asi,
A i por ejemplo,
j l PC tiene
i una
caja de dialogo diferente a la caja de dialogo de un
encaminador.
Cuando escogemos la opcin configure, tendremos
la posibilidad de cambiar los parmetros de configura-
cin qque aparezcan.
p
Cada icono representa elementos diferentes de las redes y
tienen dentro de imunes propiedades particulares.
El concentrador y el conmutador, se asemejan mucho,
porque son el punto de conexin de multiples maquinas, sin
embargo, se diferencian funcionalmente porque tienen aso-
ciados diferentes modelos de operacin.
Los servidores, encaminadores y las PC, responden al mismo
modelo bsico de operacin, pero se inician con diferentes
programas que los hacen comportarse de forma distinta.
programas, distinta El
modelo bsico lo tiene la PC, el servidor es el modelo basico
que se inicia con dos programas tipo demonio: inetd y
portmap y el encaminador se inicia con el programa Quagga.
El icono RJ-45 se relaciona con interfaces reales de las
maquinas y a travs del mismo, se pueden lograr conexiones
con maquinas reales o virtuales intalaladas en maquinas dife-
rentes.
Prof. Andrs E. Castillo
 La clave de
imunes !!!!

Imunes en si mismo, es
sencillo. La clave de i-
munes es conocer Li-
nux, por que todos los
comandos que se ope-
ran en imunes, son co-
mandos linux que se
activan desde la con-
sola de cada mquina.

Repase o aprenda de Linux los siguientes temas:

Que es un directorio,
directorio que es un archivo.
archivo
La estructura de archivos de linux / /root /etc /var /tmp /proc ..
Cambiar de directorio con cd
Crear directorios con mkdir
Remover un directorio con rmdir.
Crear archivos vacios con touch
Saber cual es el directorio activo y su ruta: p
pwd
Copiar un archivo con cp
Mover un archivo con rm.
Concepto de propietario y grupos de pertenencia de un archivo.
Concepto de privilegios sobre un archivo.
Cambio de propietario con chown
Cambio de grupos con chgroup
Cambio de privilegios con chmod
Concepto de cuenta de usuarios.
Agregando usuarios con adduser
Encontrar archivos y su ubicacin con find / -name nombre de archivo.
Manejar el programa editor vi.
Creacin de enlaces simblicos con ln s
C
Como li t los
listar l archivos
hi de d un directorio
di t i con ls y con ls ll
Identificar patrones dentro de los archivos, con grep.

Encontrar informacin de linux en el CD Ayuda al Estudio.

Prof. Andrs E. Castillo
La figura superior, permite comprobar, a travs del comando top, que tiene como funcin mostrar una
lista de los procesos que est activos.

Puede verse en cada consola, que las maquinas PC, en el ejemplo la maquina mm, viene con el shell
bash, la pantalla del servidor dnsTel viene con bash, inetd y portmap y que la maquina que representa al
router viene en esta caso con los programas ripd y zebra, veremos mas adelante, que esto est en
relacin directa con el programa Quagga de ruteo.

Prof. Andrs E. Castillo

 Knoppix
Knoppix
pp es un CD-Live, qque implementa
p la
distribucin Debin de Linux.

Existen versiones de Knoppix en CD y en

DVD.

Existe actualmente la versin 5.2 tanto en CD

como en DVD.
DVD

Por razones que explicamos mas adelante,

recomendamos usar la versin 4.1.

Knoppix levanta desde el CD y es muy

efectivo identificando los elementos del Hard-
ware de la maquina.

Porque Knoppix?
Escogemos Knoppix, por una serie de ventajas especificas, sin embargo, esto no invalida, que las practicas
puedan ser realizadas con otras distribuciones en CD-Live, o montadas normalmente en discos duros, pero
nosotros, estamos detrs de unas herramientas flexibles, que puedan utilizarse en el laboratorio o en casa, nos
interesa que sea tipo CD-Live, por que el CD-Live es un sistema autnomo, donde cualquier cambio que se
haga, ni afecta al CD-Live ni afecta a los posibles sistemas operativos que tenga la maquina donde opere el
CD-Live.
Knoppix tiene una serie de ventajas concretas:
Reconoce una variedad muy amplia de hardware, konoppix quizs sea el CD-Live que mas hardware
reconoce y por lo tanto corre en un gran nmero de tipos o marcas de maquinas.
Knoppix tiene versin en castellano.
Knoppix viene en versin CD-Live y en versin DVD.
Se cuenta con una gran variedad de programas, en especial servidores: Apache, Bind9, DHCP3, Samba,
openSSH, openVpn, iptables, ftpd, net-smnp, Squid. Estos programas tienen extenso uso en internet, por
lo que las practicas se realizan , con elementos cotidianos de la realidad de las redes.
Knoppix viene con el manejador de ventanas KDE.
Se cuenta con algunos programas clientes tales como Konkeror, Firefox y Kmail, por los que sern
complementos para practicas con imunes.
Viene
V con ethereal
h l o con wireshark,
h k analizadores
l d d protocolos
de l adecuados
d d para lasl practicas de
d redes.
d
Con Knoppix e imunes, podemos realizar practicas de maquinas reales con maquinas reales, maquinas
virtuales con maquinas virtuales y maquinas virtuales con maquinas reales.
Knoppix 4.01 consume menos recursos, pero tiene los programas que nos interesan, por eso lo escogimos
para nuestras practicas, en nuestras maquinas, que tienen restricciones de memoria ram.
 Knoppix e Imunes

Es posible, realizar practicas con imunes y con Knoppix combinados. En estas practicas, trabajaremos con
maquinas reales y maquinas virtuales, podemos decir que tendremos las ventajas combinadas de dos mundos
el virtual y el real. La ventaja
j de lo virtual, es la reduccin drstica del nmero de elementos, las de las
maquinas reales, nos permitir tocar tierra, por que tendremos maquinas reales con conexiones reales.
Una experiencia importante, es comprobar la conectividad, y constatar, que un analizador de redes, no
distingue las maquinas reales de las virtuales.

ethereal
Ethereal es un analizador de protocolos, con inter-
face grafica de usuario.

Reconoce una amplia variedad de protocolos.

p
Tiene filtro de capturas y filtro de ppresentacin.

Tiene 3 ventanas, una donde se recogen las tramas

crudas, otra ventana, presenta cada trama estratifi-
cada por capas y la 3ra, permite ver las tramas en
su conjunto. En la ventana 1, cada trama se repre-
senta en un sola lnea, con los parmetros que el
usuario decida por configuracin de preferencias.
preferencias

Prof. Andrs E. Castillo

 3

1 La primera ventana representa una sucesin de bytes, que llegan secuencialmente al

ordenador donde est instalado ethereal. Esta informacin se presenta en un formato de 16
columnas y n lneas, tantas como sean necesarias, para representar toda la trama, o tantas
se haya
segn h configurado
fi d lal cantidad
id d de
d bytes
b a tomar por trama. Por
P lol tanto, esta ventana
presenta la trama cruda, tal como llega.

2 La ventana 2, presenta informacin estratificada por capas, permite ver capa por capa y
campo por campo el valor asociado, cada segmento de informacin que es seleccionado,
se remarca visualmente en la trama 1, de esta manera, el usuario sabe con exactitud qque
parte de la trama se est estudiando. Nosotros la llamamos la ventana pedaggica.

3 Esta ventana presenta cada trama, en un sola lnea, dando una serie de parmetros , que
permiten realizar anlisis de cada trama, aqu puede ver la configuracin por defecto, donde
se muestra el correlativo de la trama, un timestap o marca de tiempo, la IP de destino y la
IP fuente, el tipo de protocolo (en este caso es ICMP) y comentarios. Es posible para el
usuario, cambiar la informacin y el orden en que aparece.

En imunes, se puede abrir tantas ventanas ethereal como se quiera, Knoppix tambin viene con
ethereal.
Prof. Andrs E. Castillo
Quagga
Quagga es un surtido de programas(suite), que trabajan juntos, convierte un maquina en Unix o en
Linux,en un router, uno de los Unix, para el cual se dise especialmente Quagga es para FreeBSD;
recuerde que imunes corre en este sistema operativo.

El proyecto original se llama Zebra, Quagga se deriva de Zebra y es el nombre con el que actualmente
se le conoce
conoce, aunque cuando uno va a la arquitectura de Quagga,
Quagga aparece el nombre zebra,
zebra ya que este
es el programa principal, y es el que gobierna la actuacin de los otros demonios, de la suite.

Imunes viene con Quagga, los router de imu-

nes pueden lanzar Quagga.

La interface de consola CLI,

CLI de Quagga es
muy parecida tanto de forma como funcional-
mente, a la interface del sistema IOS de los
router Cisco.

Los conocedores de Cisco, reconocern el

parecido, observando la imagen ampliada de
la consola.

Quagga viene con los demonios para RIP, OSPF y BGP,

que son protocolos de ruteo, representativos de los
principales protocolos que se usan en la tecnologa de
redes IP.

Tambien Quagga permite la configuracin de router

con ta
co tablas
as dee ruteo
uteo estt
estticos.
cos.

Con Imunes, que tiene multiplicidad de dispositivos de red,

PC, Servidores, Conmutadores, Concentradores Router (a tra-
vs de Quagga) , y con ethereal para monitorear las tramas
que se generan, se puede garantizar practicas de alta calidad y
de gran provecho para el estudiante.
Prof. Andrs E. Castillo
 Para los que tienen Laptop
Cada da, es mas comn que el estudiante disponga de una laptop,
desafortunamente para los CD-Live, no siempre se reconocen ade-
cuamente los perifricos, y con imunes y/o con Knoppix, puede
haber problemas con el reconocimiento de las interfaces de red.

Como contraparte, tenemos que, la tecnologa de virtualizacin se

haa desarrollado
esa o a o notablemente
ota e e te y est a nuestro
uest o aalcance.
ca ce.

En la actualidad se cuenta con una gama de software de virtualizacin, tales como VMware, VirtualBox,
Qemu,VirtualPC, Xen y otros.

Los creadores de imunes, ofrecen una imagen virtual, para operar con VMware un software de virtua-
lizacin muyy importante,
p , qque ofrece un pproducto ggratuito denominado VMPlayer
y y qque hace pposible,,
correr imunes en ambiente Windows, con conectividad total, ya que el software posibilita el enlace de los
perifricos de la mquina anfitrin con el sistema operativo invitado.

En los CD, que acompaan, a este trabajo, encontrar aVMPlayer y a IMUNES Vmware image 20.4.2006.zip.
Tambien encontrar la imagen iso del CD. Esta imagen corre muy bien desde VMware WorkStation o desde
VirtualBOX o de Qemu.

Con VMPlayer WorkStation 1GB o ms de memoria, es posible correr simultaneamente, imunes, y una o dos
maquinas Knoppix, al mismo tiempo, lo que le permitir tener un laboratorio completo en su Laptop.
Ultimate Boot CD for
Windows
El ultimate Boot CD for Windows, es un CD-Live de Win-
dows XP.

Se concibi para reparar, restaurar y diagnosticar problemas

relacionados
l i d con Widows
Wid XP
XP.

Aparte de las grandes prestaciones que este CD-Live brinda, para nosotros es una herramienta para integrar
practicas en donde intervenga Windows, esto por que esta distribucin reconoce el hardware de red, trae internet
explorer y viene con el mdulo de IP instalado, por lo que perfectamente se pueden hacer pruebas de conecti-
vidad desde el Ultimate Boot,
Boot usando el comando ping.
ping

Cables y Conexiones Union RJ-45 Hembra.

En muchas de las prcticas, el estudiante, tendr

que establecer
bl conexiones
i entre maquinas;
i sii las
l
maquinas son de naturaleza complementaria, PC con switcher por ejem-
Plo, se utilizar lo que se denomina cables en directo, o sea en ambos ex-
tremos de la conexin, los cables tienen exactamente el mismo orden,
mismo cable, misma posicin relativa si las maquinas a conectar son de la misma naturaleza, PC
con PC, conmutador con conmutador, ser necesario hacer un cruce en las conexiones de manera que el
transmisor de una de las maquinas se conecta con el receptor de la otra y viceverssa.
viceverssa

Se recomienda al estudiante, el siguiente Kit:

2 Cables en directo de 1 mt. c/u.

2 cables cruzados de 1 mt c/u.
2 uniones
i RJ-45
RJ 45 hembra.
h b
Conexin en directo
Con un kit como el sugerido, se disponen de combinacio-
nes de cables, para adaptarse a cada necesidad, por ejemplo
dos cables en directo, conectados lado a lado a una unin
RJ-45, deriva en un cable directo, lo mismo para dos
cables cruzados,, en cambio un cable cruzado y un cable
directo, de 1 mt c/u generan un cable de 2 mts cruzado.
Conexin cruzada
Las interfaces de red
Para que una mquina real trabaje como router o como firewall,
se requiere que la maquina tenga por lo menos 2 interfaces de red.

En el laboratorio de red, todas las maquinas traen por lo menos dos interfaces, con esta se logra que
cualquier maquina pueda configurarse como router o como firewall y tambin permite, que imunes se
interconecte con mas de una red simultaneamente.

Con dos tarjetas y con cierto software, pode-

mos tener router, firewall, detectores de
intrusos, etc.

Se recomienda que el laboratorio, tenga un

mnimo de dos tarjeta de red ppor maquinas.
q

Caso Laptop
Ethernet PCMIA
En el caso de las laptop,
p p qque yya vienen con una interfaz,
se pueden ampliar o con tarjetas de red PCMIA o con tarjetas
de red con adaptador USB. En ambos casos d muy buenos
resultados.

Ethernet USB

Prof. Andrs E. Castillo

 MODULO II
Lo bsico

Asignacin de direcciones: comando ifconfig.

La conectividad, comprobacin con ping.
Protocolos esenciales: ARP, ICMP.
Concentradores & Conmutadores
Encaminadores , Rutas y Tablas de Rutas.
Ruteo esttico & ruteo dinmico.
RIP, OSPF & BGP
 ifconfig
ping

ethereal

conectividad

Familiarizndose con las herramientas ms bsicas: ifconfig, ping, ethereal y tcpdump

Elementos muy bsicos

En interconexin de redes de computadoras, existen comandos bsicos y
herramientas que se utilizan una y otra vez, el dominio de estos comandos es pues de
gran utilidad para todo el practicante de redes, dos de estos comandos son: ifconfig, y
ping.
ping

Entre las herramientas de gran utilidad, tenemos a ethereal y a tcpdump, sirven

para monitorear.

Por razones de seguridad, utilizaremos, la tecnologa de CD-Live, para correr el

sistema operativo, con el mximo de privilegios y el mnimo de riesgos, y entre los
CD Li e existente,
CD-Live e istente privilegiremos
pri ilegiremos a Knoppix.
Knoppi

La simulacin y la emulacin, permiten el aprovechamiento mximo con el

mnimo de recursos, en este sentido, imunes, va a ser nuestro laboratorio de redes
bsico, el cual interconectaremos con maquinas reales.
 Ifconfig

ifconfig viene de interface configuracin, es decir configurador de interfaces, esta es la

herramienta que utilizaremos una y otra vez, para asignarle direc-ciones IP a las interfaz, para
conocer las direcciones IP que ya estn asignadas, para conocer las direcciones MAC, para asignar
una segunda IP.

Le recomendamos utilizar el comando man ifconfig, desde knoppix, ya que est en castellano y por
que es muy til, tener la mxima familiaridad.

Para obtener informacin de la interface se utiliza ifconfig directamente.

directamente

Para asignar la direccin IP, se utiliza el comando ifconfig, el nombre de la interface y la mascara.

Existen algunas diferencias entre freeBSD y Linux.

En freeBSD, el sistema donde corre imunes, las interfaces, se designan con unas letras,
que tienen que ver con un cdigo asociado a la marca y un correlativo asociado,Por
ejemplo: xl0, lnc0.

En Linux, las interfaces se designan con eth y un correlativo, ejemplo eth0, eth0, eth1.

En freeBSD, las direcciones Ip y las mascaras, se expresan con una direccin IP notacion
decimal punto una barra y el numero de bits asociados a la red, ejemplo 201.20.2.1/24.,
en linux: la direccin IP y la mascara van en notacin decimal punto, ejemplo 201.20.2.1.
netmask 255.255.255.0

Prof. Andrs E. Castillo Octubre 2008

El comando ping y las pruebas de conectividad

La conectividad para nosotros, va a ser la posibilidad de comunicacin plenas entre maquinas, en

ausencia de elementos de bloqueo tales como los firewalls.

Las pruebas de conectividad son bsicas, tanto en el contexto de estas practicas, como en el contexto
de situaciones reales.

Una de las herramientas mas accesibles, tiles y facil de usar, en el mundo de las redes, es el comando
ping, con este comando, se puede lanzar un ping, desde cualquier maquina a cualquier, maquina, y si hay
respuesta, entonces existe comunicacin entre las dos maquinas, y la comunicacin es bidireccional, ya
que el proceso del ping, implica el lanzamiento de una trama de peticin de respueta (request) y una
trama de repuesta (replay), le recomendamos utilizar en knoppix, el comando man ping, ya que este
est en castellano, y le permitir saber como modificar el comportamiento de este comando, como por
ejemplo, limitar el nmero de tramas, de request, aumentar o disminuir el tamao de la carga que lleva
la trama.

IMPORTANTE
En estas practicas, le pediremos que asegure, la conectividad de la red.

Esto va a implicar, que ud realice la configuracin de todas las interfaces, asigne todas las
direcciones de compuertas predeterminadas o de default, se asegure que los ruteadores
estn activos, que todas las maquinas en cada red, pertenecen a esa red.

La prueba de conectividad,
conectividad que usaremos siempre,
siempre la haremos a travs del comando ping,
ping
deberemos lanzar entre comando, en todas y cada una de las maquinas, para asegurarnos
que las maquinas se comunican entre s.
 Monitoreando la red.

Como cualquier otra disciplina tcnica, se requiere del monitoreo de las actividades y medicin de los
pparmetros de inters.

Es importante que el practicante de redes, se acostumbre a usar monitores de actividad, nosotros tendremos a
disposicin dos de ellos, tcpdump y ethereal. La diferencia fundamental, es que el primero, es un comando
orientado a consola y ethereal es un programa con interfaces grfica muy amigable al usuario, sin embargo las
limitaciones, de memoria, que puedan tener las maquinas donde actuemos, nos obligarn a usar el comando
tcpdump.

tcpdump

ethereal

tcpdump,
d tiene
i varias
i opciones,
i le
l recomendamos
d las
l opciones
i i,
i n, x e que son para elegir
l i lal iinterface,
f lla
eliminacin de requisicin de nombre de dominio, imprimir el paquete en forma hexadecimal y agregar la
cabecera de enlace de datos.|
Ejemplo, monitoreando con tcpdump desde eth0
tcpdump x n i eth0

Prof. Andrs E. Castillo Octubre 2008

 Asignar direcciones, lanzar ping y monitorear.

Consola de comandos

Caja de dialogo asociado a la maquina virtual

Propsitos
Utilizacin de la caja de dialogo de la maquina virtual.
Utilizacin de ifconfig para asignar direcciones IP.
Activacin de un ethereal, (ethereal es un monitor de red, con interface grfica de usuario), para monitorear
la actividad de la red.
Utilizar tcpdump para monitoreo de la red.
Lanzar el comando ping, para pruebas de conectividad.

Elementos de la practica
Una PC
Un CD-Live de imunes
2 PC virtuales.
Comando ifconfig
Comando tcpdump
Comando ping
El software ethereal.

Procedimiento
Lanzar imunes.
Utilizar dos maquinas virtuales (modo edit).
Unir las maquinas con un link.
En el men view desactivar la presentacin de direcciones IP.
Pasar a modo, execute.
 Asignar las direcciones IP 200.10.2.1/24 y 200.20.2.2, utilice ifconfig.
En pc0 ifconfig eth0 200.10.2.1/24
En pc1 ifconfig eth0 200.10.2.2/24
Abrir una consola en pc1, y lanzar el comando tcpdump x n i eth0
Abrir la caja de dialogo asociado con pc1 y lanzar ethereal.
Abrirle una consola a pc1, y lanzar un ping a la maquina pc2.
Desde pc0: ping 200.10.2.2
Observe las lecturas de la consola desde donde se lanz ping en pc1, la ventana grfica de ethereal y la
ventana tcpdump.
Tenga en cuenta que la palabra request, podemos interpretarla como solicitud y la palabra reply, como
respuesta. Utilice
U ili esta conocimiento,
i i para ddeducir,
d i utilizado
ili d ethereal
h l y tcpdump,
d quien
i llanz ell ping.
i

El ping se lanza desde pc0, hacia pc1

Podemos desactivar una interface, con el comando ifconfig y con la opcin down, en pc1 utilice este
comando: ifconfig eth0 down, y note como desaparecen las tramas replay, porque la interface no
responde. Para activarla simplemente utilice ifconfig eth0 up
 TIPS
ifconfig permite conocer varios parmetros de la interface, como son la direccin MAC, la direccin IP, la
mascara de red, el estado de la interface (UP o DOWN), incluso, las direccin bajo el protocolo IPv6, y
tambin el parmetro MTU, que se corresponde con la mxima carga en Bytes que la interface puede
transmitir o recibir.

A
Acostmbrese
b a usar ifconfig
if fi

Conectividad y pruebas de conectividad

Para los propsitos de estas practicas, la conectividad es la condicin de que puede haber comunicacin,
realmente la conectividad es con relacin a dos mas maquinas, decimos que hay conectividad entre una maquina
A y otra B, si puedo comunicarme via red, entre esas dos maquinas.
Para las pruebas de conectividad, utilizaremos el comando ping, ya que nos indica si dos maquinas pueden
comunicarse, sencillamente utilizando el comando ping y la direccin de la maquina, con quien queremos saber
si existe conectividad.

Actividades
Monte esta practica, siguiendo todos los pasos.
Elabore una breve resea de la practica y su montaje y agrguele sus comentarios, sus conclusiones y sus
recomendaciones.
recomendaciones
Anlisis de tramas

Montaje 1

Objetivo
Reconocer los cabeceras ethernet e IP de una trama TCP/IP.
Comparar
C ethereal
th l y ttcpdump
d

Elementos
Imunes
2 PC
Ethereal.
Tcpdump con las opciones xx nn ee

Procedimiento

Utilice dos computadoras, como en el esquema 1.

Active en la computadora PC1 el comando: tcpdump x e n
A ti en PC1,
Active PC1 ethereal.
th l
Lance desde PC0, un ping, utilizando la opcin c 1, para que solo se envie una sola trama (ping c 1
10.0.0.21).

Actividad
Identifique cabeceras y campos de ethernet y de IP.
Compare la data que ofrece ethereal y la que ofrece tcpdump.
tcpdump
Haga su informe.
 Bsico con maquinas reales
Propsitos de esta practica

Utilizar Linux, a travs de knoppix, una distribucin Linux-Debian.

Conectar dos maquinas utilizando cables cruzados.
Utilizar ifconfig.
Utilizar ethereal en knoppix, para monitoreo de actividades.
Utilizar tcpdump para monitoreo de actividades
Utilizar ping para comprobar conectividad.

La utilizacin de knoppix, no es obligatoria, cualquier maquina en linux o en windows

puede servir; sin embargo es conveniente mantener la uniformidad en las practicas, sobre
todo en futuras practicas, donde no tendremos garanta de contar con los mismos
programas.

Elementos de la practica
2 maquinas PC, con tarjetas ethernet.
1 cable cruzado.
Comandos
d ifconfig,
f f ping y tcpdump.
d
Programa ethereal.

Procedimiento
Conecte las dos maquinas, como lo muestra la figura superior.
Utilice cable cruzado,
cruzado para la interconexin.
interconexin
Asigne las respectivas direcciones IP a cada maquina,.
Abra dos consolas por cada maquina, en una de las consolas utilice el comando tcpdump, en la
otra utilice el comando ethereal&
Lance un ping desde la maquina 134.2.3.1 hasta 134.2.3.5.
Compruebe conectividad en tcpdump y en ethereal.
 Bsico con maquinas reales y
virtuales.

Elementos a utilizar en las practicas.

1 PC con imunes.
imunes Ifconfig se utiliza con ligeras diferencias en
1 PC con Knoppix imunes y en knoppix.
En imunes:
tcpdump, para usar en Imunes ifconfig ethx A.B.C.D/N
Ethereal, para usar en Knoppix. En Knoppix
ifconfig ethx A.B.C.D netmask M.M:M.M
Ifconfig, para asignar direcciones IP. Ejemplo con IP: 200.30.1.1
200 30 1 1 mscara 255.255.255.0,
255 255 255 0
Ping, para comprobar conectividad. en eth0.
En imunes:
ifconfig eth0 200.30.1.1/24
Procedimiento
En Knoppix
En imunes: ifconfig eth0 200.30.1.1 netmask 255.255.255.0
Utilizar
U ili PC y conector RJ45.RJ45
Con una consola principal, utilizar ifconfig, para averiguar los nombres con que el sistema
operativo freeBSD, denomina a las interfaces.
Si existe mas de una tarjeta de red, en general, el orden va de izquierda a derecha, con la maquina
vista desde atrs, es decir eth0 a la izquierda y eth1 a la derecha.
Sobre el icono de RJ45, coloque el ratn y pulse el botn derecho, y utilice la caja de dialogo
configure para darle nombre a la interface.
interface
Tambin es aconsejable, le asigne una direccin IP, a la tarjeta real, usando la consola principal y el
comando ifconfig (por ejemplo ifconfig lnc0 200.34.5.1/24, esto es necesario para activar la
tarjeta, pero no afecta para nada, las IP que utilice programa imunes.
En Knoppix.

Asignar
g una direccion IP, a la maquina Knoppix, que pertenezca a la misma red, que la maquina Imunes.
Interconectar, via cable cruzado, las maquinas imunes y Knoppix.
Abrir tcpdump n t, en una consola de PC1 en imunes.
Abrir ethereal, desde consola raiz, en Knoppix.
Lanzar un ping desde Knoppix a PC1 en imunes,
Comprobar respuesta y lecturas en tcpdump y en ethereal.
Para el ping, (via ctrl C).
Enviar un ping ddesde
d PC1 Imunes a Knoppix.

Para imunes utilice la IP 200.30.45.2/24.

ifconfig eth0 200.30.45.2/24

Imunes opera sobre el sistema operativo FreeBSD, este

sistema nombra las interfaces,
sistema, interfaces con una clave de 2 o 3
letras que identifican a la marca y un nmero que
identifica el nmero de la interface, ejemplo lnc0, lnc1,
rl0, rl1.

Para Knoppix, utilice la IP 200.30.45.3/24

ifconfig eth0 200.30.45.3 netmask 255.255.255.0

Anlisis y conclusiones

Es importante que haga una breve resea de esta experiencia y le agregue sus comentarios, conclusiones y
recomendaciones
Concentradores
y
Conmutadores

Los elementos bsicos para interconectar computadoras

Practica
Comparacin
Concentrador y Conmutador.
Objetivo de la practica Montaje Parte 1.
La practica tiene como objetivo, princi-pal que el Modo edit: Escoja un concentrador y tres PC, y una
estudiante, pueda conocer como funcionan un cada PC con el concentrador.
concentrador y un conmutador. Modo exec: Pase al modo PC.

PARTE 1: El concentrador
Duracion: 30 minutos.
Herramientas
Una PC
CD-Live Imunes.
Programa ping.
Programa tcpdump

Preliminares

Si ud coloca el cursor sobre una PC (imunes en modo

exe) y oprime (el botn derecho del ratn, aparecer
una consola, desde donde UD. Podr lanzar los
comandos
d que requiera (ping, tcpdump,
d su, etc).
Utilice inmediatamente de abrirse la consola, el
comando su, para disponer de una memoria de los
ltimos comandos utilizados, lo que ahorra mucho
tiempo.

tcpdump

tcpdump, es un programa para capturar tramas, lo utilizaremos en lugar de ethereal, proponemos su

utilizacin en estas practicas, porque las computadoras que disponemos, no tiene memoria sufi-ciente
ppara soportar
p la operacin
p de ethereal.
En general utilizaremos a tcpdump, con los parametros n y t, es decir:
tcpdump n -t

Prof. Andrs Castillo

Tramas

La informacin, en Ethernet, se transmite

fragmentada, cada fragmento al que lla-mamos
trama, tiene un mnimo de 60 by-tes y un mximo
de 1500 bytes.

En cada trama, no solo va la informacin til, tambin va informacin de control.

Las tramas, se representan en agrupaciones de 8 bits, cada uno de estos octetos, se traducen
de binario a hexadecimal.
Nos interesa en esta practica,
practica los primeros 14 bytes,
b tes de la trama,
trama que son informacin
agregada por los protocolos Ethernet.
En los bytes del 1 al 6, va la direccin MAC de destino.
En los bytes del 7 al 12, va la direccin MAC fuente.
En los bytes 13 y 14, va la informacin del protocolo.
Solo dos protocolos nos interesan, en estas practicas: El que es identificado con 0800,
que significa que estamos frente a una trama IP y el que es identificado con el valor
0806, que significa que esta activo el protocolo ARP, que es un protocolo que tiene
como funcin enlazar la direccin MAC.
Las otras cabeceras las iremos estudiando en las prximas practicas.

Direccin y mascara IP

Ifconfig permite conocer las direcciones MAC e IP.

El protocolo ARP,
ARP se utiliza para relacionar un direc-cin
direc cin lgica
Direccion MAC (IP), con una direccin fsica (MAC).

Prof. Andrs Castillo

Procedimiento parte 1

brale consolas a PC1 y a PC2.

En la consola de PC2 y PC3, lance el programa tcpdump n t.
Desde la consola de PC1, lance el programa ping con la direccin IP de PC3.

Tome nota de los resultados obtenidos en la consola de PC1.

Tome nota, de los resultados obtenidos en la consola de PC2 y PC3,
Se parecen los resultados en PC2 y en PC3.
En PC2 y PC3, son diferentes las dos primeras tramas de las restantes?
Que informacin obtiene de estas ventanas.
ventanas

Parte 2. Duracin aproximada: 25 minutos

Montaje part 2

Utilice un conmutador (switch), con-figure

en el modo edit y luego pase al modo exec.
Guese por la figura de la izquierda.

Procedimiento parte 2
brale consolas a PC1,
PC1 a PC2 y a PC3
PC3.
En la consolas de PC2 y PC3, lance el programa tcpdump n t.
Desde la consola de PC1, lance el programa ping con la direccin IP de PC3.

Tome nota de los resultados obtenidos en la consola de PC1.

Tome nota,
nota de los resultados obtenidos en la consola de PC2 y PC3
PC3,
Se parecen los resultados en las consolas de PC2 y PC3
En PC2 y PC3, son diferentes las dos primeras tramas de las restantes?
Que informacin obtiene de estas ventanas.

Anlisis y conclusiones
Elabore y entregue un breve informe, donde aparezcan los montajes, sus anlisis y conclusiones,
y debe entregarlo antes del final de la sesin de laboratorio.

Prof. Andrs Castillo

Simulando un switch con puerto de monitoreo

Elementos:
4 maquinas virtuales. Duracin: aproximadamente 20 minutos.
3 switch.
1 concentrador
1 imunes
1 maquina real.

Objectivo:
Simular la operacin de un switch o conmutador, con puerto de monitoreo.

Los switcher,, comunes,, ppermiten la conexin directa entre ppuertos,, y esto redunda en un aumento del
trfico en la red, algo que es positivo; sin embargo, los dispositivos de monitoreo quedan restringidos en su
alcance.
Con la conexin que se sugiere, PC4, PC5 y PC6, ven un switch y por lo tanto, cada una de estas
maquinas solo vern tramas broadcast ARP y tramas que tengan como destino, la respectiva direccin IP. Sin
embargo, MONITOR, ver todas las tramas.
Utilice, tcpdump n, en PC5, PC6 y MONITOR, lance un ping desde PC4 a PC5, y luego de PC4 a
PC6, observe las salidas en los diferentes tcpdump de PC5, PC6 y MONITOR y si est trabajando con ms
de 128 MB de RAM, utilice tambin a ethereal.
 Practica integrales

Activacion Router
en
maquinas
q linux y freebsd
El router es a las redes, como un distribuidor es al sistema vial, UD se cambia de vas, es a
travs de un distribuidor, un viaje largo implica tomar distintos caminos, el pase de un
camino a otro, de una va a otra, es a travs de un distribuidor.

De la misma forma una trama sale de una maquina que pertenece a una red, hacia otra
maquina que pertenece a otro red, d eso significa,
f que la
l trama deber
d b cambiarse
b por lo
l
menos una vez, de red. Cada pase de una red a otra implica pasar por un router, el cual toma
la trama por una de sus interfaces y la libera en otra de sus interface, cada interface del
router debe pertenecer a una red diferente.

andrs e. castillo r.
Activar una computadora Linux como Router

Knoppix

10.0.0.1 10.0.1.1
255.255.255.0 255.255.255.0

fig 1
Objetivo de la practica.
Activar una maquina Linux como router.
Utilizar analizadores de protocolos, en el manejo de pruebas en redes.

Activar una computadora Linux como Router pag 1

Elementos de la practica.
Equipamiento
Una maquina con Linux.
Una maquina con imunes.
4 Maquinas virtuales.
2 concentradores.
2 cables cruzados UTP de interconexin.
Comandos
ifconfig - para asignar direcciones ip tanto en imunes como en knoppix.
route - para asignar compuerta por defecto, a las maquinas imunes.
netstat r para comprobar la tabla de rutas.
sysctl w para ajustar el flag de ruteo, en la maquina linux.

Analizadores
Ethereal tcpdump, dependiendo de la memoria disponible.

Notas
Ifconfig, funciona ligeramente distinto en linux y en FreeBSD (sistema operativo, donde acta imunes.
Por ejemplo para asignar IP: 20.0.0.1 mascara 255.255.255.0
En Knoppix: ifconfig 20.0.0.1 netmask 255.255.255.0
En imunes: ifconfig 20.0.0.1/24.

Montaje
El montaje es como el de la fig.1.

P
Procedimiento
di i t
Conectividad
Para asegurar la conectividad, tiene que comprobar que ud puede lanzar ping, entre las maquinas de la
misma red y en este caso tambin, con la maquina knoppix.
Para asegurar que cuando deseamos lanzar tramas, a maquinas fuera de la red a la que pertenece
nuestra maquina, es necesario, que exista la asignacin de compuerta predeterminada, que en esta
caso ser la direccin IP, que le presenta el router a cada red.
La asignacin de compuerta por defecto, se hace con el comando route, ejemplo de asignacin de
compuerta predeterminada o por defecto para la maquina pc0:
En pc0: route add default gw 10.0.0.1
Este mismo procedimiento, debe hacerse para todas y cada una de las maquinas que no sean router.

Activar una computadora Linux como Router pag 2

Activando la capacidad de ruteo en la maquina knoppix.
Para que una computadora, pueda actuar como router, se requiere que tenga instalado el flag de
ruteo.
ruteo
La activacin del flag de ruteo, en una maquina Linux, se hace, con el comando sysctl w
net.ipv4.ip_forwarding=1
ip_forwarding, es el flag de ruteo, cuando vale 1, la maquina acta como ruteador, cuando es cero, la
maquina se comporta como una maquina simple.

Pruebas
Despus de asegurarse la conectividad en cada una de las redes del montaje, active ethereal o
tcpdump, en cada lado.
Asegrese con sysctl w net.ipv4.ip_forward=0, que knoppix no pueda rutear.
Lance un ping de pc0 a pc2,
pc2 y compruebe que si el ping sale de la maquina y si el ping atraviesa al
router.
Cambie el flag de ruteo a 1, con sysctl w net.ipv4.ip_forward=1.
Examine el analizador de protocolos.

Activar una computadora Linux como Router pag 3

Activacin de Router en Maquinas Virtuales

Fig 2.

Objetivo de la practica.
Activar una maquina virtual como router.
Utilizar analizadores de protocolos, en el manejo de pruebas en redes.

Elementos de la practica.
Equipamiento
Una maquina con imunes.
4 Maquinas virtuales.
2 concentradores.

Activacin de Router en Maquinas Virtuales pag 1

Comandos
ifconfig - para asignar direcciones ip imunes.
route - para asignar
i compuerta por ddefecto,
f a llas maquinas
i imunes.
i
netstat r para comprobar la tabla de rutas.
sysctl w para ajustar el flag de ruteo, en la maquina virtual imunes.

Analizadores
Ethereal tcpdump,
p p, dependiendo
p de la memoria disponible.
p

Nota:
Ifconfig, funciona ligeramente distinto en linux y en freeBSD (sistema operativo, donde actua imunes. Por
ejemplo para asignar IP: 20.0.0.1 mascara 255.255.255.0
En Knoppix: ifconfig 20.0.0.1 netmask 255.255.255.0
En imunes: ifconfig 20.0.0.1/24.

Montaje
El montaje es como el de la fig.2.

Procedimiento
Conectividad
Para asegurar la conectividad, tiene que comprobar que ud puede lanzar ping, entre las maquinas de la
misma red.
Para asegurar que cuando deseamos lanzar tramas, a maquinas fuera de la red a la que pertenece nuestra
maquina, es necesario, que exista la asignacin de compuerta predeterminada, que en esta caso ser la
direccin IP, qque le ppresenta el router a cada red.
La asignacin de compuerta por defecto, se hace con el comando route, ejemplo de asignacin de
compuerta predeterminada o por defecto para la maquina pc0:
En pc0: route add default 10.0.0.22
Este mismo procedimiento, debe hacerse para todas y cada una de las maquinas que no sean router.

Activando la capacidad de ruteo en la maquina virtual.

Para que una computadora, pueda actuar como router, se requiere que tenga instalado el flag de
ruteo.
La activacin del flag de ruteo, en una maquina virtual, de imunes, se hace, con el comando:
sysctl ww net.inet.ip.forwarding
net.inet.ip.forwarding=11
Ip.forwarding, es el flag de ruteo, cuando vale 1, la maquina acta como ruteador, cuando es cero,
la maquina se comporta como una maquina simple.
 Pruebas
p de asegurarse
Despus g la conectividad en cada una de las redes del montaje, active ethereal o
tcpdump, en cada lado.
Asegrese con sysctl w net.inet.ip.forwarding=0, que la maquina virtual no pueda rutear.
Lance un ping de pc0 a pc2, y compruebe que si el ping sale de la maquina y si el ping atraviesa al
router.
Cambie el flag de ruteo a 1, con sysctl w
w net.inet.ip.forwarding
net.inet.ip.forwarding=11

Examine el analizador de protocolos.

Se espera un informe, con montaje, comentarios, conclusiones y recomendacio-

nes.

Activacin de Router en Maquinas Virtuales pag 3

VLAN Duracin: 20 minutos.

Configurar una red local virtual VLAN.

Elementos: 5 Maquinas Virtuales 1 Conmutador Virtual

1 Imunes 1 computadora real.
Comandos a utilizar.
Para asignar IP: ipconfig ethx A.B.C.D/N
para asignar una segunda IP a la misma ethx: ifconfig ethx E.F.F.H/N alias
Para asignar ruta por default: route add default A.B.C.D
Para ver la tabla de rutas estticas: netstat finet r
Para que una maquina se vuelva router: sysctl w net.inet.ip.forwarding=1

Estrategia bsica:
Configurar una maquina como router y asignarle dos IP a la misma Tarjeta de Red, a las
demas maquinas, de la red, asignarle como ruta de default, la IP del router, que se
corresponda con su respectiva direccin de red.
Para Router: agregarle la IP 50.0.0.21, con ifconfig eth0 50.0.0.21 alias
volverlo router: sysctl w net.inet.ip.forwarding=1
P PC0 y PC2:
Para PC2 routet adddd default
d f lt 10
10.0.0.21
0 0 21
Para PC1 y PC3: route add default 50.0.0.21

Pruebe utilizando ping entre maquinas de diferentes direccion de red.

 Modulo III
Los servicios Generales de Internet

DHCP
DNS
NAT
HTTP
FTTP
INET
PROXY
VPN
Los servicios en Internet, se basan en servidores y estos servidores, requieren de clientes que le reclamen
servicios, nos encontramos con una relacin asimtrica: la arquitectura cliente servidor y en determinados
pprotocolos, qque rigen
g el comportamiento
p de los programas
p g de estos dos elementos

La arquitectura Cliente-Servidor
En internet la funcionalidad es distribuida, y es asimtrica, se reparte, en programas que fungen como
peticionarios de servicios y como programas que actan prestando el servicio.
Aunque perfectamente, pueden coexistir programas clientes y servidor en una misma maquina, lo normal
es que los clientes estn en maquinas separadas en una misma localidad o geogrficamente, y sean muchos y
que el servidor sean menos y por lo general tengan respaldo, de manera que si dejan de prestar servicios,
sean relevados automticamente.

Entre los diferentes tipos de servicios, que se prestan en internet, podemos identificar algunos que son
muy comunes, tales, como DHCP, DNS, NAT, HTTP, FTTP, SNMP, PROXY, dejaremos otros servicios
para describirlos en la seccin servicios Intranet.

De los servicios que nombramos anteriormente, algunos son de infraestructura y otros son de manejo de
contenidos;

Servicios de Infraestructura
Entre los de infraestructura tenemos a DHCP, a DNS y a NAT; DHCP asigna direcciones IP a la demanda,
DNS traduce direcciones de nombre de dominio
dominio, NAT traduce direcciones IP privadas a pblicas y
viceversa.

Servicios de manejos de contenidos

Entre los servicios de manejo de contenidos, tenemos a HTTP, FTP, SMP; HTTP entrega paginas web a la demanda, ftp
transfiere
f archivos a o desde el servidor , SNMP transporta p correos electrnicos. Hoyy ppor hoy,
y estos tres servicios son la
base de la utilizacin masiva de Internet. Existen otros servicios, que cada vez tienen mas importancia, que van desde
video a la demanda, voz sobre IP, servicios de transferencia de archivos entre iguales (P2P) y muchos mas, este manual se
involucrar solo con los servicios clsicos de Internet buscando que sus usuarios desarrollen una idea completa, funcional
y operativa de Internet, que sirva como base ulteriores ampliaciones de este conocimiento, en las reas de los nuevos
servicios.
Montando BIND en Knoppix
para servicio DNS en IMUNES
S id BIND9
Servidor
Servicio de nombres
Lanza el demonio named

Red: 192.160.0.0
Masc. 255.255.255.0

dns
192.168.0.3

Fig 1 Montaje

Nombre completos de las maquinas e Ip asignadas

est01.telecom.net.ve 192.168.0.1
est02. telecom.net.v 192.168.0.2
dns. telecom.net.ve 192.168.0.3
www. telecom.net.v 192.168.0.4

Objetivo de esta practica

Familiarizar al participante con los servicios de nombre de dominio.
dominio
Que el participante emule una red que tenga dos servicios, dns y http. De manera que pueda
acceder a un servicio de pagina web, utilizando un navegador , que en nuestro caso es links y
nombre de maquinas en vez de direcciones IP.
Estrategia

Hacer que el participante instale una configuracin especifica,

especifica siguiendo una serie de
instrucciones concretas de manera que pueda llegar a utilizar un servicio de paginas web y un
servicio de nombre de dominio.

Nota:
En esta practica ud, utilizar el editor de texto vi; se invoca en la consola como:
sudo vi nombre-archivo-a-modificar.
Para comenzar a modificar, agregar texto, utilice antes la tecla INSERT.
Cuando haya terminado y quiere salir del editor, pise la tecla ESC, luego :wq
los dos puntos indican que viene un comando de editor, la w, quiere decir que escriba las
modificaciones y la q, que salga del editor, si quiere salir sin modificar, pulse ESC :q

Ud utilizar en estas practicas a knoppix 4.02

Configurar el servidor dns.

Deben modificarse, los siguientes archivos, en la maquina denominada dns:

/etc/bind/named.conf /etc/bind/named.conf.local

Adems hay que agregar el archivos /etc/bind/named.conf.local, con la informacin que se detalla
mas adelante.

Para modificar los archivos named.conf, named.conf.local; utilizar el editor vi

Para named.conf:
sudo vi /etc/bind/named.conf
Para named.conf.local:
sudo vi /etc/bind/named.conf.local
 Para utilizar comandos de administrador como ifconfig
1. Anteponer la palabra sudo
2. utilizar una consola raiz.

Gestin interfaces de red en knoppix.

1. Para averiguar las interfaces:
Ifconfig -a
g interfaces:
2. Para asignar
sudo ifconfig etX Y.Y.Y.Y netmask X.X.X.X
3. Para eliminar interfaces:
sudo ifconfig etX delete
4. Para desactivar una interface
sudo ifconfig etX down
5. Para activar una interface
sudo ifconfig etX UP

Nota:
Esta practica, utiliza el paquete Bind9, que lanza el servicio de
nombre de dominio, cuyo demonio es deno-minado named.
Bind9 es uno de los paquetes ms utilizado en el mun-do Internet,
su utilizacin sobrepasa el 60% de las ma-quinas DNS del mundo.
Configurando a est01, est02 y www, para resolucin de
nombres.
nombres
Debe crear en los archivos temporales asociados con las maquinas virtuales imunes, un directorio
etc y un archivo resolv.conf.
El directorio se crea con mkdir, as por ejemplo, si el diretorio temporal de est01 fuese e0_n1,
entonces, ud haria mkdir /tmp/etc
El archivo lo puede crear con vi, por ejemplo:
vi /tmp/e0_n1/etc/resolv.conf
Coloque el siguiente comando y salga de vi.
nameserver 192.168.0.3
H l para est01,est02
Hgalo 01 02 y www

Configurando al servidor de pagina web, (la maquina www)

El servidor
d http,
h busca
b los
l archivos
h html,
h l en /usr/local/www,
/ /l l/ compruebeb que este directorio
d
alberga un enlace simbolico al directorio, de la maquina virtual, donde est el servidor dhhtpd
que este invocando esta pagina.
Si el enlace existe, ud podr comprobarlo, haciendo:
cd /usr/local/www y luego ls l.
Si aparece data -> /tmp/@/www, existe el enlace y siga adelante.
Si no aparece: cree el enlace simbolico con:
ln s data /tmp/@/www
Utilice vi o nedit, segn lo permita la versin de imunes con que est trabajando, para crear y
colocar una pagina web, ver fig. 2
Lance dhttpd, a travs de una consola de www.

<HTML>
<HEAD>
<TITLE>
PRUEBA CON EL SERVIDOR WWW
</TITLE>
/TITLE
</HEAD>
</BODY>
ESTA PAGINA ES PARA PROBAR EL SERVICIO HHTP

Fig 2 Contenido de index.html

Experimente
Acurdese de activar ethereal y monitorear las tramas.
Lanzar un ping desde est01 a est02, utilizando los nombres completos.
ping est01.telecom.net.ve
ping www.telecom.net.ve
ping dns.telecom.ve

Monitorear con ethereal o con tcpdump

Observa las tramas dns? Estas son tramas de consulta que est01 le lanza a la maquina dns, para
que el dns, le conteste cual es la ip asociada a este nombre (est02.telecom.net.ve).

Desde est011 y est2, utilizar el navegador links, y comunicarse con la maquinas www.telecom.net.ve
M
Monitorear con ethereal
h l o con tcpdump
d

Discusin de Grupo

Que es un servicio de nombre de dominio.?

Que es un nombre de dominio.?
dominio ?
Que hace el programa bind.?
Que es un servicio HTTP.?
Que hace el programa Apache?
Que es el servicio SYSLOG?
 2. Configurar direccin IP de la compuerta por defecto.
1. Sea y.y.y.y la direccin IP del router.
2. Utilizar sudo route add default ggw yy.y.y.y
yyy
3. Comprobar utilizando netstat r, para ver en la tabla de ruteo, si la ruta
de default es la correcta.
3. Configurar la direccin IP del servidor de dominio.
1. Sea z.z.z.z, la direccin del servidor dnsTel.
2. Utilizaremos el editor vi, para cambiar el archivo resolv.conf, que es en
d d se aloja
donde l j lla di
direccin
i IP ddell servidor.
id
3. El archivo resolv.conf, se encuentra en el directorio /etc
4. Utilizar suod vi /etc/resolv.conf
5. Utilizar la tecla insert, para llevar el editor vi al modo edicin.
6. Modificar el contenido del archivo para que quede la siguiente lnea:
nameserver z.z.z.z
7. Para terminar pulse la tecla ESC y luego :wq
8. Compruebe con cat /etc/resolv.conf
8. Abrir ethereal en la maquina dnsTel y en Knoppix y ajustarlo en modo captura.
9. Estando ya configurada la maquina Knoppix y conectada a la red virtual de imunes,
abrir Konqueror y utilizar http://www.tel.fr.hr.
10. Comprobar que se abri una pagina web y asegurarse con ethereal de que se hicieron
consultas DNS a la mquina dnsTel.
11. Sea y.y.y.y la direccin IP de la mquina www
12. Cerrar y abrir Konqueror y lanzar http://y.y.y.y
13. Comprobar si se abri la pgina web de www, y de si se hicieron consultas DNS al
servidor
id dnsTel
d T l u otro
t servidor.
id
14. Intente abrir con el navegador cada uno de los servidores, pero utilizando la direccin
IP en vez del nombre de dominio.

Prof: Andrs E.Castillo

HTTP en una red con servicio DNS

Figu 1: Ordenador real conectado a la red virtual imunes.

Materiales

2 ordenadores
1 CD-Live de Knoppix
1 CD-Live de imunes.
1 cable crossover.

Descripcin de la practica

Se trata de integrar un ordenador real, a la red virtual de imunes de la figura 1. El ordenador real
utilizar knoppix, se configurar, para que pueda ser una maquina ms de la red local, en donde est la
maquina mm, con el mismo servidor dns y la misma direccin de compuerta predeterminada que tiene
la maquina mm.
Se activarn, utilizando el script start_www, dos servidores http, denominados www y zpmMail,
cuyos
y nombre de dominio completo p son www.tel.fr.hr y zpmMail.zpm.fer.hr.
p p
Desde knoppix, podr activarse el navegador Konqueror o el Mozzila Firefox, y a traves de
http://www.tel.fr.hr, acceder a una pagina web del servidor www.

Prof: Andrs E.Castillo

 rl0

Fig 3 Detalle de la figura, con el agregado de un conector RJ-45.

Instrucciones
Al esquema de la figura 1, agregarle un conector RJ-45, el cual enlazar, con una tarjeta de red de la
maquina, que soporta imunes.
Asegrese, con imunes est en el modo execute.
Abra
b una consola l principal,(XTERM).
l
Cmbiese con el comando cd, al directorio en donde estn los scripts, start_dns, y start_www.
cd EXAMPLES/mm/DNS
Lanzar los servidores DNS, a travs del script start_dns
Lanzar el servidor de paginas web (httpd), a travs del script start_www.
Instalar Knoppix en un 2do ordenador, y conectar a travs de un cable crossover, ver fig. 2.
Configurar en knoppix; la direccin IP,
IP la mscara,
mscara la direccin IP de la compuerta por defecto y la
direccin IP del servidor de dominios DNS.
Configurar IP en Knoppix.
Sea x.x.x.x una IP adecuada para conectarse a la red donde opera mm.
Sea m.m.m.m la mscara de esa red.
Sea ethx la interface que se utilizar en knoppix.
Utilizar sudo ethx x.x.x.x netmask m.m.m.m
Probar lanzando un ping con el IP de la maquina mm.

Utilice un ethereal en la maquina www de la red 10.0.9.0 y otro en la maquina dnsTel.

Compruebe que cuando se solicita a www.tel.fer.hr, se genera una trama hacia el servidor
dns y luego las tramas se dirigen a la maquina www.
Compruebe que el protocolo de transporte es TCP.
Compruebe que el puerto de escucha de la maquina www, es 80.

Informe
Resea + comentarios + conclusiones + recomendaciones.
Prof: Andrs E.Castillo
inetd Poniendo en evidencia como trabaja inetd
15 minutos

Fig 1. montaje

Fig 2. inetd.conf

Inetd es un proxy de servidores, es decir el atiende las llamadas al servidor y lo despierta. El servidor realiza el servicio y se vuelva
a dormir.
Para que inetd reaccione cuando se requiera algn servicio en particular, el servicio debe aparecer en su archivo de configuracin
(inetd.conf), por lo general en este archivos estn todos los servicios, y la activacin para inetd, requiere que la lnea donde aparece
el servicio, no este comentada.
Requerimientos:
1 CPU, 1 imunes comandos ftp y top.
Pasos:
Montar el circuito de la figura: un servidor y un PC, y active la simulacin (botn execute), abrale una consola al servidor y con
el comando top, compruebe que esta activo, el demonio inetd.
Compruebe que el servicio ftp, esta activo para inetd, ver archivo de configuracin inetd.conf, si aparece el signp #, eliminelo.
Lance desde la pc, el comando ftp con la direccin ip del servidor, para el caso de la figura 1, sera:
ftp 10.0.0.10
Compruebe en la consola abierta en el servidor y donde se activ el comando top, que aparece el demonio
ftpd, y en la consola de la pc, haga control-c y verifique que en la consola del servidor en la salida top,
desaparece del listado el ftpd, es decir que se desactiva, reptalo por lo menos una vez ms, hasta confirmar que
el ftpd se activa solo temporalmente. Desactive inetd, con kill, en este caso kill -9 4537 (4537 es el nmero que
identifica a inetd), y repita estos pasos.
SQUID un proxy WEB
Objetivo
Aprender Proxy WEB a travs de practicas de Instalacin, configuracin y monitoreo de Squid.

Montaje 1 Duracin aproximada: 40 minutos.

Requerimientos:
3 Computadoras,1 Imunes, 2 Knoppix, 2 cables en crossover

Cliente WEB
Knoppix
Firefox o Konqueror
q

Servidor Proxy
Squid
Knoppix @IP: 10.0.20.6/24
Eth0: @IP: 10.0.9.5/24
Eth1:@IP:10.0.20.1/24
@DNS: 10.0.9.2/24
10 0 9 2/24
Maquina Imunes. @IP compuerta:
Instalar Imunes. 10.0.9.1
Modo Edit.
Abrir archivo y conectar con tarjeta ethernet real:
Abrir el archivo DNS.imn.
Instalar un conector RJ45.
Abra una consola principal y con ifconfig para conocer
las interfaces y los nombres que les asigna freeBSD.
Con la caja de dialogo configure, asgnele una interface
real al conector RJ45.
Conctese al concentrador.
Modo Execute
A
Activar DNS
DNS.
Cambie de directorio:
cd /mem/root/EXAMPLES/mm/DNS
Inicie DNS y HTTP con:
start_dns
start_www.

Prof. Andrs Castillo- 01

 Instalacin del servidor proxy
Conctese al concentrador
Instale knoppix
Utilice ifconfig para asignar la direccin IP de eth0:
sudo ifconfig 10.0.9.5 netmask 255.255.255.0
Utilice ifconfig para asignar la direccin IP de eth0:
sudo ifconfig 10.0.20.1 netmask 255.255.255.0
Utilice route para asignar la direccin IP de la com-puerta por
d f t
defecto:
sudo route add default gw 10.0.9.1
Para asignar la direccin del servidor de nombres utilice el
programa vi para colocar en el archivo resolv.conf, la siguiente Servidor Proxy
directiva: Squid
nameserver 10.0.9.2 Knoppix
eth0 @IP: 10.0.9.5/24
Haga pruebas,
pruebas utilizando el programa ping,
ping desde esta maquinas
eth1 @IP: 10.0.20.1/24
a por ejemplo la maquina mm de imunes, para as comprobar
@DNS: 10.0.9.2/24
que existe conectividad, tambin utilice nslookup, desde @IP compuerta: 10.0.9.1
Knoppix, para comprobar que el servidor de nombres de
dominio esta trabajando correctamente y con firefox abra la
pagina www.tel.fer.hr zpmMail.zpm.fer.hr, para
comprobar
p el funcionamiento de el servidor WEB.

Squid
Antes de lanzar Squid, primero, definamos las ip que pueden usar el servicio: Se logra en dos pasos:
Crear una lista.
Aplicarle a la lista una directiva, tipo allow.
Llamaremos a la lista clienteWeb y designaremos la maquina que puede tener acceso al servicio proxy a la
maquina 10.0.20.6, que es la maquina donde usaremos el explorador (Konqueror y/o Firerfox) y usaremos la
directiva http_access.
El archivo a modificar es squid.conf, ubicado en el directorio /etc/squid.
Las ordenes a insertar son:
son
lista de control: acl clienteWeb src 10.0.9.6/255.255.255.255
Directiva http_access: http_access allow clienteWeb
Utilice vi sobre el archivo squid config: sudo vi /etc/squid/squid.conf
Note q
que el archivo squid.conf,
q est internamente dividido en zonas: Localice la zona de acl y la zona de
http_acces, para insertar estas directiva.

Luego de modificado squid.conf. lanzar squid.

sudo /etc/init.d/squid start
Prof. Andrs Castillo- 02
 Para que el servidor squid, actue como proxi NAT:
iptables t nat A POSTROUTING o eth0 j SNAT MASQUERADE

Cliente WEB

Conecte la computadora al concentrador.

I l Knoppix.
Instale K i
Utilice ifconfig para asignar la direccin IP.
sudo ifconfig eth0 10.0.20.6 netmask 255.255.255.0

Lance un ping hacia mm, o hacia la maquina servidor squid, para

confirmar conectividad. Cliente WEB
Abra Firefox y/o konqueror,
konqueror y abra la pestaa prefe-rencia,
prefe rencia localice K
Knoppixi
configuracin para proxy y haga: Firefox o Konqueror
IP del proxy: 10.0.20.6
Puerto: 3128 @IP: 10.0.9.6/24

Compuerta por defecto

Utilice route para asignar la direccin IP de la compuerta por defecto:

sudo route add default gw 10.0.20.1

M it
Monitoreando
d Operacin
O i dde Squid
S id

Abra ethereal, en el servidor proxy, y en filtro coloque http, con el fin de ob-servar solo las
tramas de acceso a servicio WEB.
Abra desde firefox o Konqueror, las paginas www.tel.fer.hr y zpmMail.zpm.fer.hr
Compruebe con ethereal, las distintas acciones y el orden en que se comunican.
Con quien se comunica la maquina clienteWEB.?
De quien recibe la peticin los servidores.?
Medite las preguntas y las repuesta.

Prof. Andrs Castillo- 03

FTPd
Objetivo
Aprender FTP a travs de practicas de Instalacin, configuracin y monitoreo de ftpd.

Montaje 1 Duracin aproximada 25 minutos.

Requerimientos:
2 Computadoras,1 Imunes, 1 Knoppix, 1 cable cruzado (o 2 cables directos y concentrador)

Cliente WEB
Knoppix
Firefox o Konqueror

Concentrador

Fig Montaje Bsico

Maquina Imunes.
Instalar Imunes.
Modo Edit.
Abrir archivo y conectar con tarjeta ethernet real:
Utilizar PC y concentrador y conector RJ45.
Configurar conector RJ45:
Abra una consola principal y con ifconfig para conocer
las interfaces y los nombres que les asigna freeBSD.
Con la caja de dialogo configure, asgnele una interface
real al conector RJ45.
Conctese al concentrador.
Modo Execute
A
Activar FTP
Activar en PC, mediante consola a ftp, con:
/usr/libexec/ftpd D
Crear uno o varios usuarios con el comando adduser.

Fig.2 Detalle de montaje.

Prof. Andrs Castillo- 01

Knoppix
Configurar Knoppix, con direccion y mascara IP, adecuada para,
conectarse a la red imunes.
imunes
Utilice: ifconfig ethx @IP netmask mascara.

Utilizar el navegador en Knoppix, para entrar la servidor ftp de

imunes.
En vez de usar http://@IP
@ , utilice ftp://@IP.
@ Fig. 3 Simbolo
S b l dde maquina
Cuando se le pida nombre de usario y passwd, utilice los datos de la con Knoppix.
cuentas que UD ya creo.

Fig. 4 Pantallas donde se muestran los comandos de ayuda tanto desde ftp imunes, como
desde ftp imunes.

EL comando, para transferir un archivo desde la maquina remota (la que tiene el servidor ftp), a la
maquina
i cliente
li t (d(desde
d ddonde
d se iinvoca a ft
ftp)) es get.
t

get nombre_archivo

El archivo a transferir debe estar en la cuenta que se invoc desde ftp.

Para multiples transferenciasd archivos se utilizart mget y una expresin regular.
Por ejemplo;
mget *

Para transferir desde la maquina cliente a la remota, utilizaremos put y mput.

Prof. Andrs Castillo- 02
 Anexo
Creando cuentas de usuario

Fig 5. Invocacinde adduser

Utilizar el comando adduser con la opcin s

adduser s

adduser con la opcin s, se limitar a pedir los datos esenciales, en este caso solo
i t d i
introduciremos para llas opciones
i username, ffull
ll name, home
h di t
directory y passwd,
d de
d las
l
dems opciones, tomamos la opcin por defecto.

Cuando utilice, el CD-Live, de imunes, no utilice /home, para el directorio de la cuenta de

usuario, porque esta reside en el CD, utilice mas bien /tmp como directorio, por que este
directorio reside en memoria RAM y por lo tanto es re-escribible.

Uno puede considerar a ftp, como un control remoto de computadora, que lo introduce en
una cuenta de un usuario particular o del usuario que es annimo.

Prof. Andrs Castillo- 03

 Mdulo IV

Los Montajes

Red Domestica .
Red Empresarial
Proveedor de Servicios Internet.
Red Internet, con dos ISP, dos conexiones
domesticas, tres empresariales, dos
servidores web independientes y 2
servidores FTP.
VPN-Red Privada Virtual.
 VPNs
Redes privadas virtuales con OpenVPN

Fig 1: esquema bsico de montaje.

Se encuentra en /root/EXAMPLES/application/OpenVPN

Practicas de VPN utilizando tuneles encriptados, en dos modalidades:

Encriptados con clave simtrica compartida.
Encriptados full tls, con todas las caracteristicas, con certificados, clave pblica, Diffie-Hellman

Estrategia
Se aprovecha que imunes viene con OpenSSL y con OpenVPN, para montar una red virtual, basada en OpenVPN, con
los servicios criptograficos apoyados en OpenSSL.
Componentes de la practica
Fsicos
1 Computadora.
1 CD de imunes
Paquetes Software
OpenVPN
OpenSSL
Comandos generales unix/linux
cp copiar.
rm remover archivo
mv mover archivo
mkdir crear diretorio.
find / -name archivo_a_buscar.
ln s creacin de archivos simbolicos.
Comandos openssl
openssl req - para crear requisiciones de certificados ,claves privadas y el certificado raiz que emite la
autoridad
t id d certificadora.
tifi d
openssl ca - para crear certicados a partir de los archivos de requisicin de certificados.
openssl dh para generar las claves, para la transacin Diffie-Hellmann.
Montajes
Ver fig 1. Partes de la practica
Parte I VPN con encriptacin simtrica.
Parte II - VPN con clave pblica,
pblica Diffie
Diffie-Hellmann
Hellmann y certificacin.

Parte I VPN con clave secreta compartida

Se requiere:
Cargar en imunes el montaje de la fig 1.
Poner a imunes en modo execute.
Crear la clave secreta y distribuirlas entre las maquinas extremos del tnel
Activar las interfaces virtuales tun, en el sistema operativo.
Asignar las interfaces virtuales a las maquinas virtuales.
scoge las
Escoger as IP dee los
os eextremos
t e os del
e tu
tunel.
e.
Aplicar el comando openvpn en ambos extremos del tunel.

Cargar el montaje
En algunas versiones de imunes, el montaje de la figura 1 se localiza en:
/root/EXAMPLES/mm/OpenVPN-example1.imn
Si nolo encontrare, hagalo manualmente.

Generacin de la clave secreta compartida

openvpn -genkey secret /tmp/claveSCRT
El comando crea una clave secreta aleatoria, y lo asigna al archivo /tmp/claveSCRT
Activando las interfaces tun.

Una forma de activar las interfaces tun es utilizando el comando openvpn, invocndolo desde freebsd,
utilizaremos tun0 y tun del sistema operativo y se las asignaremos a las maquinas host5 y pc7, del montaje, estas
maquinas sern los extermos del tunel
maquinas, tunel.

En consola del Sistema operativo (xterm consola)

openvpn dev tun0
Activar en ventanas xterm diferentes
openvpn dev tun1
Asignar tun0 a host5 y tun1 a pc7
En una consola xterm
tun1 a pc7: mmvimage i pc7 tun1 tun1
tun0 a host5: mmvimage i host5 tun0 tun0

Para comprobar, abra ventanas en pc7 y en host5 y utilice ifconfig.

Creando un archivo de claves para cada maquina utilizando enlaces virtuales:

ln s /tmp/@/claves /etc/claves

En el montaje de la fig 1, host5 tiene asociado el directorio /tmp/e0_n5 y pc7 el directorio /tmp/e0_n7. Para
comprobarlos utilice el comando vimage, en ventanas asociadas a estas maquinas (pc7 y host5)

Creando los directorios de claves para pc7 y host5.

Para pc7: mkdir
kd /tmp/e0_n7/claves
l
Para host5 mkdir /tmp/e0_n5/claves

cp /tmp/claveSCRT /tmp/e0_n7/claves
cp /tmp/claveSCRT /tmp/e0_n5/claves

Copiar la clave secreta a cada uno de los diretorios (En condiciones reales se envia protegido en una canal SSH o
por medios fsicos, sea consciente que debe evitarse sea conocida por terceros.

Seleccin de IP.
A pc7 se le asigna la IP 10.0.4.1 a tun1, ntese que la IP de eth0 es 10.0.9.1
A host5 se le asigna la IP 10.0.4.2 a tun0, ntese que la IP de eth0 es 10.0.7.2

Creacin de los tneles

En pc7
Abrir consola en pc7 y utilizar el siguiente comando:
openvpn remote 10.0.7.2 --ifconfig 10.0.4.1 10.0.4.2 dev tun1 secret \ /etc/claves/claveSCRT verb 5
En host5
Abrir consola en host5 y utilizar el siguiente comando:
openvpn remote 10.0.9.1 --ifconfig 10.0.4.2 10.0.4.1 dev tun0 secret \ /etc/claves/claveSCRT verb 5

Probar
b con ping, desde
d d ambosb extremos alternadamente,
l d utilice
l ethereal
h l o tcpdump
d .
Desde pc7
ping 10.0.4.2 y ping 10.0.7.2, perctese y de cuenta de la diferencia que se observa en tcpdum o en ethereal.

Desde host5
ping 10.0.4.1y ping 10.0.9.1, perctese y de cuenta de la diferencia que se observa en tcpdum o en ethereal.

Parte II -VPN
VPN con clave pblica,
pblica Diffie-Hellmann
Diffie Hellmann y certificacin.
certificacin

Esta practica requiere:

Activar interfaces tun
Asignar interfaces tun a maquinas virtuales.
Crear un CA (centro de certificaci[on)
Requiere
q un openssl.cnf
p a nuestra medida.
Crear enlaces simbolicos a los directorios de las maquinas virtuales.
Crear certificados para las maquinas de los extremos del tunel
Crear un archivos con los parametros de Diffie-Hellmann
Decidir que maquina ser servidor y que maquina ser cliente.
Activar el tunnel en cada maquina virtual.
Probar con un ping y un analizador de protocolos

En la parte I, se hicieron ya los dos priemros pasos.

Crear CA
Primero un directorio para la CA:
mkdir /tmp/CA
S
Segundo
d localizar
l l un openssl.cnf,
l f para copiar a //tmp/CA/CA y lluego modificar.
df
Normalment este archivo est en /etc/ssl/openssl.cnf
Hacemos una copia a /tmp/CA
cp /etc/ssl/openssl.cnf.
Y editamos el ca_default que es la configuracin por defecto, los cambios son para que el archivo general sea
/tmp/ca el certificado del centro de autoridad se denomine ca.crt y la clave secreta se denomine
ca key de manera que openssl sepa donde buscarlos
ca.key, buscarlos.
Fig 2_ default_ca original

Fig 3_ default_ca modificado

Creacin del certificado de la autoridad y de la clave secreta

Utilizar openssl req

openssl req nodes
nodes new
new x509
x509 newkey
newkey rsa:1024 keyout
keyout /tmp/CA/ca.key
/tmp/CA/ca key out
out ca.crt
ca crt

Con el comando anterior se crea el certificado de la autoridad.

Requisicin de certificado y clave secreta para host5

b ventana
Abrir ve ta a een host5
ost5
Utilizar openssl req
openssl req nodes newkey rsa:1024 keyout /etc/claves/host5.key out /etc/claves/host5.csr

Abrir ventana en pc7

openssl req nodes newkey rsa:1024 keyout /etc/claves/pc7.key out /etc/claves/pc7.csr

Crear llos certificados

C tifi d
Ir a una consola xterm
openssl ca in /tmp/e0_n7/claves/pc7.csr /tmp/e0_n7/claves/pc7.crt
openssl ca in /tmp/e0_n5/claves/host5.csr /tmp/e0_n5/claves/host5.crt

Creados los certificados y con:

pc7: IP de eth0 10
10.0.9.1
0 9 1 e IP de tun0 10
10.0.4.1,
0 4 1 cliente tsl
Host5: IP de eth0 10.0.7.2 e IP de tun1 10.0.4.2 servidor tsl

Creacin de los parametros Diffie-Hellman

Openvpn genkey /tmp/CA/dh1024.pem -2 1024

ACTIVAR TUNELES

En consola de pc7

openvpn remote 10.0.7.2 dev tun0 ifconfig 10.0.4.1 10.0.4.2 tls-client \

--ca /tmp/CA/ca.crt cert /etc/claves/pc7.crt key /etc/claves/pc7.key reneg-sec 60 \
--verb 5

En consola de host5

openvpn remote 10.0.9.1 dev tun1 ifconfig 10.0.4.2 10.0.4.1 tls-server \

--dh dh1024.pem --ca /tmp/CA/ca.crt cert /etc/claves/host5.crt key /etc/claves/host.key\
reneg-sec 60--verb
60 b5

Probar con ping desde host5 y desde pc7 y utilizar ethereal tcpdumb
ANEXO
IMUNES
Modo edicin, modo execute
Como asignar tarjetas de red reales a maquinas virtuales de
imunes.
Como se asegura
g en imunes,, la independencia
p de los
servidores.
Como leer un floppy disk
Como transferir archivos desde o hacia imunes.
El uso de enlaces simblicos.
.
Knoppix
FAQs
Por que Knoppix
Existe alguna versin preferida de Knoppix.
Como utilizar la tarjeta de red, de la maquina en imunes.
Como trabaja imunes.
Cual es el comando para asignar direcciones IP.
Son diferentes los comandos en imunes que en knoppix.