Soporte de Redes

Como obtener la certificación CCNA - Parte II

noreply@blogger.com (Leonel Munguia) — Sun, 30 Aug 2009 22:05:00 +0000

Hace 2 años, publique un post con este titulo, mucho tiempo ha pasado desde entonces, y hace algunas semanas tome el examen de certificación CCNA actual con objetivo de recertificarme, así que decidi revisar esta entrada y actualizarla luego de haber tenido la experiencia de hacer el examen recientemente.

Una de las políticas de Cisco con relación a las certificaciones es estarlas revisando constantemente y agregar o quitar temas, por ejemplo, cuando hice mi primer examen de certificación en el 2001, habia muchos temas que no formaban parte del examen, por ejemplo el protocolo de ruteo OSPF era considerado un tema de CCNP, ahora aun es parte de un curso de CCNP, pero también se evaluan los conectpos fundamentales de OSPF en el examen de CCNA.

Este post esta basado en el examen de certificación actual (CCNA 640-802), aunque es importante hacer la observación que ahora existe la posibilidad de rendir dos examenes separados, el 640-822 (ICND1) el cual además permite obtener la certificación CCENT (Cisco Certified Entry Network Technician), y luego hacer el examen 640-816 (ICND2) y obtener la certificación CCNA.

Ahora concentrandonos en la opción de un solo examen (CCNA 640-802) mi primer consejo no tiene que ver con que material estudiar, o que cursos recibir, lo primero pienso es evaluar sus prioridades y decidir si esta certificación vale la pena de acuerdo a sus metas y prioridades a corto y mediano plazo, si hay cosas más importantes en estos momentos en su carrera, en sus planes de futuro, creo que hay que concentrarse en esas otras metas y ya habrá tiempo en el futuro de replantearse la certificación y si sus objetivos lo ameritan, entonces concentrase de lleno en esto.

Menciono lo anterior porque en realidad esta certificación requiere de un compromiso serio y apartar tiempo que normalmente se dedicaria a otras cosas para estudiar, practicar y prepararse a conciencia para el examen, si tienes otros objetivos de momento, será muy dificil concentrarse y dedicarle el tiempo requerido a la preparación de la certificación.

En cuanto a la preparación en si, creo que una de las vías más accesibles y recomendables es estudiar en una Academia Cisco, actualmente el programa Cisco Networking Academy ofrece dos opciones, CCNA Discovery y CCNA Exploration, el enfoque de ambos no es solo en el examen de certificación sino que es también una excelente preparación para adquirir las experiencias y conocimientos requeridos en la vidad real, es decir estos cursos no solo lo preparan para el examen de certificación sino también para un trabajo en el área de Redes.

Una razón importante para considerar el estudio en una Academia Cisco, es porque para rendir el examen y aprobarlo, se requieren no solo conocimientos teóricos, sino también conocimientos prácticos, los cursos de la academia incluye laboratorios claves y un simulador muy util que permite adquirir la experiencia práctica en configuracion y resolución de problemas en equipos Cisco.

Al aprobar cualquiera de los dos cursos mencionados anteriormente (Discovery o Exploration), se esta un paso más cerca de la certificación, sin embargo mi opinion personal es que aun falta un poco más, creo que vale la pena complementar el estudio con la guía oficial de preparación para la certificación, ahora disponible en Español me parece un excelente recurso para complementar y dominar los temas necesarios para rendir con exito el examen de certificación.

A diferencia de hace algunos años, ahora es muy factible preparar y rendir el examen en español, tanto los cursos Discovery y Exploration estan disponibles totalmente en español y como comente en el parrafo anterior las guias de certificación también estan disponibles en español, el examen es posible también hacerlo en español, asi que eso es un factor importante a considerar.

Para los que estan más familiarizados con los temas del examen en idioma Ingles, rendir el examen en este idioma tiene el beneficio de 30 minutos adicionales que son muy muy valiosos que pueden hacer la diferencia entre aprobar y fallar el examen.

Asi que resumiendos mis consejos en este tema 2 años despues los resumo asi:

1. Decidir si la certificación vale la pena y establecerla como una prioridad para poderle dedicar el tiempo y los recursos necesarios para la preparación.
2. Iniciar la preparación inscribiendose en una Academia Cisco de su localidad en cualquiera de los dos curriculums, Discovery y Exploration, en cualquier academia les pueden dar más información sobre las dos opciones, para que decidan que les conviene más.
3. Comprar las guias de certificación para preparación final antes del examen.

A continuación algunos links que pueden ser de utilidad.

Cisco Networking Academy - Sitio oficial de las academias Cisco, desde aqui pueden encontrar información sobre los curriculums o localizar una academia cercana a su localidad.

Guías para la certificación - Como mencione, ahora estas guías estan disponibles en Español.

CCNA ICND 1 Guía oficial para el examen de certificación

CCNA ICND 2 Guía oficial para el examen de certificación

Cisco Learning Network - Sitio oficial de Cisco, con material util para complementar la preparación del examen.

Si estas interesado en la certificación Cisco, mantente pendiente, ya que tengo pensado publicar otro post con detalles más especificos que pueden ser de utilidad a las personas que ya se estan preparando y tienen el examen a la vista en unas pocas semanas, adicionalmente te invito a compartir tus experiencias ya sea con el examen o con la preparación del examen que pueden ser de utilidad para otros.

NetworkMiner - Analizador de trafico de red

noreply@blogger.com (Leonel Munguia) — Fri, 05 Sep 2008 02:47:00 +0000

Agradezco a los lectores que se tomaron el tiempo de responder a la encuesta anterior, luego de una cerrada votacion, un voto de ultima hora favorecio que este post sea relacionado con herramientas de soporte, asi que para agradecer a estos amables lectores, este post esta relacionado con una herramienta relativamente nueva, pero que definitivamente es una excelente adicion al arsenal de soporte, espero que este post sea de utilidad.

NetworkMiner es un analizador pasivo de trafico de red, como Wireshark puede capturar trafico, pero su enfoque y su mayor potencial no es tanto la captura sino más bien al análisis, especificamente al análisis forense del tráfico de red, a que me refiero con esto, quedara más claro luego que veamos ejemplos prácticos del uso de esta herramienta. Por lo pronto y a manera de introducción y motivación para continuar leyendo este post, puedo decirte que es un excelente complemento de Wireshark, esta basado en Windows y es Open Source por lo que no hay nada que te impida bajarla y ejecutarla en tu red. Sin más, entramos en materia...

A continuación se enumeran algunas caracteristicas de este software:

Permite la identificación de sistemas operativos y alguna información adicional sobre los hosts que detecta (OS Fingerprinting)
Reconstrucción de archivos - Supongamos que tenemos un archivo capturado en wireshark (con extensión pcap) al abrirlo en NetworkMiner, reconstruira los archivos que se encuentren presentes en la captura.
Extracción de imagenes - Como en el caso anterior, si tenemos una captura y la abrimos en NetworkMiner, reconstruira todas las imagenes presente que hay en la captura.
Identificación de credenciales - Identificara usuarios y passwords dentro de una captura.

Las anteriores son algunas de las caracteristicas más sobresalientes, aunque hay algunas más que no se discuten en este post, puede que te parezca que lo anterior no tiene mucha utilidad, espero con algunos ejemplos prácticos demostrar que no es asi, manos a la obra.

Para instalar el software unicamente lo baje del sitio, venia en un archivo .zip, luego de descomprimirlo, en el directorio que se crea, se ejecuta NetworkMiner.exe, y entramos a la interface principal, en la figura abajo, se muestra la pantalla principal en el momento en que se esta abriendo un archivo pcap (capturado previamente con Wireshark), como comente anteriormente, la parte de captura no es el principal fuerte de este software, de hecho no me funciono en Windows Vista, si vas a usar este software, quizas sea buena idea hacer las capturas con Wireshark en el formato pcap.

En Wireshark bajo el menu statistics, es posible observar una lista de los hosts detectados en una captura (llamados Endpoints), en NetworkMiner también, pero con mayor riqueza de información gracias a sus caracteristicas de identificación de sistemas operativos, por ejemplo en la figura abajo, muestra un host detectado, pero no solo muestra la dirección IP, sino también nos informa que esta PC esta ejecutando Windows, que el puerto 80 esta a la escucha y además que esta ejecutando el servidor web apache, esto nos puede ser de utilidad entre otras cosas, para detectar PCs o servicios no autorizados en nuestra red.

En el post Nanspy Worm en mi Laptop, describi el uso de Wireshark para detectar y eliminar un gusano, un aspecto clave en ese análisis fue detectar la presencia de algunos archivos que habían sido transferidos a ma laptop, con NetworkMiner es posible ver que archivos han sido transferidos, esto desde la pestaña Files, en ella muestra todos los archivos que han sido transferidos en una captura dada, a continuacion se muestra una captura en la que se detectaron algunos archivos sospechosos.

NetworkMiner también permite reconstruir las imagenes que detecta en una captura, supongamos que por ejemplo has hecho una captura en wireshark del tráfico de tu conexión a internet, en la pestaña images mostrara que imagenes han estado viendo los usuarios de la red, podrias descubrir contenido no permitido.

Para terminar con los ejemplos prácticos, NetworkMiner también es capaz de detectar credenciales que han sido utilizadas, si durante una captura, un usario establecio una conexión a telnet a un router, en la pestaña credentials, veras el usuario y password que se uso y te daras cuenta que es de suma importancia utilizar métodos más seguros para conectarte a tus equipos de red (como SSH, aunque ese, es otro tema).

Espero que con los ejemplos anteriores, este más que claro que este software tiene mucho potencial, hay algunas otras características que no se han discutido acá, y por ser este un software open source en constante evolución, con toda seguridad en el futuro tendrá aun cosas más interesantes que mostrar, por lo pronto es importante mantenerlo en perspectiva, no es un sustituto de Wireshark, a mi modo de ver, es un excelente complemento para facilitar el análisis forense del tráfico de tu red.

Finalmente, no esta de más mencionar que estos son mis primeros pasos con esta herramienta, en realidad la descubri hace unos poco días, asi que no ofrezco dar soporte, si en algo puedo ayudar con gusto, pero apenas estoy conociendo esta herramienta. Favor también tomar en cuenta la advertencia del siguiente parrafo.

Advertencia: Asegurate de contar con el permiso para análizar el trafico de tu red, la información que despliega NetworkMiner puede ser reveladora y atentar contra políticas de privacidad, asi que no utilices esta herramienta indiscriminadamente.

Nueva Encuesta

noreply@blogger.com (Leonel Munguia) — Fri, 22 Aug 2008 04:08:00 +0000

Este es otro micropost, para solicitar retroalimentacion de los lectores, ya seas usuario nuevo, o regular de este blog, nuevamente he tenido el tiempo limitado para poder dedicarlo al blog, pero se que algunos usuarios han encontrado informacion de utilidad y no pienso abandonar este esfuerzo.

Es por esto que estoy solicitando el apoyo para llenar la encuesta de la izquierda, indicando que tema te interesaria para un nuevo post, mi tiempo es limitado y me gustaria enfocarlo en lo que genere mas interes. Agradezco de antemano esta retroalimentacion y de paso pido disculpas a algunos lectores a los que no he respondido sus mails o comentarios, si todavia tienes algun tema que te interesa resolver, favor deja nuevamente tu comentario o enviame un correo a lmunguia@soportederedes.com

Nanspy Worm analizado con Wireshark

noreply@blogger.com (Leonel Munguia) — Fri, 02 May 2008 05:17:00 +0000

Los lectores mas fieles del blog recordaran que en septiembre del 2007, mi laptop fue infectada por el gusano Nanspy, un usuario me pidio colocar algunas pantallas del proceso de deteccion del gusano utilizando Wireshark y eso es lo que ha motivado este post, el cual ademas de ilustrar los pasos que me permitieron detectar la presencia de actividad anomala en mi laptop, tambien permite ver al Wireshark en accion y el uso de Follow TCP Stream una de las funciones muy utiles para en analisis de capturas en Wireshark.

Como se describe en el post original a finales de Agosto del 2007 empeze a obsever un comportamiento extraño en mi laptop (actividad en la tarjeta de red sin tener ninguna conexion a internet abierta), lo que me motivo a ejecutar Wireshark, tratando de encontrar las causas de este comportamiento extraño, practicamente con solo iniciar la captura pude darme cuenta que algo anomalo estaba ocurriendo, ya que se observo el siguiente trafico. Nota: con un click sobre la figura puedes verla en tamaño normal

Lo que se observa en la figura anterior, es el tipico comportamiento de un gusano tratando de encontrar victimas para infectar, la ip 192.168.0.148 es la direccion de la laptop y esta intentando establecer conexion con otros host que pertenecen al mismo rango (asumiendo que la mascara es 255.255.0.0), como se puede observar en la columna info, la laptop esta enviando paquetes con el bit SYN activado, en TCP es la primera accion para establecer contacto con el host de destino, algo mas que se observa en esta figura es que estos intentos son hacia el puerto 135, por la configuracion de mi red, ninguna de estas direcciones era alcanzable, de haberlo sido, se podria haber observado los siguientes pasos del gusano para tratar de infectar a otros hosts. Si esta hubiera sido una red corporativa, la probabilidad de infectar otros hosts hubiera sido muy alta, digo, si infecto a una maquina es muy probable que haya muchas maquinas mas vulnerables en la red. Habiendo visto esto, sabia que la maquina estaba infectada, en un tiempo posterior realize una nueva captura, pero esta vez con la intencion de ver el comportamiento desde el momento que se iniciaba la pc, para ello encendi la maquina sin conexion a la red, ejecute Wireshark y luego conecte el cable de red, de esta manera pude capturar lo que ocurria desde el inicio, vale recordar que esta pc ya estaba infectada, es decir lo que aqui esta ilustrado es el comportamiento de la maquina infectada no el proceso de infeccion. A continuacion se muestra la siguiente captura.

En esta captura se pueden observar al gusano en accion, los paquetes 3, 6 y 7 corresponden al TCP Hand-shake entre la laptop y la direccion 87.118.110.78 (en adelante la direccion sospechosa), es el procedimiento normal de cualquier conexion TCP, no voy a entrar en detalle ya que no es el proposito de este post, en el paquete 7 la conexion ya esta establecida y a continuacion en el 8 se observa algo inquietante, la laptop hace una peticion http HEAD y en el paquete 13 se observa la peticion http GET, esta tratando de obtener de la direccion sospechosa el archivo gate.exe, esto no suena nada bien, para observar con mayor detalle selecciono el paquete trece y a continuacion en el menu de Wireshark selecciono Analyze Follow TCP Stream, con este comando se despliega la data que finalmente es observable por la capa de aplicacion de la pila TCP/IP en un stream en particular, en este caso estoy interesado precisamente en observar que paso con esta peticion GET (y de paso tener mas detalles de la misma), el resultado del Follow TCP Stream se observa a continuacion

Lo que puedo deducir de este seguimiento es que la laptop esta tratando de bajar una actualizacion del archivo gate.exe ya que se trata de un GET condicional, otra pista se observa en la cuarta linea donde se ve User-Agent: mmsvc32.exe, finalmente observo que mi maquina ya tiene instalado este archivo, porque la respuesta al GET fue un HTTP/1.1 304 Not Modified, que es gate.exe y mmsvc32.exe, en estos momentos no tengo ni idea, hay que seguir investigando. Bajando un poco mas en el archivo de captura, encuentro otros GET sospechosos, a continuacion esta la figura que muestra el resultado de ejecutar nuevamente Follow TCP Stream sobre los paquetes que muestran nuevas peticiones GET.

Aqui se observa algo muy similar, nuevamente la laptop reviso para ver si hay alguna actualizacion de los archivos bbot.exe y psvc.exe, nuevamente aparece la linea mmsvc32.exe, como en el caso anterior, los archivos ya existen en la pec porque la respuesta es 304 Not Modified. Poco despues de estas interacciones, la laptop inicia nuevamente un SYN Scan, solo que esta vez ya no es es sobre un rango de direcciones locales sino un rango de direcciones publicas, mmm, este gusano en realidad esta tratando de propagarse, a continuacion la figura de estos intentos (afortunadamente fallidos) de infectar otro rango de direcciones

Ahora cuento con informacion suficiente para investigar que esta pasando, una busqueda de bbot.exe en google, me lleva hasta una pagina que me permite concluir que se trata de Nanspy, en la documentacion encontrada se hace referencia a mmsvc32.exe (mm, donde habia oido de este archivo?, por supuesto, lo vi en Wireshark), mi maquina esta infectada!. Esta fue la forma como utilize Wireshark para encontrar que estaba pasando con mi maquina, tal vez no sea la mejor manera, pero me sirvio, si observas un escaneo SYN como el de la figura reciente, investiga mas a fondo, lo mas seguro es que un gusano infecto tu PC.

Las funciones básicas de un switch

noreply@blogger.com (Leonel Munguia) — Fri, 14 Mar 2008 04:38:00 +0000

El artículo más leído de este blog, es el de Vale la pena un switch administrable? Algunos lectores están interesados en saber las diferencias entre un switch administrable y otro que no lo es, las diferencias de precio son importantes y por eso surge la curiosidad, que ventajas tiene uno sobre el otro? Otros lectores ya cuentan con un switch administrable, pero no saben que hacer con él, como aprovechar esas características que costaron muchos dólares de más.

No es posible describir en un solo post todo lo que es posible hacer con un switch administrable, por lo que en el futuro espero dedicar al menos un post al mes para describir con más detalle algunas características de los switches, con ejemplos prácticos de implementación, por lo pronto quiero empezar con los fundamentos, en realidad como funciona un switch?, Esto nos ayudará a sentar las bases para más adelante discutir prestaciones más avanzadas de los switches.

Un Switch es un dispositivo de red que funciona en la capa 2 del modelo OSI, para los lectores que no están familiarizados con el modelo OSI, los invito a leer la definición de la wikipedia, para los propósitos de este post lo importante es saber que la capa 2 tiene que ver con la dirección física de la tarjeta de red, esto es la dirección MAC, que es un número único asignado por el fabricante a la tarjeta de red, cada fabricante tiene su propio rango de direcciones MAC, lo que asegura que no se repitan, en la práctica es posible modificarlo mediante software, pero en lo que respecta al proceso de fabricación, si es un número único asignado a cada tarjeta de red.

De paso también menciono que hay switches de capa 3 e incluso de capa 4, pero aun estos switches más avanzados, deben cumplir con las funciones de un switch capa 2, que es las que explicaremos en este post.

Un switch debe realizar tres tareas básicas, las cuales se describen a continuación.

1. Aprender direcciones (address learning)

Todo switch tiene una tabla de direcciones MAC con el puerto asociado, cuando el switch se enciende por primera vez, esta tabla esta vacía, ahora con relación a la figura 1, supongamos que A, desea comunicarse con B, para esto, A tiene preparado un frame, en el que entre otras cosas, esta expresadas los direcciones de origen y destino. El siwtch recibe este paquete y toma nota de la dirección de origen y la anota en la tabla de direcciones MAC, esto es la línea 1 de la tabla MAC ilustrada en la figura 1. Inicialmente el switch no conoce donde esta ubicado B, por lo que reenvia el frame a través de todos los puertos excepto en el puerto donde lo recibió, de esta manera B recibe el frame y lo responde nuevamente con un paquete que tiene como origen la dirección MAC de B, por lo que de esta manera, el switch ahora puede determinar donde esta ubicado B y agrega la segunda línea de la pequeña tabla MAC ilustrada en la figura 1. Para la siguiente comunicación entre A y B, el switch conoce la ubicación exacta de ambos y reenvia los frames directamente entre A y B.

2. Reenviar y Filtrar

Cuando el switch recibe un frame, examina el destino y busca en la tabla el puerto de salida y lo envía únicamente a través de este puerto, esta es la función de filtro, limita el envió del frame al puerto específico en el que se encuentra el destino. Por otra parte, como ya vimos al inicio, si la tabla MAC aun no tiene la información el paquete es reenviado a todos los puertos excepto al puerto en el que se recibió el paquete originalmente, lo mismo pasa cuando ocurre un broadcast (en breves palabras, un broadcast es un frame cuya dirección de destino es todos los del segmento) es decir, cuando una PC envía un frame de broadcast, este es recibido por todas las PCs en el mismo segmento de red, en el caso de los broadcast, el switch los reenvia por todos los puertos, excepto en el puerto que lo recibió originalmente.

3. Evitar Loops

Una tercera función básica e importante de un switch es evitar loops (uso el ingles, porque me parece más apropiado que bucle, o lazo). Para entender que es un loop, y lo dañino que es para cualquier red, observemos la situación ilustrada en la figura 2. Supongamos que por conveniencia alguien decide que desea tener dos enlaces a un mismo switch, de tal forma que si uno falla el otro funcione, o supongamos que alguien inadvertidamente ve un cable colgando y con la mejor de las intenciones decide conectarlo al switch sin percatarse que ese mismo cable ya estaba conectado en otro puerto del mismo switch, lo que ocurre a continuación es desastroso.

Imaginemos que la PC envía un broadcast, este es recibido por el switch 01 y reenviado a todos los puertos excepto el puerto F0/3 (porque por ahí fue recibido originalmente), el switch 02 recibe uno de los broadcast en el puerto F0/1 y lo reenvia a todos los demás puertos excepto por supuesto el puerto F0/1, el problema es que el broadcast también llego por el puerto F0/2 y reenviado a todos los puertos, así que el resultado es que tanto en F0/1 como en F0/2 del switch 02, tendremos nuevamente un paquete de broadcast enviado al switch 01 que nuevamente repite la acción y de esta forma tenemos un loop infinito, en la práctica lo que ocurre es que esto deja inutilizada la red, ya que los recursos en el switch están totalmente consumidos enviando y recibiendo broadcast. He vivido experiencias de estas y créanme que no es nada agradable.

Por lo anterior, un switch debe proveer de mecanismos que eviten la formación de estos loops, y la solución es el Spanning Tree Protocol o STP, este protocolo evita la formación de loops en los switches

De las tres características antes mencionadas, las primeras dos están presentes en cualquier switch sea o no administrable, sin embargo, la tercera, la posibilidad de evitar loops únicamente esta disponible en switches administrables, no solo eso, usualmente requieren poca o ninguna configuración, por lo que a mi entender, este simple hecho es una buena razón para utilizar switches administrables.

Una de las preguntas que me han hecho algunos lectores es la siguiente, acabo de comprar un switch administrable, que debo configurarle para que mi red funcione? en principio nada, el switch tan pronto se conecte a la energía eléctrica y tenga PCs conectadas en sus puertos intentando comunicarse unas con otras, empezara a construir su tabla de direcciones, reenviara y filtrara frames y también evitara loops, por supuesto en el caso de los switches administrables.

También una palabra de advertencia, el hecho de tener algunos switches administrables no evitara la formación de loops en los switches no administrables, he visto redes de miles de dólares venirse abajo porque alguien conecta en algún punto de la red, un switch no administrable e inadvertidamente forma un loop. Por supuesto, la presencia de switches administrables permitirá diagnosticar y resolver el problema de manera más rápida.

Ahora, supongo que no invertiste miles de dólares, para que tu switch aprenda direcciones, reenvie/filtre frames y evite loops, por supuesto que deseas hacer muchas cosas más con tu switch, te invito a dejar un comentario con tus inquietudes, experiencias y espero más adelante estar publicando otros artículos para que puedas desquitar cada dólar de tu inversión.

El comando netstat en Windows

noreply@blogger.com (Leonel Munguia) — Sat, 08 Mar 2008 02:58:00 +0000

Netstat es una herramienta disponible desde la línea de comando de la mayoría de sistemas operativos importantes (Windows, Linux, Unix, etc), es otra de esas herramientas disponibles gratuitamente, pero a mi parecer bastante subutilizada. Entre otras cosas, esta herramienta permite dar un vistazo a las conexiones que tiene establecida la PC, también permite ver algunas estadísticas de red y la tabla de ruteo (esto ultimo también esta disponible con el comando route print)

En este post me voy a concentrar en la versión para Windows, particularmente en XP, puedo suponer que las mismas opciones también aplicarían a Windows Vista, pero de momento no tengo como comprobarlo. Ahora, sin más preámbulos, veamos algunos usos prácticos de este comando.

Para utilizar esta herramienta, únicamente tienes que abrir una línea de comando y escribir netstat al presionar enter, se desplegara un listado de conexiones activas en tu PC, como puede verse en la siguiente figura, la primera columna muestra el protocolo (puede ser tcp o udp), la siguiente muestra la dirección local junto con el puerto local, a continuación esta la dirección y puerto remoto y finalmente se muestra el estado de la conexión, en la figura puede verse que hay conexiones establecidas y otras en estado TIME_WAIT, esto indica que son conexiones tcp que ya se están cerrando. Esta información se captura en un instante de tiempo (constante se están creando y cerrando conexiones, así que aquí viene el primer tip, si deseas que la lista se este refrescando cada x tiempo, puedes agregar el numero de segundos de intervalo al final del comando, por ejm. netstat 10 refrescara la estadística cada 10 segundos.

Si el uso anterior fuera el único de este comando, sería interesante, pero quedaría en deuda, la clave esta en usar las opciones, si deseas verlas basta con escribir el comando netstat help, hay varias opciones y te animo a experimentarlas, se pueden utilizar solas o combinadas, en lo particular me resultan útiles algunas opciones especificas que describo a continuación.

Utilizando el comando con las opciones a (que despliega todas las conexiones y puertos que están abiertos, es decir esperando conexiones o en listening state) y o que despliega el PID del proceso que esta utilizando la conexión, el comando sería netstat -ao y el resultado puede verse en la siguiente figura.

Saber que puertos están abiertos es importante ya que permite detectar algunos procesos que no deberían estar en este estado, esto puede ayudar a descubrir spywares en tu PC, o protocolos que están corriendo y no deberían, por ejemplo en la figura anterior observo que el puerto 1025 en mi PC esta en estado LISTENING, la pregunta obvia es que programa o servicio esta abriendo el puerto 1025?, aquí es donde entra la opción o del comando, ya que muestra el PID (process ID),que en este caso en particular es esl 120, sabiendo este número, podemos utilizar el comando tasklist, que muestra el servicio o programa que esta abriendo este puerto, en la siguiente figura puede verse el resultado del comando tasklist, ahí observo que el programa asociado al proceso 120 es alg.exe nunca he oído hablar de alg.exe así que esto me genera curiosidad después de investigar un poco en internet, me doy cuenta que es un proceso normal de Windows utilizado por Internet Connection Sharing, uff, menos mal, sin embargo, utilizando esta misma lógica, se pueden encontrar programas maliciosos en tu PC (en mi caso, el siguiente paso sería abrir Wireshark y capturar tráfico para tener aun más detalles de lo que esta pasando).

La otra opción que puede resultar muy útil de este comando, es la opción de ver estadísticas de la conexión, el comando sería netstat -es que desglosa las estadísticas por protocolo, un análisis de estas estadísticas puede revelar problemas de cableado, o con la interface (por ejemplo si se observa un número alto de errores), o también ayudar a aislar mejor la causa del problema, te animo a experimentar con esta opción y ver que estadísticas te pueden resultar útiles.

Finalmente un consejo, es una buen práctica utilizar regularmente este comando en tu PC, si lo haces cuando todo esta funcionando bien, puedes identificar que procesos son normales, que puertos están abiertos, etc, esto te puede servir de base, en el futuro, si tu PC empieza a dar problemas, un rápido vistazo con netstat -ao puede ayudarte a identificar la raíz del problema, no digo que es un método infalible pero vale la pena considerarlo.

Las 12 verdades fundamentales de las redes

noreply@blogger.com (Leonel Munguia) — Fri, 29 Feb 2008 18:22:00 +0000

Si llevas cierto tiempo en el mundo de las redes, con toda seguridad has oído hablar de las RFC, estos son los documentos que dan vida a los protocolos de red, no es el propósito de este post hablar sobre los RFC en general, por lo que únicamente mencionare que si quieres encontrar más información al respecto, puedes ver la definición dada por la wikipedia, también puedes ir al sitio oficial de las RFC.

Lo que si es el propósito de este post, es discutir la RFC 1925, esta pertenece a un tipo especial de documento. Como muchos de ustedes probablemente saben, en Estados Unidos y en muchos otros países, se celebra el 1 de abril, algo equivalente a lo que en latinoamerica celebramos el día de los inocentes el 28 de diciembre. Pues bien, desde hace muchos años, es costumbre publicar algunas RFCs el 1 de abril, con algunas notas humorísticas, por ejemplo la RFC 2324 describe detalladamente el protocolo HTCPCP (Hyper Text Coffee Pot Control Protocol), un protocolo para el control, monitoreo y diagnostico de una cafetera! La RFC 1925 pertenece a este tipo especial de RFCs, consideradas humorística. Sin embargo aunque si tiene su lado humorístico, esta RFC presenta las 12 verdades fundamentales de las redes, que si las analizamos una por una, en realidad nos dejan lecciones dignas de reflexión en cuanto al que hacer de las redes, así que me he tomado la molestia de traducirlas y las pueden ver a continuación.

Antes de continuar, aclaro que esta es una traducción que hice tratando de ser fiel a la original, igual los invito a ver la versión original, puede ser que la entiendas mejor en su idioma original, además, todos los créditos son para Ross Callon, el autor que inspiradamente escribió estas 12 verdades fundamentales y las documento en la RFC 1925, a continuación las verdades:

Las 12 verdades Fundamentales de las redes

(1) Tiene que trabajar

(2) Por mas esfuerzo que se haga, y sin importar la prioridad que se establezca, no se puede incrementar la velocidad de la luz.

(2a) (corolario). Por mas esfuerzo que se haga, no se puede hacer un bebe en un periodo mucho menor a 9 meses. Tratar de acelerarlo podría hacerlo mas despacio, pero no hará que pase mas rápido.

(3) Con la suficiente fe, los cerdos pueden volar muy bien. Sin embargo no necesariamente es buena idea. Es peligroso estar sentado en el espacio en el que están volando, porque no se puede predecir donde van a aterrizar.

(4) Algunas cosas en la vida nunca pueden ser completamente entendidas o apreciadas a menos que sean experimentadas de primera mano. Algunas cosas en las redes nunca pueden ser completamente entendidas o apreciadas por alguien que no construye redes comerciales ni esta involucrado en el día a día de la operación de una red.

(5) Siempre es posible consolidar diferentes problemas que no tienen relación entre si, en una sola solución compleja e interdependiente. En la mayoría de los casos es una mala idea.

(6) Es más fácil mover un problema que resolverlo (por ejemplo moviendo el problema a otro segmento de la arquitectura de la red).

(6a) (corolario). Siempre es posible agregar otro nivel de desorientación.

(7) Siempre hay algo

(7a) (corolario). Bueno, rápido, barato: Seleccione dos (no se pueden tener los tres al mismo tiempo)

(8) Es más complicado de lo que parece

(9) Para todos los recursos, sean los que sean, se necesitan más

(9a) (corolario) Cada problema de la red toma más tiempo para resolver de lo que uno supone que debería tomar.

(10) Una solución nunca resolverá todos los problemas (one size never fits all).

(11) Todas las viejas ideas serán propuestas de nuevo, con un nombre y presentación diferentes sin importar si funcionan o no.

(11a) (corolario). Vea la regla 6a.

(12) Sabemos que se ha alcanzado la perfección en el diseño de protocolos, no cuando ya no queda nada más que añadir, sino cuando no queda nada que quitar.

Como les mencione tiene un poco de humor, pero también encierra muchas verdades, en particular creo que todos en algún momento nos hemos dado cuenta de la cruda realidad de la verdad fundamental 7 y el corolario 7a, esto para mencionar dos, en general creo que todas tienen algo que en una u otra oportunidad hemos experimentado.

Si estas interesado en más RFCs humorísticas, puedes verlas aquí, tal vez más adelante analicemos alguna otra, si tienes comentarios sobre las 12 verdades fundamentales de las redes, no dudes en hacerlo, podrían ser útiles para otros.

Un nuevo año

noreply@blogger.com (Leonel Munguia) — Sun, 24 Feb 2008 03:52:00 +0000

Este saludo de año nuevo, tal vez llega un poco tarde, ya casi estamos terminando el segundo mes del año, pero bueno, para mi actividad en el blog, si es como año nuevo, finalmente estoy de regreso en lo que espero sea un horario más regular de publicaciones en este post.

No les voy a quitar mucho el tiempo, solo quiero solicitarles su apoyo participando en la encuesta a la derecha, periodicamente estaran apareciendo nuevas encuestas y su colaboración es apreciada, ya que permitira orientar mejor los contenidos del blog, esta encuesta inicial es un poco un beta test y de paso me interesa conocer el uso que actualmente le estan dando a Wireshark, es para resolver problemas en el trabajo? o quizas estas estudiando y utilizas Wireshark como una herramienta de aprendizaje primariamente?, o unicamente en tu casa como hobbie? para participar basta un click y de antemano gracias por hacerlo, Feliz y Prospero 2008 para todos.

Wireshark 101 - IO Graphing

noreply@blogger.com (Leonel Munguia) — Fri, 22 Feb 2008 18:40:00 +0000

Una de las características deseadas en un analizador de paquetes, es la capacidad de visualizar los datos de manera gráfica, esto es especialmente crítico a la hora de presentar un reporte con los hallazgos de un análisis a personas cuya especialidad no son las redes. Una gráfica puede explicar mucho mejor una situación que una serie de números sin sentido.

En este aspecto, mi opinion, es que Wireshark se queda un poco atrás, analizadores comerciales como el sniffer pro de Network General, tiene muy buenas opciones de gráficos para generar reportes que se ven muy bien y que dicen mucho, sin embargo, las opciones para gráficar que tiene Wireshark, si bien no son muy vistosas, si son utiles y vale la pena hecharles un vistazo ya que pueden ayudar, tanto para el análisis, como para el momento de presentar un reporte sobre los hallazgos.

Existen diferentes tipos de gráficos en Wireshark, como el flow graph que permite visualizar gráficamente el flujo de una conexión tcp/ip (como la muestran en los libros), o el TCP Stream Graph, que cuenta con algunos tipos de gráficos orientados más al análisis, pero que también pueden ser utilizados para reportes, sin embargo, en esta oportunidad, como el titulo lo indica, nos concentraremos en las graficas de entrada y salida (IO Graphs), estas nos permiten visualizar, el tráfico total que esta pasando por nuestro punto de medición en un momento dado.

Para activar esta gráfica, es necesario ir al menu statistics -> IO Graphs, como lo muestra la figura abajo, esto por supuesto una vez que hemos realizado una captura, es decir, la gráfica se generara a partir de paquetes previamente capturados.

En la siguiente figura, puede verse el resultado, sobre esta gráfica quiero hacer varias observaciones, en primer lugar, como pueden observar, esta el área de la gráfica, en esta en el eje x se muestra el tiempo, en este caso, la captura fue por aproximadamente dos horas, por lo que para ver la gráfica como esta aca, se modifico el campo tick interval a 1 Min (el default es 1 seg), en general este parametro se puede modificar de acuerdo al nivel de detalle que se desea tener. En el caso del eje Y, también se modifico la unidad, del default (que es Packets/tick) a Bytes/Tick. En el caso del eje Y, también esta una opción avanzada que permite unas opciones de análisis más potentes y que probablemente analizemos en una segunda parte.

Además de poder ajustar los ejes X y Y, para tener una mejor representación del tráfico, el verdadero potencial de estas gráficas, esta en la posibilidad de aplicar filtros, por ejemplo en el caso ilustrado en la figura anterior, se ha aplicado un filtro para ver cuanto del tráfico ilustrado en dicha gráfica es http, como se puede ver a la derecha de la pantalla, la gráfica 2 tiene aplicado el filtro http, los filtros que se utilizan acá, son filtros de visualización, aqui http es un filtro muy sencillo, pero en general se pueden utilizar filtros muy elaborados que permitan una mejor comprensión del problema que se esta analizando, para activar el filtro se presiona el boton correspondiente (Graph 2, en este caso) y como se puede ver en la figura, aparece con color rojo el tráfico http, la Graph 1, muestra el tráfico total en color negro. Se pueden generar hasta 5 gráficas, para activar/desactivar una gráfica, basta con presionar el boton correspondiente a dicha gráfica.

Finalmente menciono el boton Save, este esta disponible a partir de la versión 0.99.7 (la más reciente, que dicho de paso, si aun no has bajado, hazlo ya, puedes encontrala en el sitio de wireshark. Esta opción permite salvar la gráfica, en varios formatos gráficos, en una prueba que hice me dio un error, pero igual salvo la gráfica.

Este no es ni por mucho un tutorial avanzado de gráficas de Wireshark, el propósito es dar a conocer esta opción (para aquellos que aun no la conocian), en futuros post se estara haciendo referencias a las gráficas IO, por lo que vale la pena conocerlas, por lo demás te animo a experimentar con ellas.

Para los que quieren ver aplicaciones de esta gráficas en acción, hay un par de recursos interesantes, lamentablemente en Ingles, para los que lo entienen, perfecto, los invito a revisarlos, para los que no, también los invito a ver este par de videos, veran que las gráficas IO de Wireshark, tienen mucho potencial, estos son videos de Laura Chappel, la fundadora de WiresharkU, asi que insisto, vale la pena verlos, a continuación los enlaces:

IO Graphing

Advanced IO Graphing

Eso es todo por el momento, gracias a los estimados lectores que han permanecio fieles al blog pese a la larga ausencia y espero encontrarlos por acá en futuros posts, como siempre, los comentarios son bienvenidos.

o3 Magazine

noreply@blogger.com (Leonel Munguia) — Mon, 01 Oct 2007 13:11:00 +0000

Ha pasado algun tiempo (casi un mes), desde mi ultimo post, Septiembre fue un mes muy cargado de actividades de trabajo, espero que Octubre no lo sea tanto y encuentre el tiempo para dedicarlo a este blog.

En esta oportunidad quisiera recomendar a los lectores la revista O3, una revista gratuita en PDF, que se enfoca en el uso del Software Open Source en ambientes empresariales y de negocios.

Si bien el enfoque de esta revista no es el software para redes (que es lo que al menos a mi, mas me interesa), en general creo que es un muy buen recurso, para aquellos que estan pensando implementar soluciones open source en su empresa, en la revista podran encontrar articulos interesantes con ejemplos de implementación y con análisis que pueden ayudar a tomar una desición a favor de algun paquete de software en particular, o incluso podrán descrubir alguna aplicación que resuelva algun problema especifico.

Como ejemplo el ejemplar más reciente, el número 9, se enfoca en el uso de herramientas de publicación como Open Office que es un suite con herramienta de oficina de primer nivel, también tiene un articulo muy interesante sobre la aplicación GIMP un editor de gráficos también muy potente, que es uno de los estandartes del software open source.

Ya en un temas más enfocado en las redes, el ejemplar número 8, describe soluciones para correo eléctronico empresarial, también el ejemplar número 4, tiene varios temas de redes, por ejemplo como priorizar tráfico de VoIP con Linux QoS (un articulo que se ve muy interesante y que espero leer en los próximos días).

Como mencione al inicio, esta revista esta disponible gratuitamente en formato PDF y al igual que la revista Insecure, que mencione en un post hace algunas semanas, no hay necesidad de suscribirse ni nada por el estilo, probablemente la unica desventaja de esta revista para el mundo hispano, es que esta en ingles, pero como tantas otras veces he mencionado, el ingles en estos días, no es opcional.

Así que los invito a visitar el sitio de O3, hasta el momento se han publicado 9 ejemplares, alguno de ellos podría tener algun tema que sea de su interes.

Nanspy Worm en mi laptop

noreply@blogger.com (Leonel Munguia) — Mon, 03 Sep 2007 12:48:00 +0000

Este post, es lo que llamaria un Estudio de Caso, sobre la detección y eliminación de un virus tipo Worm (gusano), y de paso un ejemplo práctico del uso de Wireshark en una situación de la vida real.

Resulta que la semana pasada la laptop de mi casa fue infectada por un virus, la conexión a Internet, empezo a dar problemas de manera intermitente, por lo que como acostumbro, decidi ejecutar Wireshark, para tratar de determinar el problema, al hacerlo, pude observar que la pc establecia conexión a algunos sitios en internet, y además estaba tratando de establecer conexión con todo el rango de Ips de la subnet de mi PC (es una red clase B, por lo que facilmente podría pasar varias horas escaneando las 65,534 posibles host y efectivamente dejando mi conexión a Internet practicamente inutilizable).

Inmediatamente desconecte el cable de red, y como no tenia el tiempo suficiente para lidiar con el problema, salio al rescate una distribución de linux en livecd, si eres lector frecuente de este blog, podrás imaginar, que lo que utilice fue Backtrack 2.0 por supuesto, no podia ser otro, con este estuve navegando en internet (que en realidad resulta ser la función principal de esta laptop), hasta que el sabado finalmente tuve tiempo para lidiar con el problema.

Pero antes de describir como logre solucionar el problema, quisiera comentar, porque un virus tuvo chances de infectar mi pc, la respuesta es muy sencilla, recientemente tuve que formatear la PC, y por ser algo viejita (Pentium III 650 MHZ, con 384 MB de RAM), decidi instalarle Windows 2000, con Service Pack 3 (que era el que tenia disponible) y pues aun no había tenido tiempo de instalar un antivirus, ni patchs de seguridad que fueran pertinentes, asi que utilizar un sistema operativo que para estas alturas ya esta casi obsoleto, y sin todos los parches de seguridad apropiados, es una invitación al desastre.

Valga decir, que estoy conciente de los riesgos y no tenia información trascendental en la PC, asi que la posibilidad de un virus era un riesgo que podía correr (aunque honestamente no estaba en mis planes que un virus infectara la máquina).

En cuanto a la desinfección, la estrategia fue sencilla, encendi la máquina sin conexión a la red y active el wireshark, luego conecte el cable y observe el tráfico que estaba capturando, nuevamente pude ver que la PC se estaba conectando a algunos sitios de red, bajo algunos archivos y luego empezo a escanear una subnet clase B buscando otros hosts para infectar (el tipico comportamiento de un worm), uno de los archivos que la pc bajo se llamaba bbot.exe (suena intimidamente no?), así que con esta información volvi a encender la máquina esta vez ejecutando Windows ME (si, esta laptop tiene los dos sistemas operativos, por razones que no vale la pena discutir en este post), ejecute internet explorer e hice una busqueda en Google, en poco tiempo, descubri que este es un archivo asociado al virus Nanspy, y esto me llevo a una página en Trend Micro donde se explicaba que hacía el virus y lo más importante como desinfectarlo.

Al infectar una PC, este virus instala un archivo en la carpeta del systema este archivo se llama mmsvc32.exe, también crea una llave en el registro, para asegurar su ejecución cada vez que se reinicie el sistema. Para eliminar el virus, es necesario detener el proceso MMSVC32.EXE, y también desinstalarlo del registro, el proceso se puede detener ejecutando el taskmgr (en mi caso, el proceso no se estaba ejecutando o no era visible desde el taskmgr), para eliminar el archivo seguir las siguientes instrucciones:

1. Ejecutar regedit

2. Localizar la llave HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

3. En el panel derecho encontrar y eliminar la siguiente entrada:

Microsoft Network Services Controller = "%System%\mmsvc32.exe"

Con esto el virus se ha eliminado del sistema, pero el sistema sigue siendo vulnerable, y en cualquier comento puede ser infectado de nuevo, asi que el paso final, es instalar el parche pertinente, de acuerdo con la información proporcionada por Trend Micro, este virus se vale de una vulnerabilidad descrita en el boletin de seguridad de Microsoft MS03-039, donde también esta disponible el parche.

Siguiendo los pasos anteriores, logre eliminar el virus de la PC, he estado monitoreando el tráfico y ahora todo se ve bien, sin embargo, esta experiencia recuerda muchos puntos importantes que hay que tomar en cuenta, sobre todo, cuando las computadoras estan en un ambiente crítico.

1. Es imporante mantener el sistema operativo con los parches de seguridad al día, suena tedioso, a veces hasta imposible mantenerse al día con la aplicación de parches de seguridad, pero es inevitable, aún con los parches al día es probable que tengamos problemas, pero es necesario hacerlo.

2. Se debe ejecutar al menos un antivirus en la PC, y actualizarlo frecuentemente, nuevamente, podría no ser suficiente, pero es necesario hacerlo.

3. Extremar precauciones cuando se trata de sistemas operativos obsoletos, o para los que el soporte ya es limitado.

4. Es imporante disponer de alguna herramienta como Wireshark, que permita visibilidad en el tráfico y ejecutarla periodicamente.

5. Utilizar un Firewall para protección de la red, obviamente esto por si solo no es una solución, como mínimo debe ir acompañado de adecuadas políticas de uso de Internet y de recursos de red y debe monitorearse constante los logs.

6. Es necesario contar con un sistema de detección de intrusos, como Snort, que puede detectar actividad sospechosa en la red, especialmente para redes con un significativo número de computadoras.

Finalmente quiero aclarar que no soy experto en seguridad, conocimientos básicos en redes y sentido común, pueden ayudar a detectar problemas con gusanos informáticos, sin embargo, si no tienes mucha experiencia, y tu red tiene aplicaciones críticas, o información delicada, que puede representar la vida o la bancarrota de tu organización, lo mejor es buscar ayuda profesional y tomarse muy en serio el tema de la seguridad informática.

Backtrack 2.0

noreply@blogger.com (Leonel Munguia) — Fri, 24 Aug 2007 13:06:00 +0000

Como lo define la wikipedia, "un LiveCD o LiveDVD (traducido en ocasiones como CDvivo o CD autónomo) es un sistema operativo (normalmente acompañado de un conjunto de aplicaciones) almacenado en un medio extraíble, tradicionalmente un CD o un DVD (de ahí su nombre), que puede ejecutarse desde éste sin necesidad de instalarlo en el disco duro del ordenador, para lo cual usa la memoria RAM como disco duro virtual y el propio medio como sistema de ficheros".

Los livecd tienen muchos usos prácticos, en esta oportunidad quisiera introducir a los lectores que aún no han tenido la oportunidad de conocerlo, uno de los mejores livecd con herramientas orientadas a la seguridad, la distribución en mención es backtrack 2.0

Como mencione en el párrafo anterior, esta es una distribución orientada a la seguridad, más especificamente a "penetration testers", esto es hackers (espero que con buenas intenciones) que se dedican a mejorar la seguridad poniendola a prueba mediante ataques (algo que dicho sea de paso, no esta excento de polémicas).

Esta es una distribución cargada de herramientas de seguridad divida en categorías, si deseas ver una lista de todas las herramientas disponibles puedes verla aquí.

Lo que encuentro interesante de los livecd, específicamente para el área de soporte de redes, es la posibilidad de experimentar con herramientas que solo estan disponibles en sistemas operativos como linux o las variantes de BSD. Definitivamente no soy experto en Linux, sin embargo me he aventurado a experimentar y puedo dar fe de que instalar aplicaciones no es nada sencillo, tampoco es muy dificil, pero consume tiempo y el tiempo es lo que normalmente esta más escaso, asi que un livecd provee la oportunidad de tener a disposición una gran cantidad de herramientas, con solo insertar un cd y bootear la pc con el, despues de utilizarlas, se extrae el cd, y nuevamente tenemos el sistema operativo con el que trabajamos normalmente.

Entre las muchas herramientas del backtrack, quiero resaltar el excelente soporte a tarjetas de red wireless, también tiene incluidas las herramientas para análisis de redes wireless más populares, como Kismet, Air crack, Airsnort entre otras, de hecho, la principal razón por la que me intereso el backtrack en primer lugar, fue por la posibilidad de ejecutar Wireshark, para análisis de redes wireless, ya que el soporte para estos análisis es mucho mejor en Linux y hasta el momento no me ha defraudado, lo he utilizado en un par de veces para estos propósitos con análisis sencillos sin problemas.

Tal vez la dificultad principal, para sacarle más provecho a este livecd, es la documentación que no es tan abundante, sin embargo, el wiki proporciona lo básico y si lo que te interesa son algunas herramientas específicas, estas normalmente cuentan con bastante documentación.

Hay muchas otras distribuciones de Livecds, en el segmento específico de la seguridad, de acuerdo con el top 10 publicado por Darknet.org, backtrack es la número uno, pero hay algunas otras que vale la pena considerar, sin embargo, si solo puedes bajar una, te recomiendo backtrack.

Solidaridad con el pueblo Peruano

noreply@blogger.com (Leonel Munguia) — Thu, 16 Aug 2007 12:35:00 +0000

En esta oportunidad, no voy a hablar de redes, ni de temas tecnologícos, unicamente quiero aprovechar este espacio, para expresar mi solidaridad con el pueblo Peruano, que en estos momentos dificiles, tras el paso de un terremoto que según puedo ver en las noticias alcanzo los 7.9 grados en la escala de Ritcher.

Lamentablemente hay victimas, hay perdidas materiales, y es una herida que seguro dejara una huella en la historia del pueblo Peruano, desde la distancia quiero expresar mis condolencias a las familias de las victimas, personalmente no puedo hacer nada por estar allá y contribuir en algo, pero a la distancia puedo elevar mis oraciones e invito a los lectores del blog a hacerlo, a elevar nuestras oraciones para que Dios de consuelo a las familias de las victimas.

Wireshark 101 - Estadísticas Parte I

noreply@blogger.com (Leonel Munguia) — Thu, 09 Aug 2007 13:20:00 +0000

Continuando con la serie de post sobre Wireshark, en esta oportunidad me gustaría comentar sobre las estadísticas disponibles en Wireshark, estas tienen muchas aplicaciones prácticas para conocer por ejemplo que protocolos hay presentes en la red, o que hosts son los que estan consumiendo el mayor ancho de banda.

En esta primera parte, se describen dos tipos de estadística, reservando algunos más para futuros postst, el primero de ellos es la opción Protocol Hierarchy y Conversations, ambas disponibles desde el menú Statitiscs.

La opción de Protocol Hierarchy despliega todos los protocolos detectados en la captura, indicando el porcentaje encontrado de cada uno, por ejemplo en la figura abajo, muestra que para esta captura en particular, el 100% del trafico es ethernet, lo cual no es de sorprender ya que ethernet es el protocolo dominante, aunque si se captura con una máquina que tenga la capacidad de tener visibilidad en una red WLAN se encontraria un porcentaje diferente.

En el caso ilustrado en esta figura, también se puede ver que el protocolo dominante es IP con el 97.3%, el otro 0.3% corresponde a ARP (no mostrado en la figura). En el siguiente nivel, el protocolo dominante es el TCP con 94.87%, el resto es tráfico UDP, desglosando el TCP, se observa que el http ocupa casí el 10% del tráfico.

Espero que este breve ejemplo sirva para ilustrar el potencial de esta estadística, para identificar que protocolos son los que más estan consumiendo el ancho de banda, también podríamos detectar protocolos que en realidad no deberían estar pressentes, por ejemplo si se tiene restricción sobre algun protocolo específico, acá se puede detectar con mayor facilidad y observar el impacto que tiene sobre la red.

La segunda estadística a describir en este post, es la de conversations, esta proporciona información sobre las conversaciones presentes en la red, con quien se esta comunicando cada host, en el caso especifico ilustrado se puede observar que se detectaron 25 conversaciones ethernet, 197 conversaciones ipv4, 1141 conversaciones tcp y 779 conversaciones udp.

En el ejemplo ilustrado se pueden ver las conversaciones de ipv4, para cada conversación es posible ver la cantidad de packetes y byte transmitidos en cada dirección, esto puede ayudar a identificar que hosts son los que estan acaparando más el ancho de banda, es posible ordenar en orden ascendente o descendente, en este caso, se ordeno por la mayor cantidad de bytes (observar el pequeño triangulo en el campo bytes), con un clic en cualquiera de los campos se ordena en basea a ese parametro, otro click en ese mismo campo invierte el orden, por ejemplo otro click en bytes, ordeara en forma ascendente.

En la parte inferior aparece un boton de copy, con este se copia el contenido de estadisticas y se puede pegar en un documento de texto con todos los valores separados por comas, por lo que posterioremente es posible abrir el archivo en excel o en cualquier hoja de calculo, para genera gráficas, o hacer un análisis más a fondo.

Para que las estadísticas tengan sentido, es importante situar a wireshark en una ubicación que haga sentido y hay que recordar que estas estadísticas serán utilies de acuerdo al contexto de captura, por ejemplo, si unicamente se esta capturando tráfico entre dos hosts, la estadística será valida para estos dos hosts, si se esta capturando tráfico en un enlace de salida, esta estadística tendrá sentido en el contexto del tráfico que esta pasando por ese enlace, el mensaje aquí es que hay que interpretar las estadísticas de acuerdo a su contexto.

Eso es todo por el momento, en al menos dos post futuros se discutiran más opciones para análizar estadísticas de la red con Wireshark.

Algunos recursos en Español

noreply@blogger.com (Leonel Munguia) — Mon, 30 Jul 2007 03:24:00 +0000

Una de las cosas que me he dado cuenta, al inicar la publicación de este blog, es que en realidad hay pocos recursos de buena calidad en Español relacionados con el tema principal de este blog o sea las redes, con esto no quiero decir que no hay, pero al menos no es tan abundante y de tan buena calidad como lo hay en Ingles, incluso en mi país, Guatemala, es hasta difícil encontrar libros publicados en Español, por eso, en muchas oportunidades he dado como referencias articulos, o sitios web en Ingles.

Sin embargo, en esta oportunidad si tengo un par de recursos en nuestro idioma, que pueden ser de interes y utilidad para los visitantes de este blog, se trata de el sitio Aprenda Redes y del blog Mis libros de newtworking (es el titulo del blog, no es que sean libros mios, valga la aclaración)

Aprenda redes, es un sitio que me parece apropiado para estudiantes, o técnicos que estan introduciendose al área de redes, tampoco tiene muchisima información, pero algo podrán encontrar que les ayude a aprender algo nuevo, entre los recursos que tuve la oportunidad de hojear, esta un video introductorio de wireshark, y algunos articulos sobre temas que pienso que pueden interesar a los lectores de este blog que buscan material basico, conceptos y algunas sugerencias para realizar mejor su trabajo como administradores de redes.

En cuanto al blog Mis libros de Networking, ya lo había mencionado en un post previo, este creo que proporciona información para usuarios un tanto más avanzados, con algunas noticias y análisis de tendencia y articulos técnicos muy buenos.

Una de las razones por las que comparto estos dos links (aunque es probable que algunos de ustededes ya los conozcan), es porque tienen algunos articulos que tocan temas sobre los que pienso publicar algo al respecto por ejemplo, el modelo OSI, que es un modelo conceptual de esos que resultan con mucha aplicación práctica a la hora de resolver problemas, o describir protocolos, o equipamiento de red, pues en aprenda redes hay una buena introducción al modelo OSI, aplicado a la resolución de problemas de red.

Nuevamente hago la invitación a los lectores del blog, si han encontrado sitios de interes, con información sobre Redes, en Español, compartanla, puede ser de beneficio para otros, pueden hacerlo dejando un comentario en este blog, o escribirme a lmunguia@soportederedes.com

Tampoco quiero dejar pasar la oportunidad de invitar a los lectores de este blog a dar sus sugerencias sobre los temas que les gustaría ver publicados, esto permitirá orientarnos a lo que realmente les interesa, tanto para los que quieren aprender algo nuevo, como para los que desean resolver un problema específico, nuevamente, pueden hacerlo a traves de un comentario, o enviandome un mensaje a la dirección indicada en el parráfo anterior.

(IN)SECURE Magazine - Una revista en PDF gratuita

noreply@blogger.com (Leonel Munguia) — Fri, 27 Jul 2007 13:14:00 +0000

El día de hoy quiero dedicar este pequeño post, para compartir un recurso que puede ser de interes para todos aquellos, que no pueden ignorar un stand de revistas, y siempre se detienen a hojearlas y probablemente salgan con una bajo el brazo (bueno, yo soy uno de esos, aunque en los ultimos años no he comprado muchas), creo que desde que descubri internet, en realidad ya no me hace mucho sentido comprar una revista.

La revista (IN)SECURE, es una revista muy interesante que discute temas de seguridad, no se exactamente la frecuencia de publicación, pero normalmente tienen unas 4 o 5 ediciones al año. Además de ser una revista muy interesenta, con articulos muy buenos, lo mejor es que esta disponible gratuitamente en Internet en formato PDF, y sin complicadas suscripciones.

Para obtenerla, unicamente tienes que ir al sitio http://www.insecuremag.com/ y listo ahí puedes bajar la versión más actual (en estos momentos la edición 12), y también en el archivo puedes encontrar todas las ediciones anteriores, con un breve listado de los titulos disponibles, así que si ves alguno de interes, puedes bajar esa edición específica.

La orientación de la revista es a temas de seguridad, así que si la seguridad informática es uno de tus temas de interes, no lo pienses más y baja algunas ediciones para hecharles un vistazo, pero aunque no te interesen tantos estos temas, pienso que en la administración de redes, la seguridad es un tema que no se puede ignorar.

La portada ilustrada en la parte superior de este post, corresponde a la edición 10, la portada de la edición 12 no me parecio apropiada, no se, hay algo que no me gusta de esa portada (y aquí estoy picando tu curiosidad para que vayas al sitio y le heches un vistazo :-), en todo caso, esta edición 10 es muy buena. Así que no lo pienses más, es una revista de seguridad informática, es gratuita y la puedes bajar ya!

El Iphone pone en evidencia vulnerabilidad en Access Points de Cisco

noreply@blogger.com (Leonel Munguia) — Wed, 25 Jul 2007 19:12:00 +0000

La semana pasada, leí sobre una noticia que me parecio muy interesante y que causo algun revuelo dada la popularidad que ha tenido el famoso iphone. La noticia en cuestión es aparentemente unos iphone estaban "botando" la red wireless de la Universidad de Duke, de acuerdo con personal técnico de esta universidad, el adaptador 802.11b/g integrado de los iphone estaban generando alrededor de 18000 peticiones ARP por segundo, lo que provocaba que los Access Point (todos basados en equipo Cisco) estuvieran fuera de servicio durante unos 10-15 minutos.

Inicialmente los dedos apuntaron al iphone, aunque entre las teorías elaboradas, también se señalaban como responsables a Cisco (obviamente impulsado por los fanáticos del iphone) y no falto quienes acusaran al personal técnico de la universidad de Duke. Algunas de estas sugerencias se pueden ver en el seguimiento que Network World hizo de la noticia.

Despúes de algunos días tratando de encontrar la causa, el culpable resulto ser una vulnerabilidad del controlador de Wireless de los access point, esto esto documentado en el Security Advisory cisco-sa-20070724-arp, hecho público el día de ayer, en el que se pueden encontrar los detalles sobre lo que provoca este problema, los equipos afectados y como solucionarlo.

La noticia en si, se presta para cualquier cantidad de análisis, el equipo IT de la Universidad de Duke, tuvo la fortuna de que su problema era tan visible que tanto Apple, como Cisco, no tuvieron más remedio que buscar una solución, en la vida real, creo que dificilmente vamos a poder contar con tanta atención pública así que es importante conocer lo que esta pasando en la red, y contar con proveedores confiables que sepan responder a la hora de una crisis.

En el análisis final, lo que pense que era una nota negra contra el iphone (algo que por alguna razón me hubiera alegrado), resulta siendo un problema con equipo Cisco, y esta noticia deja de ser una mera curiosidad y se convierte en algo que pienso que vale la pena considerar, especialmente para aquellos lectores del blog que cuentan con Access Point Cisco en su red, ya que esta vulnerabilidad puede ser aprovechada por usuarios maliciosos para provocar un ataque de denegación de servicio, el caso del iphone es accidental, pero en realidad creo que un atacante con la intención se puede valer de muchos medios para explotar esta vulnerabilidad.

Así que si tienes una red wireless basada en equipo cisco, sugiero dar un vistado al security advisory, para verificar si tus equipos son vulnerables y tomar las medidas correctivas necesarias.

Te parecio interesante la noticia?, tienes equipo wireless Cisco en tu red?, estas esperando ansiosamente que el iphone llegue a latinoamerica?, tus comentarios son bienvenidos!

Wireshark 101 - Time Display Format

noreply@blogger.com (Leonel Munguia) — Fri, 20 Jul 2007 13:13:00 +0000

En este post, voy a describir de manera breve, las opciones disponibles en Wireshark, para las referencias de tiempo, estas son de mucha utilidad a la hora de analizar los paquetes, de manera predeterminada Wireshark despliega el tiempo, tomando como referencia el tiempo en el que se inicio la captura, dependiendo de lo que estemos analizando, podría no haber necesidad de cambiar esto, sin embargo, cuando el tiempo de referencia es crítico, se necesitan otras formas de poder expresar el tiempo, y es lo que se analizara en este post.

Las opciones de tiempo, se encuentran en el menú View -> Time Display Format esto despliega un cuadro adicional donde se muestran las diferentes opciones que se describen a continuación

Date and Time of Day - Muestra la fecha y la hora, puede ser de utilidad, cuando le fecha y hora en la que ocurrio el evento son importantes, por ejemplo en análisis forense de paquetes.

Time of Day - Unicamente muestra la hora del día, para utilizarlo en casos en los que estamos analizando un evento que ocurre a determinadas horas del día

Seconds Since Beginning of Capture - Esta es la opción predeterminada, muestra el tiempo tomando como referencia el inicio de la captura.

Seconds Since Previous Captured Packet - Muestra el tiempo transcurrido tomando como referencia el paquete previo, es decir, muestra las diferencias de tiempo entre cada paquete capturado, muy útil para troubleshooting de problemas de desempeño en la red, ya que se puede identificar que equipos están respondiendo con tiempos altos.

Seconds Since Previous Displayed Packet - Sin filtros de visualización aplicados, no hay diferencia entre la opción anterior y esta, sin embargo, es de utilidad cuando tenemos aplicado un filtro ya que permite analizar diferencias de tiempo entre los paquetes que se están desplegando en pantalla.

Seconds Since Epoch - Muestra el tiempo transcurrido tomando como referencia inicial el 1 de enero de 1970, esta es una opción relativamente nueva en Wireshark, la verdad no le he utilizado antes, se me ocurre que puede ser de utilidad al comparar capturas en diferentes tiempos, ya que provee un tiempo de referencia común, puede ser de utilidad en análisis forenses.

Adicionalmente se puede variar la precisión de la medición de tiempo, en segundos, decimas de segundo, centesimas de segundo, milisegundos, microsegundos y nanosegundos.

Otra característica de mucha utilidad en la medición de tiempo, es la posibilidad de establecer referencias en puntos determinados, por ejemplo al inicio de una transferencia de archivos, o de una petición de una página web, para esto, selecccionar el paquete que queremos establecer como referencia y luego ir a menú Edit -> Time Reference (toggle) o alternativamente ctrl + T, la ventaja es que se pueden establecer diferentes referencias de tiempo, esta opción únicamente tiene sentido utilizarla con la opción Seconds Since Beginning of Capture, de hecho si esta selecciónada otra opción al tratar de establecer un Time Reference, aparece un cuadro de dialogo que da la opción de volvera setear Seconds Since Beginning of Capture.

Así que sin más, los invito (si no lo han hecho antes), a experimentar con los diferentes formatos de despliegue del tiempo, les aseguro que lo utilizarán con más frecuencia de lo que se imaginan, si has usado antes estas opciones y han encontrado combinaciones para despliegue de tiempo o escenarios en los que una combinación en particular puede ser de utilidad para otros lectores, pueden dejar un comentario, será bienvenido.

Como obtener la certificación CCNA

noreply@blogger.com (Leonel Munguia) — Tue, 17 Jul 2007 12:26:00 +0000

Nuevamente un post derivado de la consulta de un usuario, especificamente el amigo James desea saber donde obtener una buena capacitación que lo prepare para el CCNA, como respuesta, quisiera compartir como obtuve mi certificación hace algunos años, soy conciente de que cada caso es diferente, asi que no espero que mi experiencia se aplique a todos pero puede ser una guía para los interesados en tomar esta certificación.

De entrada quiero aclarar que no hay camino fácil para obtener esta certificación, por algo es una de las certificaciones respetadas en la industria, por otra parte, tampoco es algo extremadamente dificil o imposible, tampoco hay un solo camino para obtener la certificación (aunque todos los caminos, tienen que pasar por el mismo punto, léase el exámen de certificación).

En mi caso, me inicie en el mundo del networking, en la división de datacom, de una empresa de telecomunicaciones, en esta empresa conocí sobre Cisco, sobre los routers, los switches, y también sobre los conceptos fundamentales, estuve un año en esta empresa, cumpliendo con un año de práctica obligatorio por la universidad en la que estudie, durante ese año, inverti muchas horas navegando por el sitio de Cisco y también tuve la experiencia práctica configurando equipos.

Esta experiencia me abrio las puertas, para trabajar administrado la red para un organismo estatal, la red estaba basada en equipo cisco, así que ahí tuve la oportunidad de seguir experimentando, trabajando aquí también se presento la oportunidad de recibir la capacitación oficial de Cisco de 40 horas, que en aquel entonces, era la capacitación necesaria para certificarse, la capacitación incluia un libro muy bueno de Todd Lammle (uno de los autores más vendidos de guías de certificación para examenes de Cisco), sin embargo, en esos momentos, no tuve la oportunidad de presentar el examen de certificación.

Aproximadamente un año despues de haber recibido la capacitación, y trabajando para otra empresa, se presento la oportunidad (y la necesidad) de certificarme, ya que era requerido por la empresa para la que trabajaba, asi que desempolve la guía de estudio que mencione en el parrafo anterior y con una semana de estudio estaba listo para el examen, esta guía de estudio incluia un cd, con examenes de prueba, eso me ayudo mucho para comprobar que realmente estaba listo para el examen.

Así que de mi experiencia, creo que los pasos para obtener la certificación CCNA se pueden resumir así:

1. Tener experiencia práctica y un background general en aspectos de networking
2. Si es posible, recibir una capacitación formal (creo que no es estrictamente necesario, pero indudablemente ayuda).
3. Conseguir una buena guía de estudio para repasar los conceptos fundamentales.
4. Practicar con simuladores de examen para comprobar que se esta listo, o repasar las áreas debiles.

Ahora, comprendo que no todos han seguido el mismo camino, o tienen intereses diferentes al perseguir la certificación, así que a continuación algunas recomendaciones adicionales.

Si no es posible obtener experiencia práctica, mi recomendación es conseguir un simulador y practicar con redes simuladas, de hecho aunque se tenga experiencia práctica, no esta de más el uso de estos simuladores, ya que se pueden practicar muchos escenarios que no se ven comunmente en la vida real, por ejemplo, en mi caso, que me he orientado más a redes LAN, tengo pocas oportunidades de configurar protocolos de ruteo, esto se puede complementar muy bien con un simulador.

Para los que son principiantes absolutos creo que la mejor opción es una Academía de Cisco (como lo sugiere otro lector), son cuatro semestres, para mi es muy largo, pero para quien se esta iniciando, creo que proporciona los fundamentos sólidos para entrar al área de redes, la certificación ya será solo un paso adicional.

A continuación algunos Links donde se puede obtener más información

Cisco Technical documentation - Este sitio esta siendo migrado por cisco a una nueva área, sin embargo, en la forma como aparece en esta página, es como empece a conocer sobre cisco y sobre las tecnologías fundamentales, así que considero que es un buen punto de entrada.

Cisco Press - La editorial de Cisco, que de acuerdo con ellos, tienen las guías de estudio autorizadas para los examenes de certificación.

Global Net Training - Una empresa de Todd Lammle (si el gurú de las certificaciones Cisco), en la que ofrece capacitaciones, libros, examenes de práctica y muchos recursos, hay algunas versiones demo que se pueden bajar.

Cisco Network Academy - Para encontrar información sobre este programa de Cisco, si deseas buscar una academía cerca de tu ciudad, puedes buscar aquí.

Boson - Simuladores de equipo y de examenes, también opciones de capacitación.

Router Sim - Otro simulador de equipos, videos y recursos adicionales

Mis libros de networking - Un blog en español, que puede tener información relevante, hay un articulo interesante, que describe los contenidos que se evaluan en el examen de certificación, según vi en el sitio, el autor ha publicado algun material de preparación para el CCNA, asi que puede ser muy valioso.

Lamentablemente, creo que tampoco hay una forma "barata" o de bajo costo, tal vez la unica excepción es cuando se trabaja para una empresa, que decide certificar a sus empleados, y estas oportunidades hay que aprovecharlas, de lo contrario, pues si tendrá un costo, pero vale la pena la inversión.

Como siempre, invito a los lectores del blog a expresar sus opiniones, sería interesante conocer la experiencia de otros que estan preparandose para la certificación, o que ya la obtuvieron, o que han tenido la oportunidad de estar en una academia de Cisco, considero que es un buen programa, pero lo mejor sería la opinión de alguien que esta actualmente estudiando en una de ellas.

Verificando conectividad con Tracert

noreply@blogger.com (Leonel Munguia) — Mon, 16 Jul 2007 12:36:00 +0000

Recientemente, un lector del blog, me pidio comentar sobre como interpretar los resultados de algunas de las herramientas disponibles desde la línea de comandos, como tracert, route, arp. En respueta le prometi publicar algo al respecto y quiero iniciar con el comando tracert, un comando de mucha utilidad y que junto a ping es uno de los que más utilizo en mi trabajo diario.

En primer lugar me gustaría explicar un poco que es el comando tracert y como funciona, finalmente como podemos interpretar sus resultados y algunos escenarios en los que tracert nos puede ayudar a diagnosticar y resolver problemas en la red.

El comando tracert permite trazar la ruta desde el origne hasta un destino remoto, mostrando todos los routers que hay de por medio y la latencia aproximada en cada salto, esta disponible en la mayoria de sistemas operativos, en windows se le conoce como tracert, en linux y en el IOS de cisco se le conoce como traceroute. En este post se da mayor enfásis a la versión de windows.

Para encontrar los routers intermedios, el tracert se vale de la opción time to live (TTL) de los paquetes IP, el TTL es un campo dentro de un paquete IP que fue diseñado para prevenir loops de enrutamiento (routing loops), una red mal diseñada a con problemas puede generar un loop, en el que un paquete va y viene entre dos routers, para prevenir que un paquete quede atrapado en un loop infinitamente, cada router que recibe un paquete es responsable de reducir el TTL en uno, cuando un router recibe un paquete con TTL de 0, lo descarta y debe responder con un paquete icmp tipo 11 (time to live exceeded).

En base a lo anterior, para encontrar la ruta hacia un destino, el comando tracert lo que hace es generar pings sucesivos hacia el ip destino, con valores de TTL que se van incrementando, el primer paquete ping generado tiene un TTL=1 por lo que el primer router que lo recibe lo descarta y devuelve un paquete icmp tipo 11, en este paquete de respuesta, el ip de destino es el de este primer router, así que ya tenemos la dirección del primer router, en realidad windows genera tres paquetes de ping con ttl=1 y de esta manera produce la salida ya conocida del tracert con tres columnas, los siguientes tres paquetes de ping generados tienen valor TTL=2, con lo que el que respondera será el segundo router, este proceso continua, hasta que se obtiene un icmp echo reply, que es el del destino, en el que estamos interesados.

En la siguiente figura, se ilustra el resultado de un tracert hacia google.com, en este caso el destino esta a 15 saltos, como mencione en el parrafo previo, siempre se generan tres solicitudes de ping, por lo que para cada salto tenemos tres resultados, esto ayuda a determinar la latencia promedio entre cada router, de manera predeterminada windows también trata de resolver el nombre, por lo que en algunos casos además del IP, aparece el nombre del router.

Ahora, volviendo a la pregunta original, como interpretar la salida del tracert, escencialmente lo que nos dice este comando, es los routers que debemos atravezar hacia el destino, para cada caso nos proporciona el IP (y en algunos casos el nombre) de los routers intermedios, y también nos da un estimado de la latencia.

Cuando utilizar tracert?, supongamos que no podemos llegar hasta un sitio remoto, si hacemos un ping hacia la dirección de este sitio y no responde, el siguiente paso es un tracert, el cual determinara el punto donde se deja de recibir una respuesta, puede ser un router local, o un router en el camino, el tracert nos dirá cual es el router con problemas.

Lo anterior es el uso más común del tracert, pero hay otros, suponiendo que el tiempo de respuesta es muy lento, un tracert puede ayudar a determinar el punto donde se está experimentando alta latencia y en base a este resultado investigar más a fondo, otro uso interesante, es por ejemplo en una red privada en la que se tiene más de una vía de llegada, por ejemplo un enlace principal y otro de backup, un tracert nos puede decir de manera rápida si estamos llegando al sitio a través del enlace principal, o del enlace de contingencia.

También me gustaría hacer algunas advertencias, algunos routers bloquean el paso del tracert, por lo que los resultados no siempre son confiables, especialmetne al trazar rutas en internet, de igual manera algunos routers dan baja prioridad a los paquetes icmp, por lo que los resultados de latencia no siempre van a ser confiables.

Creo que la mayor utilidad del tracert esta en una red privada, donde podemos establecer el comportamiento normal de la red, que saltos tenemos hacia el destino, que latencias aproxiamadas tenemos, en estos casos, a la hora de tener problemas, el tracert es una herramientas invaluable.

Para ver las opciones disponibles en la línea de comando, favor consultar el siguiente documento para un troubleshooting más avanzado, también se puede utilizar el comando pathping, y si te interesa ver como funciona el tracert en la vida real, te sugiero capturar tráfico en tu máquina utilizando wireshark en el momento de hacer un tracert, el resultado habla por si solo.

Wireshark 101 - Capturando tráfico utilizando una maquina en medio

noreply@blogger.com (Leonel Munguia) — Wed, 11 Jul 2007 12:15:00 +0000

Una de las claves en el uso de Wireshark, es donde ubicarlo para poder capturar tráfico, en el artículo Wirshark 101 – Como capturar tráfico, se describen tres opciones dependiendo de lo que se tenga disponible, un hub, un switch administrable o un network tap.

Los anteriores, no son los únicos métodos de capturar tráfico, en el Wiki de Wireshark se describen algunos más y en esta oportunidad quisiera profundizar en uno de estos métodos, capturar tráfico, utilizando una maquina en medio (MIM - Machine in the Middle), utilizando la opción de conexión de puentes (bridging) de Windows XP.

Con este método, una laptop con dos tarjetas de red, se convierte en un puente (bridge), o en otras palabras en un switch de dos puertos, y podremos ver el tráfico que pasa a través de cada tarjeta, y capturarlo con Wireshark, este escenario esta ilustrado en la siguiente figura.

En la figura anterior, en a, se ilustra un escenario muy común, desaeamos analizar el tráfico entre una PC, y un servidor, que estan conectadas a través de un switch no administrable (o es un switch administrable, pero no tenemos acceso a configurarlo o no soporta el port mirroring), la primera opción sería instalar el wireshark en la pc, o en el servidor, pero en muchos casos esto no es posible, en esta situación, podemos utilizar las conexiones de puente de XP, en una laptop con dos tarjetas de red, en este caso, la laptop se convierte escencialmente en un switch de dos puertos, el unico requisito es que el switch tenga dos puertos ethernet, en mi caso, probe la configuración en una laptop con un ethernet integrado, y una tarjeta pcmcia.

La configuración de esta solución es bastante sencila, se ingresa a conexiones de red, se seleccionan las dos tarjetas con las que se hará el puente, se da un click con el botón derecho y en el menú emergente, se selecciona, conexiones de puentes (o bridge connections si el OS está en ingles), al dar este click aparece el siguiente mensaje.

Despues de unos segundos, nuestro puente esta listo, y lo podemos comprobar ya que en conexioines de red, muestra un nuevo elemento, como se ilustra en la siguiente figura.

Finalmente, debemos configura wireshark para poder capturar el tráfico en esta interface virtual, en las opciones de captura de wireshark, el puente aparece como una interface adicional, en la siguiente figura, la interface del puente es la marcada como Microsoft MAC Bridge Virtual NIC, capturando en modo promiscuo con esta interface, se podrá ver el tráfico que pasa de una tarjeta a otra, en otras palabras, el tráfico que queremos capturar.

Luego de la captura, podemos desactivar el puente, (click derecho sobre el icono del puente en conexiones de red y click en desactivar), o eliminarlo definitivamente (click derecho y luego la opción eliminar).

La opción de conexiones de puentes, esta disponible en Windows XP y Windows 2003, supongo que también en Windows Vista, pero no he tenido la oportunidad de verificarlo, si deseas conocer más sobre este opción y diferentes usos prácticos para una red casera, puedes consultarlo directamente en el sitio de Microsoft.

Habilitando RIP en Vyatta

noreply@blogger.com (Leonel Munguia) — Tue, 10 Jul 2007 15:12:00 +0000

El origen de este Post, es una consulta de un lector de este blog, inicialmente pense responder directamente, pero luego me di cuenta que valía la pena publicar la respuesta como un post, de esta manera estará disponible a otros que pudiera interesarle el tema.

La consulta específica se puede ver aquí, en corto, es sobre como habilitar RIP en una red con tres routers vyatta, y dos clientes, como lo muestra el diagrama siguiente

Los detalles de numeración IP para cada subnet involucrada no estan en la consulta original, los puse para facilidad, obviamente no es un plan de numeración muy eficiente tener una red clase C en las subnet entre cada router, pero lo deje así por facilidad y para no entrar en detalles sobre prefijos, numeración IP etc, que no es el objetivo de este post

Básicamente lo que se desea en la red anterior, es configurar RIP para anunciar rutas en todos los routers, por ser una red muy pequeña, se pueden configurar simplemente rutas estáticas, pero configurar RIP también es una opción y es lo que desea hacer el amigo que hizo la consulta.

Asumo que cada PC tiene instalado el Vyatta y que todas sus interfaces han sido reconocidas y configuradas, siendo así, para habilitar RIP se debe configurar para cada interface en los routers A, B y C el siguiente comando (acá se ejemplifica el router B)

root@Router_B#set protocols rip interface eth0 address 192.168.1.2
root@Router_B#set protocols rip interface eth1 address 192.168.3.1

Con lo anterior se habilita el protocolo rip en las interfaces 0 y 1 del router B, en la tercera interface (la que conecta con el cliente D), no hay necesidad de configurar protocolo rip, ya que la PC cliente no estará ejecutando este protocolo.

La misma configuración debe aplicarse en los routers A y B, siempre con las interfaces que conectan con el otro router.

Para poder anunciar las rutas a través de RIP es necesario un paso adicional, se debe configurar una política para exportar rutas estaticas y rutas directamente conectadas, para esto, tome el ejemplo de la guía de configuración de Vyatta, básicamente estas políticas permiten redistribuir rutas, en nuestro caso específico lo que deseamos es poder anunciar a través de RIP las rutas estáticas y las rutas directamente conectadas, esto se logra con los siguientes comandos:

root@Router_B#set policy policy-statement EXPORT_STATIC term 1 from protocol static
root@Router_B#set policy policy-statement EXPORT_STATIC term 1 then action accept
root@Router_B#commit

root@Router_B#set policy policy-statement EXPORT_CONNECTED term 1 from protocol connected
root@Router_B#set policy policy-statement EXPORT_CONNECTED term 1 then action accept root@Router_B#commit

EXPORT_STATIC y EXPORT_CONNECTED, son definidas por el usuario, por lo que es la única parte del comando anterior que se puede cambiar a voluntad, lo demás debe ir tal como esta.

Los anteriore comandos deben permitir que cualquier ruta estatica o que esta directamente conectada, sea anunciada por RIP y con esto debería funcionar, para verificarlo se pueden utilzar los siguientes comandos:

root@Router_B#show route protocol rip - Muestra las rutas aprendidas a través de RIP

root@Router_B#show rip peer statistics all - Muestra estadísticas del protocolo

root@Router_B#show protocols rip - Para ver la configuración del protocolo

Finalmente, solo quiero hacer la advertencia de que no cuento con el equipo como para simular esta configuración en un laboratorio, por lo que no puedo garantizar que funcione, sin embargo invito al amigo que hizo la consulta y que tengo entendido que esta implementando esta configuración que la ponga en práctica y que nos valide si esta configuración funciona. La prueba de que todo trabaja bien, es que el cliente C debería poder hacer un ping al cliente D, propagando las rutas dinamicamente con RIP y sin necesidad de configurar rutas estaticas en ninguno de los routers.

Actualizado 12/07/2007

Gracias a la validación que hizo el amigo Ramón, de estos pasos de configuración, el esta en lo cierto, al decir que omiti el paso final, el ultimo paso mostrado en el post, era para configurar la política, sin embargo hay que aplicar esta politica al protocolo rip para que pueda utilizarla y pueda redistribuir rutas conectadas y rutas estáticas, así que como lo menciona el amigo, el paso final es el siguiente comando:

root@Router_B#set protocols rip export EXPORT_STATIC,EXPORT_CONNECTED

Así que, si estas configurando RIP con Vyatta, favor incluir el ultimo comando.

Wireshark 0.99.6 Disponible

noreply@blogger.com (Leonel Munguia) — Fri, 06 Jul 2007 17:23:00 +0000

Para todos los usuarios de Wireshark, el día 5 de julio fue liberada la versión más reciente de Wireshark, la nueva es la versión 0.99.6.

Esta nueva versión no introduce cambios revolucionarios, los detalles específicos se puden encontrar aquí, si bien no hay cambios tan trascendentales, sugiero a los usuarios del programa, actualizar a la nueva versión, ya que siempre introduce corrección de bugs, algunas características nuevas, soporte para nuevos protocolos y actualización del soporte de algunos protocolos.

Entre las características nuevas que me llamarón la atención, esta la posibilidad de guardar macros de filtros de visualización, en corto esto significa poder resumir un comando de filtrado muy extenso en una frase corta significativa, más detalles se pueden encontrar aquí.

Adicionalmente, esta versión nueva, tiene soporte para otros formatos de archivos de captura, ahora es posible abrir archivos mp3, interesante, esto no lo he probado, pero seguro que lo voy a hacer pronto.

Así que sin pensarlo más, los invito a bajar esta actualización de Wireshark.

CCENT Nueva Certificación Cisco y nuevo examen para CCNA

noreply@blogger.com (Leonel Munguia) — Tue, 26 Jun 2007 12:48:00 +0000

Entre las listas de correo a las que estoy inscrito, el día de hoy recibí un correo en el que supe sobre una nueva certificación de Cisco, la CCENT (Cisco Certified Entry Networking Technician), al parecer Cisco esta promoviendo esta certificación como un paso inicial en busca de la certificación CCNA, el exámen para esta nueva certificación es el 640-822 ICND1.

El contenido del exámen y la capacitación recomendad por Cisco, para obtener esta certificación se puede encontrar aquí, de acuerdo con el sitio de Cisco, este examen estará disponible a partir del primero de agosto de este año.

Adicionalmente al lanzamiento de esta certificación Cisco a anunciado un nuevo exámen para obtener la certificación CCNA, este nuevo examen cubre nuevos temas, y deja de lado algunos temás que en realidad ya no tienen mucha relevancía el día de hoy (como la configuración de ISDN), entre los nuevos temás cubiertos, estan la configuración de Redes Wireless, Cisco Network Assistant, ipv6, VPNs, y conceptos más avanzados de seguridad.

El nuevo examen es el 640-802 CCNA, alternativamente se puede realizar el examen 640-822 (que de paso otorga la certificación CCENT) y luego el exámen 640-816 ICND. Todos estos examenes estarán disponibles a partir del 1 de Agosto de 2007.

Para los que se han estado preparando para la certificación Cisco y el exámen 640-801, este estará disponible hasta el 6 de noviembre de 2007, asi que si ya han invetido bastante tiempo preparandose para este examen, más vale que consideren hacerlo pronto, o tendrán que estudiar de nuevo.

En lo personal, logre mi certificación CCNA hace algunos años, pero a estas alturas esta vencida y debo renovarla, digo debo por asuntos de trabajo, creo que voy a optar por esta nueva certificación, ya que se ve más completa, en realidad no soy un fanático de las certificaciones, pero creo que son de utilidad para poder demostrar los conocimientos, y para tener un poco más de credibilidad, muchas certificaciones es posible obtenerlas unicamente con una guía de estudio, pero normalmente las certificaciones de Cisco son un poco más complejas, y realmente se necesita tener experiencia en el campo para poder obtenerlas, adicionalmente la certificación no se trata unicamente de configurar routers y switches, también proporcionan una buena base para el soporte y administración de redes, asi que en general, considero provechoso obtener esta certificación.

El parrafo anterior es mi opinion personal en cuanto a las certificaciones y en particular en cuanto a la certificación Cisco, me gustaria saber que opinan los lectores de este blog, tienes equipo Cisco en tu red?, tienes la certificación CCNA?, o has considerado certificarte en Cisco o con algún otro fabricante?, tus opiniones son bienvenidas, puedes hacerlo dejando un comentario o escribiendo a lmunguia{arroba}soportederedes.com

Wireshark 101 - Recursos del Wiki

noreply@blogger.com (Leonel Munguia) — Wed, 20 Jun 2007 12:31:00 +0000

En este Post, me gustaría comentar sobre algunos recursos del Wiki de Wireshark que considero que pueden ser de mucha utilidad para los lectores de este blog.

Por su propia naturaleza, un Wiki permite a muchos autores editar un documento, asi que este es un recurso vivo, con mucha información interesante, y si no lo habías hecho antes, recomiendo darle una visita. a Continuación se describen algunos de los documentos que he encontrado interesantes y con toda seguridad hay más.

El primero que voy a mencionar es la página con información sobre Capture Setup (como en otras oportunidades las páginas del wiki estan en inglés), acá se proporcionan 4 pasos para poder iniciar la captura de paquetes, el paso 3 aplica para capturar el tráfico de la máquina en la que se tiene instalado el wireshark, el paso 4 para capturar tráfico destinado a otras máquinas y el paso 5 da algunas sugerencias para capturar tráfico remotamente, al final hay varios links para más información, por ejemplo el setup para capturar tráfico Wireless, capturar tráfico en VLANs y algunos otros interesantes, capturar tráfico de Bluetooth? bueno, de acuerdo con el wiki, no esta soportado del todo, pero algo se puede analizar

Otra página recomendable, es la que describe como setear el Wireshark para capturar tráfico en una red ethernet (por muchisimo la técnología LAN más utilizada), este es un buen recurso para los que encontraron interesante mi post como capturar tráfico, ya que describe métodos adicionales para poder capturar tráfico, uno que me parecio muy interesante y que espero poner a prueba próximamente es el de capturar insertando una pc (con dos tarjetas de red), entre las dos fuentes de tráfico (referido como Capture using a machine-in-the-middle, en esta página del wiki). También se describen algunos métodos más propios de hackers que otra cosa, recomiendo muchisima precaución al utilizar estos métodos (Capture using a MITM (Man-In-The-Middle) software y MAC Flooding) ya que sus resultados pueden ser impredecibles.

Probablemente estas con todo el deseo de abrir el wireshark y empezar a examinar paquetes, pero también es probable que no cuentes con el permiso para hacerlo en tu red, o simplemente no hay tráfico interesante que examinar, pues bien, no hay más excusas ya que en el Wiki también puedes bajar capturas de paquetes, hay un bonito listado y links hacia donde se pueden obtener más, es una manera interesante de estudiar diferentes protocolos. Conocer como se comporta un protocolo normalmente ayuda para detectar comportamientos anómalos a la hora de resolver problemas.

Hay muchos recursos más, sin embargo por razones de tiempo y espacio, unicamente voy a mencionar una más, y es una página con links de ayuda para resolución de problemas de redes, no es muy amplia, pero puedes encontrar algun recurso que sea de utilidad.

Si encuentras algún recurso que te sea de utilidad y consideras que puede ayudar a otros, no dudes en compartir tus experiencias dejando un comentario.