ADMINISTRACION DE REDES Y

MONITOREO DE PROTOCOLOS

MARIA LILIANA FLÓREZ ARISTIZÁBAL

Docente
RAFAEL REYES MORENO

CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS

SEMINARIO DE PROFUNDIZACION DE REDES
INGENIERIA DE SISTEMAS
2012
 INTRODUCCION

Por medio este laboratorio se pretende ampliar y fortalecer los conocimientos

adquiridos en la tecnología de sistemas, que permitan desarrollar las
actividades cotidianas que se presentan en las diferentes empresas en cuanto
a la instalación y monitoreo de las redes, de forma práctica y con el
acompañamiento del docente, lo cual nos va a permitir sentir mayor seguridad y
confianza en el desempeño laboral.

Tener alternativas de solución para los inconvenientes que se pueden presentar

en la instalación y monitoreo de una red, con métodos simples y eficientes para
brindar un buen soporte a los clientes.

Tener una visión más amplia de todos los conocimientos y temas que se deben
manejar y conocer para tener un total dominio sobre la infraestructura de
redes, para aplicarlos de forma adecuada y de acuerdo a las normas que rigen
estos montajes como por ejemplo cisco.
 OBJETIVO GENERAL

Aumentar los conocimientos adquiridos en la tecnología de sistemas en el área

específica de las redes, con situaciones de casos reales que se presentan en las
empresas tales como: Instalación de Redes, Monitoreo, Seguridad y Fallas en la
Red, lo cual nos permite adquirir una experiencia práctica para ser utilizada en
la vida laboral de una manera competitiva y eficiente.

OBJETIVOS ESPECÍFICOS

 Realizar un proceso de investigación, profundización y laboratorios

prácticos, que nos permitan adquirir mayor destreza y habilidad para la
realización de las tareas relacionadas con la red.

 Complementar los conocimientos teóricos con los prácticos para lograr

una formación integral y fortalecer nuestro proceso de aprendizaje,
para desempeñarnos en la vida profesional.
 DESARROLLO LABORATORIO

INSTALACION DE REDES

Es el montaje dispositivos físicos para conectar 2 equipos o más entre sí, que
envían y reciben impulsos eléctricos, ondas electromagnéticas o cualquier otro
medio para el transporte de datos, permitirá compartir información y recursos
como impresoras, escáner, carpetas, música, etc. Para ofrecer servicios. Se
puede realizar una conexión alámbrica mediante cables o inalámbrica que no
requiere de ninguna conexión física.

MONITOREO DE RED

Es la supervisión constante, mediante un sistema para monitorizar una red de

computadoras en busca de componentes defectuosos o lentos, para prevenir
fallas en el funcionamiento de la red.

WIRESHARK

En este laboratorio se descargo el programa WIRESHARK, antes conocido

como Ethereal, es un analizador de protocolos utilizado para realizar análisis y
solucionar problemas en redes de comunicaciones, para desarrollo de software
y protocolos, y como una herramienta didáctica para educación. Cuenta con
todas las características estándar de un analizador de protocolos y cuenta con
una interfaz gráfica y muchas opciones de organización y filtrado de
información.
INGRESO A WIRESHARK PARA MONITOREO DE PAQUETES Y
PROTOCOLOS

1. Ingresar al programa, Clic botón de Inicio, seleccionar Todos los

Programas y escoger Wireshark.

2. Escoger en la barra de menú la opción Capture.

3. Seleccionar la opción Interfaces.

4. En la nueva ventana oprimir el botón Start de la primera fila.

5. El sistema comienza a realizar el monitoreo de los paquetes transmitidos

en la red a través de todos los servidores y protocolos que intervienen.
6. Después de tener los datos necesario para analizar la información,
seleccionar en el menú la opción Capture y seleccionar la opción Stop.

7. Organizar por protocolo, dando un clic sobre la columna con este

nombre.
8. En la parte inferior del análisis de información se encuentra un panel
con el detalle del paquete seleccionado en la ventana de paquetes, que se
despliega desde el signo más, en cada una de las opciones.

9. También se puede observar en la parte inferior un panel que despliega la

información en bytes, al seleccionar una opción en el panel de detalles.
10. Filtrar paquetes y configuración para el filtro de paquetes, digitando la
información del paquete en la barra de Filter Expression.

11. Manipular los paquetes capturados para su análisis desde el panel de

detalles y panel de bytes.

12. Se puede importar o exportar los paquetes capturados desde y hacia

otros programas, en el menú File seleccionar la opción Impor o Export.
13. Se puede guardar la información de un análisis en un archivo,
seleccionando el menú File y escoger la opción Save As e ingresar un
nombre.

14. Abrir un archivo antes guardado, ingresando al menú File y escoger

opción Open y buscar el archivo.
 ANOTACIONES DEL LABORATORIO

Con este sistema se puede identificar todo el tráfico de una red para el
control de los paquetes y protocolos que nos permitan detectar a tiempo
posibles fallas en el servicio de comunicación por red.

Brinda la posibilidad de analizar cada paquete y sus características para

observar el tráfico y consumo de la red y de este modo poder realizar una
administración eficiente de los recursos compartidos en la red.

Existen muchos programas que ayudan a monitorear el funcionamiento de la

red, para brindar un buen soporte y tener el control de la información arrojada
en dichos sistemas.

MODELO OSI
 ALGUNOS PROTOCOLOS VISTOS

TCP (que significa Protocolo de Control de Transmisión ) es uno de los

principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel
de aplicación, posibilita la administración de datos que vienen del nivel más bajo
del modelo, o van hacia él, (es decir, el protocolo IP). Cuando se proporcionan
los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del
protocolo en 6 (para que sepa con anticipación que el protocolo es TCP). TCP es
un protocolo orientado a conexión, es decir, que permite que dos máquinas que
están comunicadas controlen el estado de la transmisión.
Las principales características del protocolo TCP son las siguientes:

 TCP permite colocar los datagramas nuevamente en orden cuando vienen

del protocolo IP.
 TCP permite que el monitoreo del flujo de los datos y así evita la
saturación de la red.
 TCP permite que los datos se formen en segmentos de longitud variada
para "entregarlos" al protocolo IP.
 TCP permite multiplexar los datos, es decir, que la información que viene
de diferentes fuentes (por ejemplo, aplicaciones) en la misma línea
pueda circular simultáneamente.
 Por último, TCP permite comenzar y finalizar la comunicación
amablemente.

EL OBJETIVO DE TCP

Con el uso del protocolo TCP, las aplicaciones pueden comunicarse en forma
segura (gracias al sistema de acuse de recibo del protocolo TCP)
independientemente de las capas inferiores. Esto significa que los routers (que
funcionan en la capa de Internet) sólo tienen que enviar los datos en forma de
datagramas, sin preocuparse con el monitoreo de datos porque esta función la
cumple la capa de transporte (o más específicamente el protocolo TCP).

Durante una comunicación usando el protocolo TCP, las dos máquinas deben
establecer una conexión. La máquina emisora (la que solicita la conexión) se
llama cliente, y la máquina receptora se llama servidor. Por eso es que decimos
que estamos en un entorno Cliente-Servidor.
Las máquinas de dicho entorno se comunican en modo en línea, es decir, que la
comunicación se realiza en ambas direcciones.

Para posibilitar la comunicación y que funcionen bien todos los controles que la
acompañan, los datos se agrupan; es decir, que se agrega un encabezado a los
paquetes de datos que permitirán sincronizar las transmisiones y garantizar su
recepción.

Otra función del TCP es la capacidad de controlar la velocidad de los datos

usando su capacidad para emitir mensajes de tamaño variable. Estos mensajes
se llaman segmentos.

LA FUNCIÓN DE MULTIPLEXION

TCP posibilita la realización de una tarea importante:

multiplexar/demultiplexar; es decir transmitir datos desde diversas
aplicaciones en la misma línea o, en otras palabras, ordenar la información que
llega en paralelo.

Estas operaciones se realizan empleando el concepto de puertos (o

conexiones), es decir, un número vinculado a un tipo de aplicación que, cuando
se combina con una dirección de IP, permite determinar en forma exclusiva una
aplicación que se ejecuta en una máquina determinada.
EL FORMATO DE LOS DATOS EN TCP

Un segmento TCP está formado de la siguiente manera:

URG ACK PSH RST SYN FIN

1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0123456789
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
Puerto de origen Puerto de destino
Número de secuencia
Número de acuse de recibo
Marge
n
Reservado Ventana
de
datos
Suma de control Puntero urgente
Opciones Relleno
Datos

Significado de los diferentes campos:

 Puerto de origen (16 bits): Puerto relacionado con la aplicación en curso

en la máquina origen
 Puerto de destino (16 bits): Puerto relacionado con la aplicación en
curso en la máquina destino
 Número de secuencia (32 bits): Cuando el indicador SYN está fijado en
0, el número de secuencia es el de la primera palabra del segmento
actual.
Cuando SYN está fijado en 1, el número de secuencia es igual al número
de secuencia inicial utilizado para sincronizar los números de secuencia
(ISN).
 Número de acuse de recibo (32 bits): El número de acuse de recibo,
también llamado número de descargo se relaciona con el número
(secuencia) del último segmento esperado y no el número del último
segmento recibido.
 Margen de datos (4 bits): Esto permite ubicar el inicio de los datos en
el paquete. Aquí, el margen es fundamental porque el campo opción es de
tamaño variable.
  Reservado (6 bits): Un campo que actualmente no está en uso pero se
proporciona para el uso futuro.
 Indicadores (6x1 bit): Los indicadores representan información
adicional:
o URG: Si este indicador está fijado en 1, el paquete se debe
procesar en forma urgente.
o ACK: Si este indicador está fijado en 1, el paquete es un acuse de
recibo.
o PSH (PUSH): Si este indicador está fijado en 1, el paquete opera
de acuerdo con el método PUSH.
o RST: Si este indicador está fijado en 1, se restablece la conexión.
o SYN: El indicador SYN de TCP indica un pedido para establecer
una conexión.
o FIN: Si este indicador está fijado en 1, se interrumpe la conexión.
 Ventana (16 bits): Campo que permite saber la cantidad de bytes que el
receptor desea recibir sin acuse de recibo.
 Suma de control (CRC): La suma de control se realiza tomando la suma
del campo de datos del encabezado para poder verificar la integridad
del encabezado.
 Puntero urgente (16 bits): Indica el número de secuencia después del
cual la información se torna urgente.
 Opciones (tamaño variable): Diversas opciones
 Relleno: Espacio restante después de que las opciones se rellenan con
ceros para tener una longitud que sea múltiplo de 32 bits.

IP es parte de la capa de Internet del conjunto de protocolos TCP/IP. Es uno

de los protocolos de Internet más importantes ya que permite el desarrollo y
transporte de datagramas de IP (paquetes de datos), aunque sin garantizar su
"entrega". En realidad, el protocolo IP procesa datagramas de IP de manera
independiente al definir su representación, ruta y envío.

El protocolo IP determina el destinatario del mensaje mediante 3 campos:

 el campo de dirección IP: Dirección del equipo;

 el campo de máscara de subred: una máscara de subred le permite al
protocolo IP establecer la parte de la dirección IP que se relaciona con
la red;
  el campo de pasarela predeterminada: le permite al protocolo de
Internet saber a qué equipo enviar un datagrama, si el equipo de destino
no se encuentra en la red de área local.

DATAGRAMA

Los datos circulan en Internet en forma de datagramas (también conocidos

como paquetes). Los datagramas son datos encapsulados, es decir, datos a los
que se les agrega un encabezado que contiene información sobre su transporte
(como la dirección IP de destino).

Los routers analizan (y eventualmente modifican) los datos contenidos en un

datagrama para que puedan transitar.

A continuación se indica cómo se ve un datagrama:

<-- 32 bits -->

Longitud
Tipo de
Versión del Longitud total
servicio
(4 bits) encabezado (16 bits)
(8 bits)
(4 bits)
Identificación Indicador Margen del fragmento
(16 bits) (3 bits) (13 bits)
Tiempo de vida Protocolo Suma de comprobación del encabezado
(8 bits) (8 bits) (16 bits)
Dirección IP de origen (32 bits)
Dirección IP de destino (32 bits)
Datos

A continuación se indican los significados de los diferentes campos:

 Versión (4 bits): es la versión del protocolo IP que se está utilizando

(actualmente se utiliza la versión 4 IPv4) para verificar la validez del
datagrama. Está codificado en 4 bits.
 Longitud del encabezado o IHL por Internet Header Length (Longitud
del encabezado de Internet) (4 bits): es la cantidad de palabras de 32
bits que componen el encabezado (Importante: el valor mínimo es 5).
Este campo está codificado en 4 bits.
  Tipo de servicio (8 bits): indica la forma en la que se debe procesar el
datagrama.
 Longitud total (16 bits): indica el tamaño total del datagrama en bytes.
El tamaño de este campo es de 2 bytes, por lo tanto el tamaño total del
datagrama no puede exceder los 65536 bytes. Si se lo utiliza junto con
el tamaño del encabezado, este campo permite determinar dónde se
encuentran los datos.
 Identificación, indicadores y margen del fragmento son campos que
permiten la fragmentación de datagramas. Esto se explica a
continuación.
 TTL o Tiempo de vida (8 bits): este campo especifica el número máximo
de routers por los que puede pasar un datagrama. Por lo tanto, este
campo disminuye con cada paso por un router y cuando alcanza el valor
crítico de 0, el router destruye el datagrama. Esto evita que la red se
sobrecargue de datagramas perdidos.
 Protocolo (8 bits): este campo, en notación decimal, permite saber de
qué protocolo proviene el datagrama.
o ICMP 1
o IGMP: 2
o TCP: 6
o UDP: 17
 Suma de comprobación del encabezado (16 bits): este campo contiene
un valor codificado en 16 bits que permite controlar la integridad del
encabezado para establecer si se ha modificado durante la transmisión.
La suma de comprobación es la suma de todas las palabras de 16 bits del
encabezado (se excluye el campo suma de comprobación). Esto se realiza
de tal modo que cuando se suman los campos de encabezado (suma de
comprobación inclusive), se obtenga un número con todos los bits en 1.
 Dirección IP de origen (32 bits): Este campo representa la dirección IP
del equipo remitente y permite que el destinatario responda.
 Dirección IP de destino (32 bits): dirección IP del destinatario del
mensaje.

FRAGMENTACION DE DATAGRAMA DE IP

Como se ha visto anteriormente, el tamaño máximo de un datagrama es de

65536 bytes. Sin embargo, este valor nunca es alcanzado porque las redes no
tienen suficiente capacidad para enviar paquetes tan grandes. Además, las
redes en Internet utilizan diferentes tecnologías por lo tanto el tamaño
máximo de un datagrama varía según el tipo de red.
El tamaño máximo de una trama se denomina MTU (Unidad de transmisión
máxima). El datagrama se fragmentará si es más grande que la MTU de la red.

Tipo de red MTU (en bytes)

Arpanet 1000
Ethernet 1500
FDDI 4470

La fragmentación del datagrama se lleva a cabo a nivel de router, es decir,

durante la transición de una red con una MTU grande a una red con una MTU
más pequeña. Si el datagrama es demasiado grande para pasar por la red, el
router lo fragmentará, es decir, lo dividirá en fragmentos más pequeños que la
MTU de la red, de manera tal que el tamaño del fragmento sea un múltiplo de 8
bytes.

El router enviará estos fragmentos de manera independiente y los volverá a

encapsular (agregar un encabezado a cada fragmento) para tener en cuenta el
nuevo tamaño del fragmento. Además, el router agrega información para que el
equipo receptor pueda rearmar los fragmentos en el orden correcto. Sin
embargo, no hay nada que indique que los fragmentos llegarán en el orden
correcto, ya que se enrutan de manera independiente.

Para tener en cuenta la fragmentación, cada datagrama cuenta con diversos

campos que permiten su rearmado:

 campo Margen del fragmento (13 bits): campo que brinda la posición del
comienzo del fragmento en el datagrama inicial. La unidad de medida
para este campo es 8 bytes (el primer fragmento tiene un valor cero);
 campo Identificación (16 bits): número asignado a cada fragmento para
permitir el rearmado;
 campo Longitud total (16 bits): esto se vuelve a calcular para cada
fragmento;
 campo Indicador (3 bits): está compuesto de tres bits:
o El primero no se utiliza.
o El segundo (denominado DF: No fragmentar) indica si se puede
fragmentar el datagrama o no. Si el datagrama tiene este bit en
 uno y el router no puede enrutarlo sin fragmentarlo, el datagrama
se rechaza con un mensaje de error.
o El tercero (denominado MF: Más fragmentos) indica si el
datagrama es un fragmento de datos (1). Si el indicador se
encuentra en cero, esto indica que el fragmento es el último
(entonces el router ya debe contar con todos los fragmentos
anteriores) o que el datagrama no se ha fragmentado.

ENRUTAMIENTO IP

El enrutamiento IP es una parte integral de la capa de Internet del conjunto

TCP/IP. El enrutamiento consiste en asegurar el enrutamiento de un datagrama
de IP a través de la red por la ruta más corta. A esta función la llevan a cabo
los equipos denominados routers, es decir, equipos que conectan al menos dos
redes.

UDP El protocolo UDP (Protocolo de datagrama de usuario) es un protocolo no

orientado a conexión de la capa de transporte del modelo TCP/IP. Este
protocolo es muy simple ya que no proporciona detección de errores (no es un
protocolo orientado a conexión).

Por lo tanto, el encabezado del segmento UDP es muy simple:

puerto de origen puerto de destino

(16 bits); (16 bits);
longitud total suma de comprobación del encabezado
(16 bits); (16 bits);
datos
(longitud variable).

Significado de los diferentes campos

 Puerto de origen: es el número de puerto relacionado con la aplicación

del remitente del segmento UDP. Este campo representa una dirección
de respuesta para el destinatario. Por lo tanto, este campo es opcional.
 Esto significa que si el puerto de origen no está especificado, los 16 bits
de este campo se pondrán en cero. En este caso, el destinatario no podrá
responder (lo cual no es estrictamente necesario, en particular para
mensajes unidireccionales).
 Puerto de destino: este campo contiene el puerto correspondiente a la
aplicación del equipo receptor al que se envía.
 Longitud: este campo especifica la longitud total del segmento, con el
encabezado incluido. Sin embargo, el encabezado tiene una longitud de 4
x 16 bits (que es 8 x 8 bits), por lo tanto la longitud del campo es
necesariamente superior o igual a 8 bytes.
 Suma de comprobación: es una suma de comprobación realizada de
manera tal que permita controlar la integridad del segmento.
 COMPLEMENTO ESTUDIO DE PROTOCOLOS

ARP tiene un papel clave entre los protocolos de capa de Internet relacionados
con el protocolo TCP/IP, ya que permite que se conozca la dirección física de
una tarjeta de interfaz de red correspondiente a una dirección IP. Por eso se
llama Protocolo de Resolución de Dirección (en inglés ARP significa Address
Resolution Protocol).

Cada equipo conectado a la red tiene un número de identificación de 48 bits.

Éste es un número único establecido en la fábrica en el momento de
fabricación de la tarjeta. Sin embargo, la comunicación en Internet no utiliza
directamente este número (ya que las direcciones de los equipos deberían
cambiarse cada vez que se cambia la tarjeta de interfaz de red), sino que
utiliza una dirección lógica asignada por un organismo: la dirección IP.

Para que las direcciones físicas se puedan conectar con las direcciones lógicas,
el protocolo ARP interroga a los equipos de la red para averiguar sus
direcciones físicas y luego crea una tabla de búsqueda entre las direcciones
lógicas y físicas en una memoria caché.

Cuando un equipo debe comunicarse con otro, consulta la tabla de búsqueda. Si

la dirección requerida no se encuentra en la tabla, el protocolo ARP envía una
solicitud a la red. Todos los equipos en la red comparan esta dirección lógica
con la suya. Si alguno de ellos se identifica con esta dirección, el equipo
responderá al ARP, que almacenará el par de direcciones en la tabla de
búsqueda, y, a continuación, podrá establecerse la comunicación.

RARP

El protocolo RARP (Protocolo de Resolución de Dirección Inversa ) es mucho

menos utilizado. Es un tipo de directorio inverso de direcciones lógicas y
físicas.
En realidad, el protocolo RARP se usa esencialmente para las estaciones de
trabajo sin discos duros que desean conocer su dirección física.

El protocolo RARP le permite a la estación de trabajo averiguar su dirección IP

desde una tabla de búsqueda entre las direcciones MAC (direcciones físicas) y
las direcciones IP alojadas por una pasarela ubicada en la misma red de área
local (LAN).

Para poder hacerlo, el administrador debe definir los parámetros de la

pasarela (router) con la tabla de búsqueda para las direcciones MAC/IP. A
diferencia del ARP, este protocolo es estático. Por lo que la tabla de búsqueda
debe estar siempre actualizada para permitir la conexión de nuevas tarjetas
de interfaz de red.

El protocolo RARP tiene varias limitaciones. Se necesita mucho tiempo de

administración para mantener las tablas importantes en los servidores. Esto se
ve reflejado aun más en las grandes redes. Lo que plantea problemas de
recursos humanos, necesarios para el mantenimiento de las tablas de búsqueda
y de capacidad por parte del hardware que aloja la parte del servidor del
protocolo RARP. Efectivamente, el protocolo RARP permite que varios
servidores respondan a solicitudes, pero no prevé mecanismos que garanticen
que todos los servidores puedan responder, ni que respondan en forma
idéntica. Por lo que, en este tipo de arquitectura, no podemos confiar en que un
servidor RARP sepa si una dirección MAC se puede conectar con una dirección
IP, porque otros servidores ARP pueden tener una respuesta diferente. Otra
limitación del protocolo RARP es que un servidor sólo puede servir a una LAN.

Para solucionar los dos primeros problemas de administración, el protocolo

RARP se puede remplazar por el protocolo DRARP, que es su versión dinámica.
Otro enfoque consiste en la utilización de un servidor DHCP (Protocolo de
configuración de host dinámico), que permite una resolución dinámica de las
direcciones. Además, el protocolo DHCP es compatible con el protocolo BOOTP
(Protocolo de secuencia de arranque) y, al igual que este protocolo, es
enrutable, lo que le permite servir varias LAN. Sólo interactúa con el protocolo
IP.

NBNS-NetBT (también conocido como NBT) es el protocolo que define cómo

se implementan los servicios de red que proporcionan aplicaciones para
posterior uso de los servicios inferiores. NBT proporciona la confianza
necesaria a NetBiosAPI a través de aplicaciones para el uso del moderno
protocolo TCP/IP. Fue desarrollado en el temprano 1980 para una red de unos
doce ordenadores. NBT es definido bajo los estándares RFC 1001 y RFC 1002.
De este modo podemos hablar de NetBIOS sobre TCP/IP o NBNS, el
equivalente a DNS en TCP/IP.

FUNCIONALIDAD

NetBIOS proporciona a los programas una serie uniforme de comandos para

solicitar los servicios de niveles inferiores necesarios para comunicar equipos a
través de la red.

PROBLEMAS

Se ha detectado que cuando NetBT construye las respuestas del servicio de

nombres, asigna un buffer de mayor capacidad para que se pueda incluir la
información necesaria para la respuesta. Este buffer no se inicializa
correctamente antes de ser utilizado con lo que no se puede asegurar que esté
realmente vacío. NetBT solamente escribirá en el buffer la cantidad de datos
necesaria para la respuesta, pero ha de leer todo el contenido del buffer
cuando envía la respuesta al sistema que la solicita. En consecuencia, la
separación, o la diferencia entre los datos escritos y leídos en el buffer,
podrían estar formadas por datos arbitrarios de una operación anterior de la
memoria, ya que el buffer no se ha inicializado en primer lugar.

Se trata pues de un problema relacionado con la separación en los datagramas

del nivel de red en el protocolo TCP/IP. Normalmente la cantidad de datos que
se expone es de unos 15 bytes o menos, que es el espacio que se reserva para la
respuesta.

Así pues se podría dar el caso en el que un atacante podría recibir datos
aleatorios o arbitrarios de de la memoria de otro equipo conectado en una red.

Puesto que la interfaz de programación de aplicaciones se desarrolla

principalmente en redes de área local, esto puede suponer un gran problema
sobre todo en grandes empresas.

Los servicios de nombre NetBIOS (NBNS) permiten buscar la dirección IP de

una máquina a partir de su nombre NetBIOS o viceversa. Esta vulnerabilidad
es aleatoria, es decir, al realizar una consulta del servicio de nombres
NetBIOS puede, ser transferidos aparte de los resultados para dicho consulta
contener partes de código HTML o datos aleatorios de la memoria del sistema
destino. Esta información no se puede controlar. A simple vista son datos
aleatorios pero si el atacante es capaz de obtener acceso al sistema de destino
a través de NetBT el problema se complica.

POSIBLES SOLUCIONES

El seguimiento de las medidas de seguridad estándar y el bloqueo del puerto

UDP 137 en el servidor de seguridad imposibilitan los ataques desde Internet.

Para aprovechar la vulnerabilidad anteriormente comentada, un atacante

debería ser capaz de enviar una solicitud NetBT especialmente diseñada al
puerto 137 del sistema de destino y, a continuación, inspeccionar la respuesta
para comprobar si contiene datos aleatorios de la memoria de ese sistema. En
los entornos conectados a una Intranet, estos puertos suelen estar accesibles,
pero en las máquinas conectadas a Internet, estos puertos están normalmente
bloqueados por un servidor de seguridad.

IGMP se utiliza para intercambiar información acerca del estado de

pertenencia entre enrutadores IP que admiten la multidifusión y miembros de
grupos de multidifusión. Los hosts miembros individuales informan acerca de la
pertenencia de hosts al grupo de multidifusión y los enrutadores de
multidifusión sondean periódicamente el estado de la pertenencia.

La última versión disponible de este protocolo es la IGMPv3 descrita en el

[RFC 3376]

Todos los mensajes IGMP se transmiten en datagramas IP y tienen el formato

mostrado en la figura adjunta. Los campos son los siguientes:
 

TIPO

Hay cuatro tipos:

-Consulta de asociación: enviada por un encaminador de multidifusión. Hay dos

subtipos: una consulta general, utilizada para aprender qué grupos tienen
miembros en una red conectada; y una consulta específica de grupo, utilizada
para aprender si un grupo particular tiene algún miembro en una red conectada.

-Informes de asociación: enviado por un host para declarar sus miembros

asociados a un grupo.

-Grupo de abandono: enviado por un host para declarar que abandona el grupo.

-Tiempo máximo de respuesta: Solamente significativo en un mensaje de

consulta de asociación, y especifica el máximo tiempo permitido antes de
enviar un informe de respuesta en unidades de 1/10 segundos.

Suma de comprobación

Un código de detección de errores, calculado como el complemento a 1 de 16

bits más cuatro palabras de 16 bits del mensaje. Para propósitos de
computación, el campo "Suma de Comprobación" se inicia a valor 0.

Dirección de grupo

Cero en un mensaje de respuesta, y una dirección de grupo multidifusión IP

válida e un informe de asociación o en un mensaje de abandono.

Resv

Este campo está a 0 en la transmisión e ignorado en la recepción.

(Suspender procesamiento en el lado del router)

QSV

(Robustez de la variable del consultor)

QQIC

(Código del intervalo de consulta del consultor)

ICMP El Protocolo de Mensajes de Control y Error de Internet, es de

características similares a UDP, pero con un formato mucho más simple, y su
utilidad no está en el transporte de datos de usuario, sino en controlar si un
paquete no puede alcanzar su destino, si su vida ha expirado, si el
encabezamiento lleva un valor no permitido, si es un paquete de eco o
respuesta, etc. Es decir, se usa para manejar mensajes de error y de control
necesarios para los sistemas de la red, informando con ellos a la fuente original
para que evite o corrija el problema detectado. ICMP proporciona así una
comunicación entre el software IP de una máquina y el mismo software en otra.

El protocolo ICMP solamente informa de incidencias en la entrega de paquetes

o de errores en la red en general, pero no toma decisión alguna al respecto.
Esto es tarea de las capas superiores.

Los mensajes ICMP se transmiten como datagramas IP normales, con el campo

de cabecera "protocolo" con un valor 1, y comienzan con un campo de 8 bits que
define el tipo de mensaje de que se trata. A continuación viene un campo
código, de o bits, que a veces ofrece una descripción del error concreto que se
ha producido y después un campo suma de control, de 16 bits, que incluye una
suma de verificación de errores de transmisión. Tras estos campos viene el
cuerpo del mensaje, determinado por el contenido del campo "tipo". Contienen
además los 8 primeros bytes del datagrama que ocasionó el error.
Los principales tipos de mensaje ICMP son los siguientes:
MENSAJES INFORMATIVOS

Entre estos mensajes hay algunos de suma importancia, como los mensajes de
petición de ECO (tipo 8) y los de respuesta de Eco (tipo 0). Las peticiones y
respuestas de eco se usan en redes para comprobar si existe una comunicación
entre dos host a nivel de capa de red, por lo que nos pueden servir para
identificar fallos en este nivel, ya que verifican si las capas física (cableado),
de enlace de datos (tarjeta de red) y red (configuración IP) se encuentran en
buen estado y configuración.

MENSAJES DE ERROR

En el caso de obtener un mensaje ICMP de destino inalcanzable, con campo

"tipo" de valor 3, el error concreto que se ha producido vendrá dado por el
valor del campo "código", pudiendo presentar los siguientes valores que se
muestran en la parte derecha.

Este tipo de mensajes se generan cuando el tiempo de vida del datagrama a

llegado a cero mientras se encontraba en tránsito hacia el host destino
(código=0), o porque, habiendo llegado al destino, el tiempo de reensamblado de
los diferentes fragmentos expira antes de que lleguen todos los necesarios
(código=1).

Los mensajes ICMP de tipo= 12 (problemas de parámetros) se originan por

ejemplo cuando existe información inconsistente en alguno de los campos del
datagrama, que hace que sea imposible procesar el mismo correctamente,
cuando se envían datagramas de tamaño incorrecto o cuando falta algún campo
obligatorio.

Por su parte, los mensajes de tipo=5 (mensajes de redirección) se suelen enviar

cuando, existiendo dos o más routers diferentes en la misma red, el paquete se
envía al router equivocado. En este caso, el router receptor devuelve el
datagrama al host origen junto con un mensaje ICMP de redirección, lo que
hará que éste actualice su tabla de enrutamiento y envíe el paquete al siguiente
router.
DHCP significa Protocolo de configuración de host dinámico. Es un protocolo
que permite que un equipo conectado a una red pueda obtener su configuración
(principalmente, su configuración de red) en forma dinámica (es decir, sin
intervención particular). Sólo tiene que especificarle al equipo, mediante DHCP,
que encuentre una dirección IP de manera independiente. El objetivo principal
es simplificar la administración de la red.

El protocolo DHCP sirve principalmente para distribuir direcciones IP en una

red, pero desde sus inicios se diseñó como un complemento del protocolo
BOOTP (Protocolo Bootstrap), que se utiliza, por ejemplo, cuando se instala un
equipo a través de una red (BOOTP se usa junto con un servidor TFTP donde el
cliente encontrará los archivos que se cargarán y copiarán en el disco duro). Un
servidor DHCP puede devolver parámetros BOOTP o la configuración
específica a un determinado host.

FUNCIONAMIENTO DHCP

Primero, se necesita un servidor DHCP que distribuya las direcciones IP. Este
equipo será la base para todas las solicitudes DHCP por lo cual debe tener una
dirección IP fija. Por lo tanto, en una red puede tener sólo un equipo con una
dirección IP fija: el servidor DHCP.

El sistema básico de comunicación es BOOTP (con la trama UDP). Cuando un

equipo se inicia no tiene información sobre su configuración de red y no hay
nada especial que el usuario deba hacer para obtener una dirección IP. Para
esto, la técnica que se usa es la transmisión: para encontrar y comunicarse con
un servidor DHCP, el equipo simplemente enviará un paquete especial de
transmisión (transmisión en 255.255.255.255 con información adicional como el
tipo de solicitud, los puertos de conexión, etc.) a través de la red local. Cuando
el DHCP recibe el paquete de transmisión, contestará con otro paquete de
transmisión (no olvide que el cliente no tiene una dirección IP y, por lo tanto, no
es posible conectar directamente con él) que contiene toda la información
solicitada por el cliente.

Se podría suponer que un único paquete es suficiente para que el protocolo

funcione. En realidad, hay varios tipos de paquetes DHCP que pueden emitirse
tanto desde el cliente hacia el servidor o servidores, como desde los
servidores hacia un cliente:
  DHCPDISCOVER (para ubicar servidores DHCP disponibles)
 DHCPOFFER (respuesta del servidor a un paquete DHCPDISCOVER, que
contiene los parámetros iniciales)
 DHCPREQUEST (solicitudes varias del cliente, por ejemplo, para
extender su concesión)
 DHCPACK (respuesta del servidor que contiene los parámetros y la
dirección IP del cliente)
 DHCPNAK (respuesta del servidor para indicarle al cliente que su
concesión ha vencido o si el cliente anuncia una configuración de red
errónea)
 DHCPDECLINE (el cliente le anuncia al servidor que la dirección ya está
en uso)
 DHCPRELEASE (el cliente libera su dirección IP)
 DHCPINFORM (el cliente solicita parámetros locales, ya tiene su
dirección IP)

El primer paquete emitido por el cliente es un paquete del tipo

DHCPDISCOVER. El servidor responde con un paquete DHCPOFFER,
fundamentalmente para enviarle una dirección IP al cliente. El cliente
establece su configuración y luego realiza un DHCPREQUEST para validar su
dirección IP (una solicitud de transmisión ya que DHCPOFFER no contiene la
dirección IP) El servidor simplemente responde con un DHCPACK con la
dirección IP para confirmar la asignación. Normalmente, esto es suficiente
para que el cliente obtenga una configuración de red efectiva, pero puede
tardar más o menos en función de que el cliente acepte o no la dirección IP...

CONCESIONES

Para optimizar los recursos de red, las direcciones IP se asignan con una fecha
de inicio y de vencimiento para su validez. Esto es lo que se conoce como
"concesión". Un cliente que detecta que su concesión está a punto de vencer,
puede solicitarle al servidor una extensión de la misma por medio de un
DHCPREQUEST. Del mismo modo, cuando el servidor detecta que una
concesión va a vencer, enviará un DCHPNAK para consultarle al cliente si desea
extenderla. Si el servidor no recibe una respuesta válida, convertirá la
dirección IP en una dirección disponible.

Esta es la efectividad de DHCP: se puede optimizar la asignación de

direcciones IP planificando la duración de las concesiones. El problema es que
si no se liberan direcciones, en un momento determinado no se podrá cumplir
con nuevas solicitudes DHCP debido a que faltarán direcciones que puedan
distribuirse.

En una red en la cual muchos equipos se conectan y desconectan

permanentemente (redes de escuelas o de oficinas de ventas, por ejemplo), es
aconsejable ofrecer concesiones por períodos cortos. En cambio, para una red
compuesta principalmente por equipos fijos que se reinician rara vez, las
concesiones por períodos largos son más que suficientes. No se olvide que
DHCP trabaja principalmente por transmisión y que puede ocupar ancho de
banda en redes pequeñas con alta demanda.

OBTENCION DE UN SERVIDOR DHCP

Internet Software Consortium desarrolla servidores DHCP en el mundo del

software libre. Este es el servidor DHCP más usado y uno de los que mejor
"cumple" las RFC. ¡ATENCIÓN! No es sencillo desarrollar un servidor DHCP y
distribuyen parches y mejoras continuas para los servidores que ofrecen. La
última versión en fecha es la 3.0, pero aún es una versión beta. Una de las
principales innovaciones en esta versión es la posibilidad de actualizar en forma
dinámica un DNS de acuerdo a las direcciones IP suministradas por el servidor
DHCP. Para mayor información, el primer proyecto sobre DNS dinámicos tiene
fecha de marzo de 1996.

Por supuesto que Microsoft tiene su propio servidor DHCP para NT, pero este
servidor aún no implementa la actualización dinámica de DNS.
 GLOSARIO

VPN Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual
Private Network, es una tecnología de red que permite una extensión de la red
local sobre una red pública o no controlada, como por ejemplo Internet.

Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una

empresa utilizando como vínculo Internet, permitir a los miembros del equipo
de soporte técnico la conexión desde su casa al centro de cómputo, o que un
usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por
ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

BACKBONE La palabra backbone se refiere a las principales conexiones

troncales de Internet. Está compuesta de un gran número de routers
comerciales, gubernamentales, universitarios y otros de gran capacidad
interconectados que llevan los datos a través de países, continentes y océanos
del mundo mediante cables de fibra óptica

Parte de la extrema resiliencia de Internet se debe a un alto nivel de

redundancia en el backbone con los proveedores Tier los cuales están muy
regulados y al hecho de que las decisiones de encaminamiento IP se hacen y se
actualizan durante el uso en tiempo real.

El término backbone también se refiere al cableado troncal o subsistema

vertical en una instalación de red de área local que sigue la normativa de
cableado estructurado.

PSTN (public switched telephone network)

Conectividad analógica

La misma red que utiliza nuestro teléfono está disponible para los equipos. El
nombre de esta red mundial es la Red telefónica pública conmutada (PSTN). En
el marco de la informática, podemos pensar en PSTN como un gran enlace
WAN que ofrece líneas telefónicas de llamada de grado de voz.

Líneas de llamada

El hecho de que PSTN fuese diseñada principalmente para la comunicación de

voz hace que sea lenta. Las líneas analógicas de llamada requieren módems que
pueden incluso hacerlas más lentas todavía. Por otro lado, la calidad de la
conexión es inconsistente debido a que PSTN es una red de circuitos
conmutados. Cualquier sesión de comunicación única será tan buena como los
circuitos enlazados para esta sesión determinada. Sobre largas distancias, por
ejemplo, país a país, pueden resultar considerablemente inconsistentes en los
circuitos de una sesión a la siguiente.

ETHERNET es la capa física más popular la tecnología LAN usada actualmente.

Otros tipos de LAN incluyen Token Ring, Fast Ethernet, FDDI, ATM y
LocalTalk. Ethernet es popular porque permite un buen equilibrio entre
velocidad, costo y facilidad de instalación. Estos puntos fuertes, combinados
con la amplia aceptación en el mercado y la habilidad de soportar virtualmente
todos los protocolos de red populares, hacen a Ethernet la tecnología ideal
para la red de la mayoría los usuarios de la informática actual. La norma de
Ethernet fue definida por el Instituto para los Ingenieros Eléctricos y
Electrónicos (IEEE) como IEEE Standard 802.3. Adhiriéndose a la norma de
IEEE, los equipos y protocolos de red pueden interoperar eficazmente.

FAST ETHERNET Para redes Ethernet que necesitan mayores velocidades, se

estableció la norma Fast Ethernet (IEEE 802.3u). Esta norma elevó los límites
de 10 Megabits por segundo (Mbps.) de Ethernet a 100 Mbps. con cambios
mínimos a la estructura del cableado existente. Hay tres tipos de Fast
Ethernet: 100BASE-TX para el uso con cable UTP de categoría 5, 100BASE-
FX para el uso con cable de fibra óptica, y 100BASE-T4 que utiliza un par de
cables más para permitir el uso con cables UTP de categoría 3. La norma
100BASE-TX se ha convertido en la más popular debido a su íntima
compatibilidad con la norma Ethernet 10BASE-T. En cada punto de la red se
debe determinar el número de usuarios que realmente necesitan las
prestaciones más altas, para decidir que segmentos del troncal necesitan ser
específicamente reconfigurados para 100BASE-T y seleccionar el hardware
necesario para conectar dichos segmentos "rápidos" con los segmentos
10BASE-T existentes.

PROTOCOLOS de red son normas que permiten a los ordenadores comunicarse.

Un protocolo define la forma en que los ordenadores deben identificarse entre
si en una red, la forma en que los datos deben transitar por la red, y cómo esta
información debe procesarse una vez que alcanza su destino final. Los
protocolos también definen procedimientos para gestionar transmisiones o
"paquetes" perdidos o dañados. IPX (para Novell NetWare), TCP/IP (para
UNIX, WindowsNT, Windows 95/98 y otras plataformas), DECnet (para
conectar una red de ordenadores Digital), AppleTalk (para los ordenadores
Macintosh), y NetBIOS/NetBEUI (para redes LAN Manager y WindowsNT)
son algunos de los protocolos más populares en la actualidad.

Aunque cada protocolo de la red es diferente, todos pueden compartir el

mismo cableado físico. Este concepto es conocido como "independencia de
protocolos," lo que significa que dispositivos que son compatibles en las capas
de los niveles físicos y de datos permiten al usuario ejecutar muchos
protocolos diferentes sobre el mismo medio físico.

ISP Un proveedor de servicios de Internet, por la sigla en inglés de Internet

Service Provider) es una empresa que brinda conexión a Internet a sus
clientes. Un ISP conecta a sus usuarios a Internet a través de diferentes
tecnologías como DSL, Cablemódem, GSM, Dial-up, Wifi, entre otros. Muchos
ISP también ofrecen servicios relacionados con Internet, como el correo
electrónico, alojamiento web, registro de dominios, servidores de noticias, etc.

CSU/DSU (Unidad de servicio de canal/Unidad de servicio de datos) es un

dispositivo del digital-interfaz usado para conectar a rebajadora a un circuito
digital tal como a T1 o T3 línea.
Un CSU/DSU funciona en capa física (capa 1) de Modelo de OSI. CSU/DSUs
también se hacen como productos físicos separados; CSUs y DSUs. Cualquiera
o ambos puede ser parte de un T1 WAN tarjeta insertada en a Equipo terminal
de datos por ejemplo una rebajadora.

Para las líneas digitales, a unidad de servicio de canal (CSU) y a unidad de

servicio de datos (DSU) se requieren. Los dos se combinan a menudo en una
pieza única del equipo, llamada el CSU/DSU y ambos se pueden insertar como
tarjeta de interfaz en una ranura de la rebajadora. El CSU proporciona la
terminación para la señal numérica y asegura integridad de la conexión a través
de la corrección de error y de la línea supervisión. El DSU convierte línea
marcos del T-portador en marcos el LAN puede interpretar y viceversa.
También conecta líneas del T-portador con terminar el equipo.

Uso

Un CSU/DSU tiene un acoplamiento E1/T1 en el lado de los medios y puede

tener FE1 y los puertos de Ethernet en el equipo echan a un lado. Los medios se
pueden dirigir sobre la línea/radio/OFC. El uso primario de un CSU/DSU es
proporcionar servicios convergidos de la voz (CEPT) y de los datos sobre los
acoplamientos estándares un T1/E1.

Línea velocidad

El T1 es un estándar americano con 1544 kbit/s o 1.54 Mbit/s, mientras que E1

es un estándar europeo con 2048 kbit/s o la línea velocidad de 2.04 Mbit/s.

Tarjeta de interfaz Wan de WIC

El WIC (tarjeta de interfaz Wan) contiene un CSU/DSU integrado que se

pueda fijar adentro a una ranura de la rebajadora ex. El 1 cheque portuario de
56/64-kbit/s DSU/CSU WIC (WIC-1DSU-56K4) el acoplamiento siguiente de
Cisco.
LAN Una red de área local, red local o LAN (del inglés local area network) es
la interconexión de una o varias computadoras y periféricos. Su extensión está
limitada físicamente a un edificio o a un entorno de 200 metros, con
repetidores podría llegar a la distancia de un campo de 1 kilómetro. Su
aplicación más extendida es la interconexión de computadoras personales y
estaciones de trabajo en oficinas, fábricas, etc.

Red de área local.

El término red local incluye tanto el hardware como el software necesario para
la interconexión de los distintos dispositivos y el tratamiento de la
información.

WAN Una red de área amplia, con frecuencia denominada WAN, acrónimo de
la expresión en idioma inglés wide area network, es un tipo de red de
computadoras capaz de cubrir distancias desde unos 100 hasta unos 1000 km,
proveyendo de servicio a un país o un continente. Un ejemplo de este tipo de
redes sería RedIRIS, Internet o cualquier red en la cual no estén en un mismo
edificio todos sus miembros (sobre la distancia hay discusión posible).

Muchas WAN son construidas por y para una organización o empresa particular
y son de uso privado, otras son construidas por los proveedores de internet
(ISP) para proveer de conexión a sus clientes.

Hoy en día, Internet proporciona WAN de alta velocidad, y la necesidad de

redes privadas WAN se ha reducido drásticamente, mientras que las redes
privadas virtuales que utilizan cifrado y otras técnicas para hacer esa red
dedicada, aumentan continuamente.

Normalmente la WAN es una red punto a punto, es decir, red de paquete

conmutado. Las redes WAN pueden usar sistemas de comunicación vía satélite
o de radio.
 CONCLUSIONES

1. Nos permitió conocer un sistema para la realización del monitoreo del

trafico de una red e identificar los detalles de cada protocolo y paquete.

2. Se exploro las funciones y tareas que se pueden realizar en el programa

Wireshark, para mantener un monitoreo constante de la red y conocer e
identificar los equipos pertenecientes a nuestra red.

3. Se logro identificar una característica muy importante del monitoreo de

la red, que es poder detectar a tiempo, posibles fallas o errores que
afectan el funcionamiento de la red, para poder tomar las medidas
necesarias.

4. Se descubrió que existen muchos sistemas para el monitoreo de la red

con diferentes funcionalidades y ventanas, que le permiten a los
administradores de red, tener un mayor control sobre el tráfico de red
y brindar un soporte oportuno y eficiente.
 BIBLIOGRAFIA

http://es.wikipedia.org/wiki/

http://es.kioskea.net/contents/internet/tcp.php3

http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html

http://www.wireshark.org/

http://wireshark.softonic.com/

http://www.consulintel.es/Html/Tutoriales/Lantronix/guia_et_p1.html