Escolar Documentos
Profissional Documentos
Cultura Documentos
DE
REDES
i
El objetivo de este libro es tener un material de referencia para el profesor y el alumno
en el momento de enfrentarse con las prácticas en el laboratorio de redes.
Las prácticas están organizadas por bloques, de tal forma que si se desea profundizar
sobre un tema no sea necesaria la realización de otros. Cada bloque comienza con una
explicación breve teórica que sirve como repaso de los conceptos más importantes.
Dentro de cada bloque cada práctica pretende ser más compleja que la anterior.
A lo largo del libro se utilizarán aplicaciones que pueden ser descargadas de Internet de
forma gratuita, como Wireshark, Nagios, UltraVNC, Nmap, Darwin Streaming Server,
GNS, etc., o gratuitas como Packet Tracer para aquellos alumnos y profesores cuyos
centros de enseñanza tienen acuerdos con la Academia Cisco.
Existe un sitio web que da soporte a este libro, proporcionando ejemplos de ficheros de
configuración, soluciones a determinados ejercicios, y correcciones a posibles erratas
encontradas. Este sito web pretende ser el lugar en el que todo el que quiera participar
en este proyecto tenga cabida.
www.practicasredesyservicios.com
El autor.
ii
iii
Listado de prácticas
Elementos de interconexión:
1. Latiguillos. .......................................................................................................... 1
2. Instalación de rosetas. ......................................................................................... 4
3. Certificadores de red........................................................................................... 5
Analizadores de tráfico:
8.- Wireshark. ......................................................................................................... 25
9.- Escaner de puertos: nmap.................................................................................. 28
10.- Utilidades para la monitorización de redes inalámbricas: Commview,
NetStumbler............................................................................................................ 31
11.- Tcpdump. ....................................................................................................... 34
Simulación de dispositivos:
Introducción al Packet Tracer .......................................................................... 35
12.- Conectar dos Pc’s directamente. ..................................................................... 36
13.- Comparación entre HUB y SWITCH.............................................................. 38
14.- Configuración de parámetros. ......................................................................... 39
15.- Protocolo ARP................................................................................................. 40
16.- Conexión de dos ordenadores a través de un router. ....................................... 41
17.- Conexión de dos redes mediante 1 router. ...................................................... 42
18.- Conexión de tres redes mediante 2 routers...................................................... 43
19.- Interconexión de redes locales (1)................................................................... 45
20.- Interconexión de redes locales (2)................................................................... 47
Introducción a los protocolos de enrutamiento dinámico .............................. 49
21 .- Enrutamiento dinámico RIP. .......................................................................... 52
Utilización de dispositivos:
22.- Conexión de dos PCs....................................................................................... 54
23.- Utilización de Hubs. ........................................................................................ 55
24.- Utilización de SWITCHS. ............................................................................... 56
25.- Routers con enrutamiento estático. ................................................................. 57
26.- Interconexión de redes locales (1)................................................................... 58
27.- Interconexión de redes locales (2)................................................................... 60
Arquitectura TCP/IP:
Introducción a la arquitectura TCP/IP ............................................................. 61
28.- Nivel de enlace. ............................................................................................... 62
29.- Nivel de red. .................................................................................................... 64
30.- ICMP: Protocolo de Mensajes de Control de Internet. ................................... 65
31.- IPv6. ................................................................................................................ 67
iv
32.- Fragmentación del datagrama IP. .................................................................... 71
33.- Nivel de transporte. ......................................................................................... 73
34.- Nivel de aplicación. ......................................................................................... 77
Subredes:
Introducción a las subredes.............................................................................. 79
35.- Creación de subredes....................................................................................... 82
36.- Subredes con máscara variable........................................................................ 83
37.- Agrupando hosts.............................................................................................. 85
38.- Calculadoras de subredes. .............................................................................. 86
Routers CISCO:
Introducción al lenguaje CLI de CISCO ......................................................... 100
44.- Configuración de un router Cisco mediante CLI. ........................................... 101
45.- Enrutamiento estático en routers Cisco. .......................................................... 102
46.- Enrutamiento dinámico RIP. ........................................................................... 104
47.- Enrutamiento dinámico EIGRP....................................................................... 106
48.- Balanceo de cargas entre varias rutas.............................................................. 107
49.- Configuración de varias IP a una interface. .................................................... 109
50.- Borrado y recarga de un router Cisco.............................................................. 112
51.- Servidor DHCP................................................................................................ 113
v
N.A.T.:
Introducción al N.A.T...................................................................................... 148
64.- SNAT con iptables. ......................................................................................... 151
65.- Video vigilancia con DNAT............................................................................ 155
66.- DNAT: Permitir acceso a servidor Web.......................................................... 157
67.- NAT en routers Cisco...................................................................................... 159
Seguridad en la red:
Introducción a la seguridad en la red .............................................................. 168
70.- Conexión segura con SSH (Securite Shell). .................................................... 171
Introducción a SSL ......................................................................................... 168
71.- Servidor Web con OpenSSL. .......................................................................... 180
72.- Certificados digitales del lado cliente con OpenSSL. ..................................... 182
73.- Certificados digitales con IIS y SSL. .............................................................. 184
Introducción a IPSec ....................................................................................... 186
74.- Políticas de seguridad con IPSec en Windows................................................ 187
75.- Comunicaciones seguras con IPSec en Windows. .......................................... 191
SNMP:
Introducción a SNMP ...................................................................................... 209
80.- Supervisión de redes con Nagios..................................................................... 211
81.- Supervisión de redes con MRTG. ................................................................... 216
82.- Monitorización de redes: Ntop, y Argus. ...................................................... 217
PROYECTOS:
85.- Proyecto sistemas de comunicación. ............................................................... 229
86.- Control de acceso a Internet. ........................................................................... 234
vi
vii
Elementos de interconexión
PRÁCTICA Nº 1
Latiguillos de conexión
Los estándares de cableado estructurado indican cómo debe realizarse una instalación
para asegurar un buen funcionamiento y fácil administración. Existen muchos
estándares pero los más importantes son: ISO/IEC 11801, EN 50288, y TIA/EIA
568A/B.
En esta práctica se van a realizar dos latiguillos (uno sin cruzar y otro cruzado), y para
ello deberemos utilizar el estándar TIA/EIA 568A/B.
Para realizar un cable sin cruzar habrá que utilizar en ambos extremos del cable la
misma norma, es decir, si a la hora de realizar la unión con el cable en un extremo
hemos seguido la norma TIA/EIA 568 A, en el otro extremo se deberá seguir también
TIA/EIA 568 A.
Figura 1.1
En cuanto al cable a utilizar podrá ser UTP, STP, o FTP. Recordemos que el cable
UTP es el más sencillo al no llevar malla, en el STP cada par esta rodeado con una
malla conductora, y en el FTP la malla conductora rodea a los cuatro pares. En el caso
de elegir STP o FTP deberemos utilizar también conectores RJ45 metálicos para que
pueda existir continuidad en el apantallamiento.
1
Elementos de interconexión
Figura 1.4
Figura 1.5
Pin Nº 1
En la figura 1.6 se puede observar el cable introducido en el
Pin Nº 8 conector. Antes de crimpar se debe realizar una inspección
ocular de que todos los hilos llegan hasta el final.
Figura 1.6
Figura 1.7
2
Elementos de interconexión
En la figura 1.8 se puede observar como los pines metálicos del conector ya no
sobresalen, y que la cubierta está bien agarrada.
Figura 1.8
Para realizar un cable cruzado deberás seguir la norma TIA/EIA 568 A en un extremo y
la TIA/EIA 568 B en el otro.
Preguntas de repaso:
1.- En un cable cruzado ¿cómo se conectan los pines? Rellena la siguiente tabla:
Nº pin Nº pin
1
2
3
4
5
6
7
8
2.- ¿Cuándo se debe utilizar un cable sin cruzar y cuando uno cruzado? Rellena la
siguiente tabla:
Dispositivos ¿Cruzado? Si / No
De PC a PC
De PC a Hub
De PC a Switch
De PC a Router
De Hub a Hub
De Hub a Switch
De Switch a Router
De Router a Router
3.- Explica las diferencias entre las diferentes categoría de cable (de la 1 a la 7).
3
Elementos de interconexión
PRÁCTICA Nº 2
Instalación de rosetas
Las rosetas se pueden encontrar empotradas o pegadas a la pared, o en canaletas, y en
ellas van los conectores RJ-45 hembra. En esta práctica se van a necesitar los
siguientes materiales:
Figura 2.1
1.- Comenta las diferencias entre los conectores hembra de las figura 2.1, 2.2, y 2.3.
4
Elementos de interconexión
PRÁCTICA Nº 3
Certificadores de red
Cuando se certifica una instalación se debe medir como mínimo los siguientes
parámetros:
5
Elementos de interconexión
Figura 3.1
Una vez comprobado que las unidades de pantalla y remota están convenientemente
cargadas se puede proceder a la realización de la práctica.
En primer lugar se debe realizar una calibración de las unidades, y para ello las
uniremos con el adaptador para calibración en campo:
6
Elementos de interconexión
3.- Seleccionar Control remoto. Para PC DTE, para impresora DCE. Pulsar enter
para guardar.
1.- El aparato tiene varios tipos de test según el cable. Pulsar la tecla de selección
de cable.
2.- Con las flechas localizar el cable a analizar. VNP significa Velocidad Normal
de Propagación. Pulsar enter para seleccionarlo. También se puede acceder a la
lista de cables del fabricante correspondiente a la norma del test.
1.- Test de enlace: Para certificar la instalación del cableado horizontal antes de la
conexión de la red y de los usuarios.
2.- Test de enlace de canal: Se utiliza para certificar la instalación de la red
después de la instalación de la red y de la conexión de los usuarios.
3.- Test del mapeado de hilos: Para localizar circuitos cerrados, circuitos abiertos
o cableados incorrectos.
4.- Test de longitud de los cables: Mide la longitud de cada par.
5.- Test de resistencia: Mide la resistencia en corriente continua para cada par.
6.- Test de Diafonía y de ELFEXT: Se llevan a cabo en ambos extremos del cable
y para todas las combinaciones posibles, lo que conlleva 12 mediciones para cada
uno.
7.- Test de Atenuación.
8.- Test de pérdida de retorno: Un valor de 20 dB o más indica un buen cable.
Menor de 10 indica un mal cable.
9.- Test de impedancia.
10.- Test de retardo y desfase: Mide el tiempo que emplea una señal aplicada en
un extremo de un cable en recorrer el trayecto hasta el otro extremo. El desfase
indica la diferencia entre el retardo medido para ese par y con el de menor valor.
11.- Test de capacidad: Mide la capacidad entre los dos conductores de cada par.
Se expresan en picoFaradios. Cuanto mayor es este valor peor es el cable.
12.- Test de RAD: Relación entre atenuación y diafonía. Se calculan par a par. Es
deseable un valor alto.
13.- Test del Margen: Consiste en un análisis matemático de los datos obtenidos
en los tests anteriores. Es deseable un valor alto.
14.- Test de cableado 10Base-T.
15.- Test de cableado Token RING.
16.- Autotest: El equipo lleva a cabo de forma automática unos tests
preprogramados.
7
Elementos de interconexión
Preguntas de repaso:
8
Comandos de red en entorno Windows
PRÁCTICA Nº 4
Comandos de red en Windows
Comando: HOSTNAME
Comando: PING
a.) Probar los siguientes ejemplos y anotar los resultados obtenidos en la hoja de
resultados.
1. ipconfig
2. ipconfig /all
3. ipconfig /displaydns
9
Comandos de red en entorno Windows
Comando: ARP
Comando: NBTSTAT
nbtstat -a profesor
nbtstat -A 192.168.2.1
nbtstat –r
nbtstat -a <nombre>
nbtstat –c
nbtstat –S
nbtstat –s
nbtstat –RR
nbtstat –c
nbtstat –S
nbtstat –s
Comando: PATHPING
10
Comandos de red en entorno Windows
Comando: NETSTAT
b.- ¿Para qué sirve el comando netstat –nabo? ¿Qué información se obtiene?
Comando: : ROUTE
Sustituye las siguientes direcciones IP por aquellas que sean compatibles con el
direccionamiento utilizado en la red en la que te encuentres.
route print
route print 10.*
route add 192.168.4.0 mask 255.255.128.0 192.168.6.1
route add 192.168.3.0 mask 255.255.128.0 192.168.6.1
route -p add 172.16.0.0 mask 255.255.0.0 172.16.0.1
route add 172.16.0.0 mask 255.255.0.0 172.16.0.1
metric 7
route delete 172.16.0.0 mask 255.255.0.0
route delete 172.*
route change 172.16.0.0 mask 255.255.0.0 172.16.0.2
11
Comandos de red en entorno Windows
PRÁCTICA Nº 5
Comando netsh de Windows
El comando netsh de Windows es un comando poco documento pero muy potente.
Permite establecer cualquier configuración que tenga que ver con la red desde la
consola de MS-Dos. El ejecutable suele encontrarse en “C:\WINDOWS\system32\”.
Se puede utilizar la herramienta Netsh.exe para realizar las tareas siguientes:
• Configurar interfaces.
• Configurar protocolos de enrutamiento.
• Configurar filtros.
• Configurar rutas.
• Configurar el comportamiento de acceso remoto para los enrutadores de
acceso remoto basados en Windows que ejecutan el servicio Servidor de
Enrutamiento y acceso remoto (RRAS).
• Mostrar la configuración de un enrutador que se está ejecutando en cualquier
equipo.
• Utilizar la característica de secuencias de comandos para ejecutar una
colección de comandos en modo por lotes en un enrutador especificado.
Para trabajar con él abriremos una ventana de consola y ejecutaremos este comando. Si
preguntamos por la ayuda obtendremos algo similar a la figura 21.1
Figura 5.1
12
Comandos de red en entorno Windows
13
Comandos de red en entorno Windows
Contexto diag
gui
Nos lanza una herramienta gráfica en
la que podremos efectuar un
diagnóstico completo de red (ver
figura 5. 2 )
ping
Nos permite comprobar si podemos
conectarnos a los distintos servicios
de red. Por ejemplo si quisieramos
comprobar la conectividad a un
servidor dns lo haríamos con la
orden ping dns. Con ping adapter,
haríamos un test completo de la
configuración ip en todas nuestras Figura 5.2
las tarjetas de red en nuestro equipo.
connect iphost
Nos permite saber si en un host remoto está respondiendo un servicio o su puerto
correspondiente está abierto. Por ejemplo si quisieramos saber si en un equipo remoto
está disponible el servicio de telnet:
netsh diag >connect iphost 192.168.1.2 23
nbstat
Nos permite ejecutar diagnósticos de resolución de nombres netBIOS.
dump
Muestra la configuración.
show
Muestra información sobre el correo electrónico, las noticias, el proxy, el equipo, el
sistema operativo, el adaptador de red, le módem y el cliente de red.
14
Comandos de red en entorno Windows
Comando Descripción
.. Sube un nivel de contexto.
? o help Muestra la Ayuda de la línea de comandos.
show version Muestra la versión actual de Windows y de la utilidad Netsh.
show netdlls Muestra la versión actual instalada del archivo DLL de la aplicación auxiliar Netsh.
add helper Agrega un archivo DLL de la aplicación auxiliar Netsh.
delete helper Elimina un archivo DLL de la aplicación auxiliar Netsh.
show helper Muestra los archivos DLL de la aplicación auxiliar Netsh.
cmd Crea una ventana de comandos.
online Establece el modo en conexión como modo actual.
offline Establece el modo sin conexión como modo actual.
set mode Establece el modo en conexión o sin conexión como modo actual.
show mode Muestra el modo actual.
flush Descarta cualquier cambio realizado en el modo Sin conexión.
commit Confirma cualquier cambio realizado en el modo Sin conexión.
set audit-logging Activa o desactiva el servicio de registro.
show audit-logging Muestra la configuración de registro de la auditoría actual.
set loglevel Establece el nivel de información de registro.
show loglevel Muestra el nivel de información de registro.
set machine Configura el equipo donde se ejecutarán los comandos netsh.
show machine Muestra el equipo donde se ejecutarán los comandos netsh.
exec Ejecuta un archivo de comandos que contiene comandos netsh .
quit o bye o exit Sale de la utilidad Netsh.
add alias Agrega un alias a un comando existente.
delete alias Elimina un alias de un comando existente.
show alias Muestra todos los alias definidos.
dump Escribe la configuración a un archivo de texto.
popd Un comando de la secuencia de comandos que saca un contexto de la pila.
pushd Un comando de la secuencia de comandos que inserta un contexto en la pila.
Comandos de interfaz
Comando Descripción
interface set/show Habilita, deshabilita, conecta, desconecta y muestra la configuración de interfaces de
interface marcado a petición.
15
Comandos de red en entorno Windows
Comandos de enrutamiento IP
Comando Descripción
routing ip add/delete/set/show interface Agrega, elimina, establece o muestra la configuración general de enrutamiento IP en
una interfaz especificada.
routing ip add/delete/set/show filter Agrega, elimina, configura o muestra filtros de paquetes IP en una interfaz
especificada.
routing ip add/delete/set/show Agrega, elimina, configura o muestra el nivel de preferencia de un protocolo de
preferenceforprotocol enrutamiento.
routing ip set/show loglevel Configura o muestra el nivel de registro IP global.
routing ip show helper Muestra todos los subcontextos de la herramienta Netsh de IP.
routing ip show protocol Muestra todos los protocolos de enrutamiento IP que estén en ejecución.
routing ip show mfestats Muestra las estadísticas de la entrada de reenvío de multidifusión.
routing ip nat set/show global Establece o muestra la configuración global de la traducción de direcciones de red
(NAT).
routing ip nat add/delete/set/show Agrega, elimina, configura o muestra la configuración de traducción de direcciones
interface de red (NAT) para una interfaz especificada.
routing ip nat add/delete addressrange Agrega o elimina un intervalo de direcciones del conjunto de direcciones públicas de
la interfaz NAT.
routing ip nat add/delete addressmapping Agrega o elimina una asignación de direcciones NAT.
routing ip nat add/delete portmapping Agrega o elimina una asignación de puertos NAT.
routing ip autodhcp set/show global Configura o muestra parámetros globales del asignador DHCP.
routing ip autodhcp set/show interface Establece o muestra la configuración del asignador DHCP para una interfaz
especificada.
routing ip autodhcp add/delete exclusion Agrega o elimina una exclusión del intervalo de direcciones del asignador DHCP.
routing ip dnsproxy set/show global Configura o muestra parámetros proxy DHCP globales.
routing ip dnsproxy set/show interface Configura o muestra los parámetros proxy DHCP para una interfaz especificada.
routing ip igmp set/show global Establece o muestra la configuración IGMP global.
routing ip igmp add/delete/set/show Agrega, elimina, configura o muestra IGMP en la interfaz especificada.
interface
routing ip igmp show grouptable Muestra la tabla de grupos de hosts IGMP.
routing ip igmp show ifstats Muestra las estadísticas de IGMP para cada interfaz.
routing ip igmp show iftable Muestra los grupos de hosts IGMP para cada interfaz.
routing ip igmp show proxygrouptable Muestra la tabla de grupos IGMP para la interfaz proxy IGMP.
routing ip igmp show rasgrouptable Muestra la tabla de grupos para la interfaz Interna que utiliza el servidor de acceso
remoto.
routing ip relay show ifstats Muestra las estadísticas de DHCP para cada interfaz.
routing ip rip set/show global Establece o muestra la configuración global de RIP para IP.
routing ip rip add/delete/set/show Agrega, elimina, configura o muestra la configuración de RIP para IP para una
interface interfaz especificada.
routing ip rip add/delete acceptfilter Agrega o quita un filtro de rutas RIP en la lista de rutas que se van a aceptar.
routing ip rip add/delete announcefilter Agrega o quita un filtro de rutas RIP en la lista de rutas que se van a anunciar.
routing ip rip add/delete/show neighbor Agrega, quita o muestra un vecino RIP.
routing ip rip show globalstats Muestra los parámetros RIP globales.
routing ip rip show ifbinding Muestra los enlaces de direcciones IP para interfaces.
routing ip rip show ifstats Muestra las estadísticas de RIP para cada interfaz.
16
Comandos de red en entorno Windows
Comando Descripción
ras add/delete/show Configura o indica si el equipo servidor de acceso remoto especificado es
registeredserver miembro del grupo de seguridad Servidores RAS e IAS en el servicio de
directorio de Active Directory del dominio especificado.
ras show activeservers Muestra los servidores actuales que ejecutan Enrutamiento y acceso remoto
en la red.
ras add/delete/show authtype Configura o muestra los tipos de autenticación permitidos.
ras add/delete/show client Configura o muestra los clientes de acceso remoto conectados actualmente.
ras add/delete/show multilink Configura o muestra la configuración de Multivínculo y el Protocolo de
asignación de ancho de banda (BAP, <i>Bandwidth Allocation Protocol</i>).
ras set/show tracing Configura o muestra la configuración de traza.
ras set/show user Configura o muestra la configuración de acceso remoto para las cuentas de
usuario.
ras ip set access Configura si las transmisiones IP procedentes de los clientes de acceso
remoto se reenviarán a las redes a las que está conectado el servidor de
acceso remoto.
ras ip set addrassign Configura el método que el servidor de acceso remoto utiliza para asignar
direcciones IP a las conexiones entrantes.
ras ip show config Muestra la configuración de acceso remoto para IP.
ras ip set negotiation Configura si IP se negocia en las conexiones de acceso remoto.
ras ip delete pool Elimina el conjunto de direcciones IP estáticas.
ras ip add/delete range Agrega o quita un intervalo de direcciones del conjunto de direcciones IP
estáticas.
ras aaaa set/show accounting Configura o muestra el proveedor de administración de cuentas.
ras aaaa add/delete/set/show Configura o muestra los servidores de administración de cuentas RADIUS.
acctserver
ras aaaa set/show Configura o muestra el proveedor de autenticación.
authentication
ras aaaa add/delete/set/show Configura o muestra los servidores de autenticación RADIUS.
authserver
17
Comandos de red en entorno Windows
Cuestiones a resolver:
2.- Cambiar la IP del adaptador “conexión de área local” para que la tome de forma
dinámica.
3.- Cambiar la IP del adaptador “conexión de área local” a 192.168.4.5 con máscara por
defecto y puerta de enlace 192.168.4.1, Métrica 1, y DNS 147.156.1.1.
5.- Averigua que IP tienen google (realmente tiene varias), e intenta crear una regla en
el cortafuegos para descartar todos los paquetes que provengan de dicha red. ¿Te
puedes conectar a google con tu navegador habitual?
18
Comandos de red en entorno Linux
PRÁCTICA Nº 6
Configuración de la red en Linux
Las herramientas más utilizadas para configurar una máquina que funciona bajo Linux
son ifconfig y route que se encuentran en el paquete net-tools. Sin embargo existe la
herramienta ip que es más potente que las anteriores y las reemplaza.
Para mostrar el estado actual de todas las interfaces de red se debe ejecutar ifconfig sin
argumentos. En la figura 1 se puede observar como la máquina posee una interfaz
ethernet denominada eth0, y el bucle local se denomina lo.
Figura 6.1
Figura 6.2
19
Comandos de red en entorno Linux
Para añadir la puerta de enlace con dirección 192.168.2.254 habrá que escribir:
O lo que es lo mismo:
#route add default gw 192.168.2.254
En las figuras 3 y 4 se puede observar como la interfaz de red eth0 está configurada con
los nuevos parámetros.
Figura 6.3
Figura 6.4
Además se dispone de los siguientes comandos: iwlist (informa sobre las WLANs en los
alrededores), iwpriv (permite configurar parámetros de los drivers), iwspy (informa
acerca de otros usuarios de WLAN), iwevent (controla interfaces WLAN grabando en
un fichero log la actividad de la red).
20
Comandos de red en entorno Linux
/etc/network/interfaces
Cuestiones a resolver:
1.- ¿Cuántos interfaces de red tiene activos tu máquina? ¿Cuáles son sus nombres?
2.- Utilizando la opcion help obtén todas las opciones que se pueden utilizar con el
comando ip y explica sus funciones.
3.- ¿Cómo se puede visualizar los servidores DNS que ya dispone tu máquina? ¿para
que sirve el símbolo >>?. Introduce una dirección de un servidor DNS en tu ordenador.
4.- Configura una tarjeta inalámbrica con los siguientes datos: IP 192.168.3.1/16 con
puerta de enlace 192.168.1.1. ¿Funciona?
5.- Los S.O. Linux poseen una interfaz gráfica para hacer el entorno más amigable.
Configura una tarjeta de red de esta forma. Comenta el proceso a realizar.
6.- Al configurar la red con ifconfig hay que dar una dirección de Broadcast. ¿Para qúe
sirve esta dirección?
21
Comandos de red en entorno Linux
PRÁCTICA Nº 7
Utilidades TCP/IP para la monitorización
y diagnóstico de la red en Linux
hostname
Para ver la dirección IP asociada a una máquina hay que escribir hostname - -fqdn.
El método que utiliza la máquina para resolver los nombres en direcciones IP viene
dado por lo establecido en el fichero de configuración /etc/nsswitch.conf. En este
archivo se puede encontrar una línea similar a esta:
hosts: files dns
Esta línea lista los servicios que deberán usarse para resolver un nombre. En el
ejemplo anterior el sistema buscará primero en el fichero /etc/hosts, y posteriormente
acudirá a su servidor DNS (listados en el fichero /etc/resolv.conf).
ping
El programa ping se utiliza para comprobar la conexión entre dos equipos. Se basa
en el protocolo ICMP, el cual permite devolver un eco al llegar un determinado
mensaje a una máquina.
Al ejecutar este comando en Linux se envía una solicitud de eco cada segundo. El
paquete generado tiene 8 bytes de cabecera más 56 de datos, el cual es encapsulado en
un paquete IP.
traceroute
Gracias a este comando se puede rastrear la ruta que sigue un paquete desde el equipo
emisor hasta el receptor. Utiliza el protocolo ICMP y el campo denominado TTL de
los datagramas IP. Recordemos que el campo TTL es el número máximo de saltos
que podrá realizar el paquete en su viaje.
22
Comandos de red en entorno Linux
netstat
Con este comando se puede comprobar que puertos están activos, es decir
escuchando, y cual es el protocolo que utilizan. También permite ver la tabla de
enrutamiento del equipo.
nslookup
Los servidores DNS traducen los nombres de dominios en direcciones IP, y viceversa.
Utilizando este comando se puede comprobar que nuestro servidor DNS resuelve las
direcciones correctamente. Para utilizarlo basta escribir el Nslookup seguido por el
nombre del dominio.
arp
route
Se utiliza para añadir (route add) o borrar (route del) entradas en la tabla de
enrutamiento.
tcpdump
Sirve para monitorizar el tráfico que circula por una red, al estilo de wireshark.
23
Comandos de red en entorno Linux
Cuestiones
3.- Instala la aplicación wireshark en dos máquinas, y haz un traceroute entre ambas.
Captura los paquetes de emisión y recepción de los datagramas en cada una de ellas.
Analiza el TTL de cada uno de los paquetes, y los puertos de origen y destino.
4.- Ejecutar en una terminal el comando netstat –n y compara los resultados con netstat
–a. Para ver el estado de los interfaces escribe netstat –i. ¿Cuál es el tamaño máximo
de la unidad mínima de información para cada interfaz?
5.- Para obtener la tabla de enrutamiento escribe netstat –r. Compara los resultados con
netstat –rn.
6.- Mediante el comando nslookup averigua la dirección IP de un dominio que sea muy
conocido. ¿Cuántas direcciones IP tiene? ¿Cómo lo explicas? Busca en Internet
diferentes dominios que tengan la misma dirección IP.
7.- Ejecuta nslookup sin argumentos, y posteriormente set type=NS. Haz una consulta
al servidor acerca de un nombre de dominio, por ejemplo eui.upm.es. Comenta los
resultados.
8.- Para obtener una lista de todos los equipos que pertenecen a un dominio escribe ls
seguido del nombre del dominio. Para saber quien es el servidor encargado de resolver
un dominio escribe set type=SOA, seguido del nombre del dominio. Explica qué
significado tiene cada uno de los campos que se muestran.
9.- Cambia el modo de consulta a CNAME. Escribe www para preguntar qué máquinas
actúan como servidores web. Averigua qué máquinas del dominio en el que te
encuentras ofrecen los servicios más habituales (ftp, news, …).
10.- Para averiguar cuantas máquinas actúan como servidores de correo cambia el modo
de consulta a MX, e introduce el nombre del dominio, por ejemplo unizar.es.
24
Analizadores de tráfico
PRÁCTICA Nº 8
Figura 8.1
En primer lugar, hay que plantearse cuantas tarjetas de red (también llamadas
interfaces) tiene nuestro equipo, y cual de ellas es la que queremos seleccionar para
monitorizar su tráfico. Esto se debe seleccionar en el menú Capture / Interfaces (figura
2). Se puede obtener información adicional de la interfaz de red pulsando sobre details
(figura 3).
Figura 8.4
25
Analizadores de tráfico
Sin cambiar nada pulsar sobre Start. En la ventana que aparece se irán mostrando todos
los paquetes que captura la aplicación. Pasado un tiempo pulsar sobre Stop (figura 5).
Figura 8.5
• En la parte superior se listan todos los paquetes con una breve descripción,
pulsando sobre un paquete (en la figura está pulsado el paquete número 38) se
actualizan las dos ventanas inferiores.
• La ventana intermedia indica los protocolos utilizados en los diferentes niveles
de la arquitectura del paquete seleccionado, y sus valores.
• La ventana inferior muestra el contenido del paquete seleccionado en formato
hexadecimal y en ASCII.
Cuando se realiza el análisis del tráfico de una red es habitual encontrarse con multitud
de paquetes que contienen información que no nos interesa. Se puede realizar un
filtrado con anterioridad (sólo se capturarán los paquetes que cumplan unas
condiciones) o un filtrado con posterioridad (estableciendo un filtro de pantalla).
host 192.168.2.2
net 192.168.2
port 21
src or dst net 192.168.2
dst 192.168.2.2 and (udp or icmp)
26
Analizadores de tráfico
2.- Localiza el primer paquete que utiliza protocolo ICMP. ¿Qué datos contiene la
dirección IP origen, dirección IP destino, protocolo, tamaño, TTL?
Protocolo Identificador
TCP
UDP
ICMP
RTP
Protocolo Identificador
DNS
HTTP
HTTPS
FTP
BitTorrent
5.- En un paquete que utiliza el protocolo ICMP ¿Cual es el campo que identifica que es
una solicitud (request)? ¿Y cual es el valor de este campo para una respuesta (reply)?
6.- Escribe un filtro que permita capturar únicamente los paquetes generados al realizar
un ping de ida (request).
7.- Estudia la diferencia de los diferentes campos entre un paquete de solicitud de eco y
su respuesta. ¿Qué campo es el que indica si se trata de una solicitud o de una
respuesta?
9.- ¿En qué modo hay que poner una tarjeta WIFI para monitorizar todo el tráfico que
circula por la red? ¿Qué es el adaptador de bucle local? ¿Para qué sirve?
10.- Conéctate a una página Web utilizando un navegador y captura el tráfico que se
genera. Sitúate en un paquete cualquiera HTTP y con el botón derecho selecciona
Follow HTTP Stream. ¿Qué utilidad tiene la ventana que se muestra?
27
Analizadores de tráfico
PRÁCTICA Nº 9
Escáner de puertos: NMAP
El escaneo de puertos permite auditar máquinas y redes para saber qué puertos están
abiertos. NMAP (Network Mapper) es una herramienta libre para la auditoría
disponible para varias plataformas. La página web que da soporte a esta herramienta es:
http://nmap.org/. Se puede averiguar qué ordenadores están encendidos en una red, los
puertos abiertos y qué servicios ofrecen, el sistema operativo que se está ejecutando en
la máquina, si tiene cortafuegos, etc.
1) Nmap envía un ping a la máquina objetivo. El usuario puede elegir entre una
solicitud de Eco o de alguna técnica propia de Nmap.
2) Se averigua el nombre del equipo a partir de su dirección IP.
3) Nmap escanea los puertos de la máquina utilizando la técnica seleccionada.
Se pueden utilizar unas quince técnicas distintas de sondeos de puertos: Tcp connect,
TCP SYN, TCP FIN, ping, UDP scan, etc. Pasemos a describir algunas de ellas:
-sS: Sondeo TCP SYN es el utilizado por omisión. Se envía un paquete SYN, como si se
fuera a abrir una conexión real y después se espera una respuesta. Si se recibe un
paquete SYN/ACK esto indica que el puerto está en escucha (abierto), mientras que si
se recibe un RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe
ninguna respuesta después de realizar algunas retransmisiones entonces el puerto se
marca como filtrado.
-sT: sondeo TCP connect. Ésta es la misma llamada del sistema de alto nivel que la
mayoría de las aplicaciones de red. Envío sin datos de una cabecera UDP para cada
puerto objetivo.
sN; -sF; -sX: sondeos TCP Null, FIN, y Xmas. Estos tres tipos de sondeos se diferencian
en las banderas TCP que se fijan en los paquetes sonda
-sW: sondeo de ventana TCP. Algunos sistemas fijan un tamaño de ventana positivo
para puertos abiertos mientras que se utiliza una ventana de tamaño cero para los
cerrados.
-sM: sondeo TCP Maimon. Algunos sistemas derivados de BSD descartan un paquete
determinado si el puerto está abierto
-sO: Sondeo de protocolo IP. Permite determinar qué protocolos (TCP, ICMP, IGMP,
etc.) soportan los sistemas objetivo
28
Analizadores de tráfico
1.- Instalar nmap en cualquier plataforma, y su interfaz gráfica Zenmap (figura 1), o
NMAPFE, o knmap (figura 2).
Figura 9.2
Figura 9.1
nmap -v -A www.google.es
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
5.- Para escanear un determinado rango de puertos en una máquina (figura 3):
Figura 9.3
29
Analizadores de tráfico
6.- Para saber qué ordenadores de una red tienen un determinado puerto abierto se
averigua de la siguiente manera:
Comprueba en tu red local qué ordenadores tienen los puertos NetBios abiertos.
7.- Si queremos averiguar las versiones de los servicios se debe usar la opción –sV:
8.- Con la opción –O se puede averiguar qué sistema operativo tiene un host.
nmap -O 192.168.1.1
9.- Nmap también dispone de una interfaz mediante página web denominada phpNmap.
Instalala y compárala con la interfaz gráfica que hayas utilizado.
10.- En varias películas se han incluido imágenes en los que hackers utilizaban la
aplicación nmap para atacar sistemas informáticos. ¿Sabrías decir alguna?
30
Analizadores de tráfico
PRÁCTICA Nº 10
Utilidades para la monitorización
de redes inalámbricas: NetStumbler y CommView
Figura 10.1
SNR significa relación entre la señal y el ruido. En toda comunicación hay una
componente añadida que distorsiona la señal original cuyo origen puede provenir por
multitud de diferentes causas (ruido térmico, motores, bobinas, campos magnéticos y
eléctricos, etc). Un valor alto de SNR indica que la calidad de la señal es buena frente
al ruido de fondo, y permite establecer una conexión sin problemas. Se mide en
decibelios.
31
Analizadores de tráfico
Figura 10.2
Figura 10.4
Figura 10.3
CommView es un programa para Windows que permite la captura de tráfico WIFI. Para
conseguirlo utiliza los drivers Pcap (libpcap para Linux, y WinPcap para Windows)
para poner la tarjeta inalámbrica en modo monitor. En el menú archivo se puede
explorar la red pulsando sobre Iniciar exploración (figura 5), pero para capturar el
tráfico es necesario especificar un número de canal.
Figura 10.5
Una vez seleccionado el número de canal, y pulsado sobre capturar se mostrarán todos
los paquetes con indicación de la fuente emisora y del destinatario (figura 6). Existen
tres tipos de paqutes: de datos, de control, y de administración (figura 7).
Figura 10.7
Figura 10.6
32
Analizadores de tráfico
Figura 10.8
Figura 10.9
En el menú de estadísticas se
puede realizar diferentes
análisis, por ejemplo se puede
saber una máquina con quien ha
establecido comunicación
(figura 10).
Figura 10.10
2.- ¿Qué valor de SNR en dB crees suficiente para establecer comunicación con un
punto de acceso?
3.- Realiza un listado con todos los puntos de acceso existentes y el tipo de encriptación
que utilizan de un determinado lugar.
4.- Realiza una tabla con las conexiones existentes entre los diferentes equipos de una
red inalámbrica.
5.- Establece un filtro en la aplicación CommView para capturar el tráfico con origen o
destino a una determinada máquina.
33
Analizadores de tráfico
PRÁCTICA Nº 11
Tcpdump y ngrep.
Tcpdump es una herramienta que permite capturar el tráfico que circula por la red. Se
puede descargar e instalar con el gestor de paquetes o mediante el comando de consola
apt-get install. Disponible en http://www.tcpdump.org.
Tcpdump es una herramienta que no tiene interfaz gráfica, sin embargo los ficheros que
genera son aprovechados por otras aplicaciones como Wireshark, aircrack, etc. Prueba
a realizar una captura con tcpdump y abrirla posterioremente con uno de estos
programas.
Ngrep es una herramienta similar a tcpdump pero con la característica de poder buscar
cadenas de texto en los paquetes capturados como lo hace grep. Incluso tiene las
mismas opciones. En el caso de querer mostrar todos los paquetes que circulan con una
palabra en particular hay que escribir:
¿Eres capaz de mostrar el contenido de los mensajes de correo electrónico que circulan
por la red?
¿Y mostrar el nombre de los navegadores web que son utilizados en la red en que te
encuentras?
34
Simulación de dispositivos
* Dispositivos (figura 4): Para añadir un elemento al diseño (hub, switch, routers,
cableado, puntos de acceso, ordenadores, redes WAN, …) se debe hacer clic sobre el
tipo, seleccionarlo entre los ofertados en el lado derecho, y posteriormente pulsar sobre
el lugar deseado en la ventana.
* Paleta de herramientas (figura 5): Permiten seleccionar, mover, añadir notas, borrar, y
con la lupa observar las diversas tablas de los dispositivos.
* PDU compleja (figura 7): Para crear un paquete con los puertos de origen y destino
deseados.
Figura 6
Figura 2 Figura 3
Figura 4
Figura 7
Figura 5
35
Simulación de dispositivos
PRÁCTICA Nº 12
Conectar dos PCS directamente
1. Indica todos los dispositivos, placas y puertos que pueden tener dos PCS para
poder intercambiar datos.
3. ¿Cuál es la distancia máxima a la que pueden estar dos PCS conectados con
cable de categoría 5 sin repetidores?
5. Dentro de los rangos anteriores existen unas IPs que se pueden usar libremente
para uso privado. ¿Cuáles son?
Figura 12.1
36
Simulación de dispositivos
IP Máscara
PC 0
PC 1
Figura 12.2
8. ¿Es necesario rellenar el campo Gateway o puerta de enlace? ¿Por qué si/no?
10. Pulsa sobre la pestaña simulación para acceder a dicho modo, y se abrirá una
ventana en la que se visualizará el tráfico de datos generado en la red (figura 3).
Figura 12.3
11. Haz clic sobre el sobre que simboliza a una PDU sencilla, y posteriormente
sobre los dos PCs. Con esto estás realizando un ping de un ordenador a otro.
12. Pulsa sobre el botón de play (figura 4). ¿Ha sido satisfactorio el ping?.
Explica lo que sucede.
Figura 12.4
37
Simulación de dispositivos
PRÁCTICA Nº 13
PC0: 192.168.1.1
HUB PC1: 192.168.1.2
PC2: 192.168.1.3
PC3: 192.168.2.1
SWITCH PC4: 192.168.2.2
PC5: 192.168.2.3
¿De qué color tienes los puntos de cada conexión? Figura 13.1
4. Con la lupa pulsa sobre el switch y sobre el hub. Explica por qué se muestra (o no se
muestra) una ventana MAC, y qué información contiene. ¿Tiene datos (por qué si/no) ?
6. Haz un ping del PC3 al PC4. Pon especial atención en cómo se procesan la ICMP y
ARP. Haz ping del PC4 al PC3. ¿Hay alguna diferencia entre los dos pings?
Figura 13.2
38
Simulación de dispositivos
PRÁCTICA Nº 14
Configuración de parámetros
PC1: 172.16.128.1
I.P. PC2: 172.16.128.2 Máscara: 255.255.192.0
PC3: 172.16.128.3
PC4: 172.16.128.4
39
Simulación de dispositivos
PRÁCTICA Nº 15
Protocolo ARP
1. ¿Qué significa ARP? ¿Para que sirve? ¿Cuando es utilizado este protocolo?
2. Realizar la siguiente conexión. Pon las IPs que creas conveniente a los dispositivos.
Figura 15.1
3.- Con la lupa puedes observar las tablas ARP de los dispositivos. ¿Qué datos tienen?
4.- En el panel de simulación selecciona únicamente los paquetes ARP e ICMP. Haz un
ping desde PC0 hasta PC1. Rellena la siguiente tabla con todos los paquetes que son
generados:
5.- Con la lupa observa las tablas ARP de PC0 y PC1. ¿Qué datos tienen ahora?
7.- Si volvemos a hacer un ping ahora desde PC0 hasta PC1, ¿En qué se diferenciaría la
simulación con lo obtenido en el punto 4?
8.- ¿Qué dispositivos reciben el paquete broadcast y cuales no? ¿Por qué?
9.- Abre una consola de MS-DOS en tu ordenador. Al ejecutar "arp -a" se nos mostrará
las entradas que tenga. Si tienes alguna ejecuta "arp -d" para borrarlas. Para
comprobar que esta vacía ejecuta "arp - a ". Haz un ping a Google. ¿Cuantas entradas
tendremos ahora en la tabla arp? ¿A qué dispositivo/s pertenece/n esa/s M.A.C.?
10.- Los datos de la tabla arp de nuestro ordenador se introducen y borran de forma
dinámica. ¿Cuanto tiempo permanecen estos datos aproximadamente?
40
Simulación de dispositivos
PRÁCTICA Nº 16
1. Realizar la conexión de la figura 1. Para ello quizás tendrás que introducir una
interface FastEthernet al router. Acuérdate de activar las interfaces (Port Status a ON).
¿Cómo son los cables utilizados?
IP GW
PC0
PC1
4. Configurar las I.P. de los PCs. ¿Cuál es la máscara de red? El campo pasarela o
puerta de enlace (gateway) ¿lo has dejado vacío? ¿Por qué si/no?
Figura 16.2
41
Simulación de dispositivos
PRÁCTICA Nº 17
SWITCH 0 SWITCH 1
PC2 PC5
10.0.0.4 192.168.1.5
GW: 10.0.0.35 GW:192.168.1.37
1. Realizar el conexionado de la figura, configurar los PCs con las IPs indicadas. ¿De
qué tipo son?. ¿Qué significa el campo gateway?
3. Cambia el nombre del router a uno que tú decidas . Configura las I.P. del router
adecuadamente. ¿Cuáles y dónde las has puesto?
6. En la pestaña “desktop” de uno de los PCs, pulsa sobre “command prompt” y escribe
“ping ........” a la dirección I.P. de otro PC. ¿Funciona?
2. ¿Cómo son los cables de conexión que has utilizado (cruzados o sin cruzar)?
ROUTER 0
ROUTER 1
43
Simulación de dispositivos
10. ¿Cual es el valor del campo de tipo de protocolo que determina que los datos son un
mensaje ICMP?
11. ¿Cual es el valor que identifica que se trata de un ICMP request? ¿Y de un ICMP
reply? (Tienes la solución viendo el campo tipo de ICMP).
12. Indica todos los posibles valores que puede tener el campo tipo y su significado.
44
Simulación de dispositivos
PRÁCTICA Nº 19
Interconexión de redes locales (1)
216.89.3.1 198.64.126.1
SWITCH0 ROUTER0 SWITCH1
PC0 PC2
216.89.3.2 216.89.3.4 PC6 PC8
198.64.126.2 198.64.126.4
PC1
216.89.3.3 PC7
198.64.126.3
198.64.126.21
198.64.126.20
ROUTER1 ROUTER2
188.119.10.1 23.65.211.79
SWITCH2
PC4
188.119.10.4
1.- Configurar los PCs y routers con las IPs indicadas. Internet puedes simularla con un
router o un PC.
2.- Utiliza la herramienta lupa, haz clic sobre un router y mira las “tablas de
enrutamiento”. ¿Están vacías? Si o no, y ¿por qué?
Tabla de encaminamiento:
DESTINO MÁSCARA SGTE. PUERTO SALTOS
ROUTER 0
0.0.0.0
45
Simulación de dispositivos
Tabla de encaminamiento:
DESTINO MÁSCARA SGTE. PUERTO SALTOS
ROUTER 1
0.0.0.0
Tabla de encaminamiento:
DESTINO MÁSCARA SGTE. PUERTO SALTOS
ROUTER 2
0.0.0.0
4.- En los routers haz clic en la pestaña enrutamiento estático e introduce la tabla de
encaminamiento para cada uno.
8.- Elimina el enrutamiento estático borrando cada una de las líneas introducidas.
9:- En cada router activa el encaminamiento dinámico RIP. Esto se realiza añadiendo
en la pestaña RIP la dirección de todas las redes próximas.
10.- Utiliza la herramienta lupa, haz clic sobre un router y mira las “tablas de
encaminamiento”. ¿Están vacías? Si o no, y ¿por qué?
12.- ¿Qué significa las siglas R.I.P.? ¿Para qué se utiliza? ¿En qué se basa el
funcionamiento de este protocolo?
46
Simulación de dispositivos
PRÁCTICA Nº 20
Interconexión de redes locales (2)
210.0.64.1 218.46.169.5
SWITCH0 ROUTER C SWITCH1
PC1 PC4
210.0.64.3 218.46.169.3
218.46.169.1
223.255.15.1
ROUTER B
SWITCH3
194.118.240.1
23.210.86.100
1.- Configurar los PCs y routers con las IPs indicadas.
2.- Identifica los nombres de las redes, de que tipo son (A/B/C/D/E), y máscara.
Tabla de encaminamiento:
DESTINO MÁSCARA SGTE. PUERTO SALTOS
ROUTER A
0.0.0.0
47
Simulación de dispositivos
Tabla de encaminamiento:
DESTINO MÁSCARA SGTE. PUERTO SALTOS
ROUTER B
0.0.0.0
Tabla de encaminamiento:
DESTINO MÁSCARA SGTE. PUERTO SALTOS
ROUTER C
0.0.0.0
4.- En los routers haz clic en la RIP estática e introduce la tabla de encaminamiento para
cada uno.
7.- Elimina todas las entradas introducidas del enrutamiento estático, y activa el
enrutamiento RIP dinámico. ¿Qué redes hay que añadir para cada router?
48
Simulación de dispositivos
Cuando una red destino es alcanzable por varios caminos se debe elegir uno de ellos
para mandar el tráfico. A cada camino se le asigna un número denominado métrica, el
cual es calculado de forma diferente según el algoritmo de enrutamiento utilizado. Los
factores utilizados para calcular esta métrica son: ancho de banda, retardo, carga,
fiabilidad, cuenta de saltos, retraso en el enlace, coste del uso del enlace.
• En los vector distancia se pasan las tablas de enrutamiento cada cierto tiempo los
routers unos a otros, informando de los cambios en la topología. De este modo
cada router actualiza su tabla de enrutamiento en función de la topología de la
red. Algoritmos que pertenecen a esta categoría: RIP (Protocolo de información
de enrutamiento), IGRP (Protocolo de enrutamiento de gateway interior).
• Los híbridos combinan aspectos del enrutamiento por vector distancia como del
estado del enlace. Calcula las tablas de enrutamiento según los vector distancia
pero sólo envían notificaciones a sus vecinos en el caso de modificaciones en la
topología. Utilizan menos ancho de banda y recursos del router. Como
ejemplo de éste método tenemos EIGRP (Protocolo de enrutamiento de gateway
interior mejorado).
RIP: Utiliza la cuenta de saltos para la selección de la ruta, y si este valor es mayor
que 15 el paquete se descarta. Las actualizaciones se mandan cada 30 segundos
mediante mensajes UDP al puerto 520. Cada mensaje de actualización que manda un
router a sus vecinos tiene una lista de hasta 25 redes indicando las distancias hacia ellas.
Si un router no tiene noticias de sus vecinos en 180 segundos los da por desaparecidos.
49
Simulación de dispositivos
OSPF: Definido en el RFC 1583. Algoritmo de estado de enlaces que utiliza un flujo
de información y un algoritmo Dijkstra de camino de coste mínimo. Cada router
construye un mapa topológico del sistema autónomo completo y se crea un árbol de
caminos a todas las redes con coste mínimo. OSPF no establece como fijar el los pesos
de los enlaces.
Un router envía notificaciones a todos los routers del sistema autónomo cuando se da
cuenta que ha habido modificaciones en la topología, o cada treinta minutos. No usa ni
TCP ni UDP, sino que usa IP directamente (protocolo 89).
El protocolo OSPF puede comprobar que los enlaces sean operacionales mediante un
mensaje HELLO, y un router puede obtener la base de datos completa del estado de la
red de un router vecino.
Un router que utiliza OSPF va avanzando en los siguientes siete estados hasta estar
operativo: desactivado, inicialización, estado de dos-vías, exstart, de intercambio,
loading, y de adyacencia. Una red OSPF se divide en áreas: backbone (forma el
nucleo de la red), stub (no recibe rutas externas), y área not-so-stubby (puede importar
rutas externas de sistemas autónomos).
EIGRP: Calcula la mejor ruta a cada red y ofrece rutas alternativas en el caso de fallos.
Mantiene tres tablas: tabla de vecinos, tabla de topología, y tabla de encaminamiento.
No utiliza ni TCP ni UDP, sino que utiliza RTP (Protocolo de Transporte Confiable)
para poder realizar envíos multicast o unicast según interese.
BGP: Protocolo de enrutamiento exterior utilizado para comunicarse entre sí por los
ISP, o entre una compañía y un ISP, es decir un router sólo se comunica con los
directamente conectados permitiendo el rutado entre sistemas autónomos. Es un
protocolo de vector de rutas.
Cada sistema autónomo se identifica por un número que es globalmente único asignado
por el ICANN.
Dos routers que utilizan BGP para comunicarse, lo hacen usando el protocolo TCP
puerto 179, y utilizan cuatro tipos de mensajes: OPEN para que un router se identifique
y autentique, UPDATE para anunciar o eliminar un camino, KEEPALIVE para
informar que sigue activo, NOTIFICATION para informar de un error.
IGP: Está diseñado para utilizarse en una red administrada por una sola organización.
Todos los routers se consideran vecinos entre sí.
EGP: Es utilizado por los proveedores de acceso a Internet, dentro de cada sistema
autónomo. Cada sistema autónomo es identificado con un número de 2 bytes asignado
por el Registro Americano de Números de Internet.
50
Simulación de dispositivos
En el caso de que existan varios caminos entre dos puntos que tienen la misma distancia
administrativa es posible realizar entre ellos equilibrado de carga. Es posible dos
métodos de equilibrado de carga: por paquete y por destino.
Es imposible que un router tenga un listado completo de todas las rutas posibles a todos
los routers restantes, por ello los routers tienen una ruta como predeterminada. Es
decir, si un paquete recibido por el router tiene como destino una red que desconoce,
mandará dicho paquete hacia su ruta predeterminada. Este concepto permite mantener
las tablas de enrutamiento con pocas entradas.
En el caso de que un administrador haya definido una ruta estática en un router hacia
una red de destino, y el router haya descubierto otra ruta mediante algún algoritmo de
enrutamiento dinámico, ¿cuál utilizará el router para enviar un paquete hacia esa red de
destino?. La respuesta es sencilla: la ruta estática. Cada algoritmo de enrutamiento
tiene una métrica predeterminada representada, para los routers Cisco, en la tabla
siguiente:
51
Simulación de dispositivos
PRÁCTICA Nº 21
Enrutamiento dinámico RIP
Figura 21.1
2.- Comprueba la tabla de enrutamiento de cada router con la lupa ¿están vacías?
3.- Introduce las redes próximas para cada router en el apartado enrutamiento dinámico
RIP (figura 2).
52
Simulación de dispositivos
Figura 21.4
6.- Observa como los routers se mandan unos a otros paquetes de actualización de sus
tablas de enrutamiento mediante el protocolo RIP. ¿Qué puerto UDP es el utilizado?
¿Son paquetes de broadcast?
8.- ¿Qué campos contiene un paquete RIP v1 (figura 6), y qué significado tienen?
¿Cuántos bytes tiene cada entrada que identifica una red?
Figura 21.6
Figura 21.7
Figura 21.5
9.- Elimina la conexión entre los routers R1 y R3, y únelos mediante un switch tal y
como se muestra en la figura 7. Conecta a la red 4 el router R0.
10.- Introduce un enrutamiento estático en el router R0 con destino la red 6. ¿Qué datos
has introducido? Observa la tabla de enrutamiento de R0. ¿Cómo ha sido alterada esta
tabla? ¿Qué significan las letras C, R, S?
11.- ¿Qué significa que un enrutador utiliza un algoritmo de inundación para conocer las
redes a las que está conectado?
53
Utilización de dispositivos
PRÁCTICA Nº 22
Conexión de dos PCs
1º.- Instalar la aplicación Wireshark en cada ordenador. Conecta tu ordenador con el
de tu compañero mediante el cable que has hecho en prácticas anteriores. ¿Es
cruzado o sin cruzar? Pon el programa a capturar tráfico. ¿Se captura algún tipo
de tráfico? ¿Cuál? ¿De que tipo?
3º.- Describe lo que ves en la ventana de captura del Wireshark. ¿Se consigue con
éxito el ping? ¿Cuántos paquetes han sido enviados? ¿Qué protocolo es usado?
4º.- Comparte una carpeta. ¿Se ve desde el otro equipo? ¿Qué paquetes son
capturados cuando alguien quiere entrar a la carpeta?
54
Utilización de dispositivos
PRÁCTICA Nº 23
Hubs
3º.- Conectar dos hubs entre sí. ¿Qué cable has usado? Haz un ping del PC1 al PC4
(según la figura). ¿Qué tráfico captura el ordenar 2? ¿Y el ordenador 5?.
HUB1 HUB2
4º.- Conecta uno de los hub a la red de clase. Haz un ping a una IP externa. Describe
el tráfico que capturan todos los ordenadores.
5º.- ¿A qué se llama dominio de colisión? ¿Ayudan los hubs a reducir el dominio
de colisión?
55
Utilización de dispositivos
PRÁCTICA Nº 24
SWITCHS
1º.-) Con los cables que hemos construido en prácticas anteriores, realizar la siguiente
conexión. ¿Qué tipo de cable has usado?
SWITCH
2º.-) Ejecuta el Wireshark en todos los ordenadores, y captura datos. Para ello haz un
ping del PC2 al PC1, y describe el tráfico que captura cada uno de los tres
ordenadores.
3º.-) ¿Sirve de algo el parámetro puerta de enlace? ¿Lo has usado para algo?
4º.-) Al switch ¿se le puede poner una dirección I.P.? ¿Cuál es la función del switch?
¿Cuántas direcciones MAC tiene el switch?
5º.-) Haz la siguiente configuración. ¿Qué cable has usado para unir los switchs? Haz
un ping del PC1 al PC6 y describe el tráfico que hay en todos los PCs
SWITCH1 SWITCH2
8º.-) ¿A qué se llama dominio de difusión? ¿Ayudan los switchs a reducir el dominio
de difusión?
56
Utilización de dispositivos
PRÁCTICA Nº 25
4º.- Configura el lado WAN del router con la IP 192.168.20.1. Recuerda desactivar
cortafuegos, NAT, etc. Haz un ping desde tú ordenador al lado WAN del
router. ¿Algún problema?
192.168.20.2
192.168.20.1
6º.- Haz la siguiente configuración. ¿Qué I.P. has puesto a los routers? Configura las
tablas estáticas de los routers. ¿Qué datos tienen estas tablas?
7º.- Haz un ping de un PC al router de la otra red (a sus dos IPs). Captura, con el
Wireshark, y describe el tráfico que ves.
57
Utilización de dispositivos
PRÁCTICA Nº 26
Interconexión de redes locales (1)
1º.- Resetear el router (mantener pulsado el botón de reset hasta que se vuelva a iluminar).
Configura el router con las siguientes IP (LAN: 192.168.5.1 / WAN: 192.168.9.1). Para ello
configúralo a través de la IP 192.168.2.0 y login vacío. Desactivar NAT, cortafuegos, etc.
Figura 26.1
3º.- Con los datos de la figura 2 rellena la siguiente tabla con los nombres de las redes, su
tipo (A, B, C, D), y su dirección de Broadcast.
Figura 26.2
58
Utilización de dispositivos
ROUTER B
ROUTER C
5º.- Monta el esquema de la figura 2. Configura los dispositivos con las IP indicadas. En los
routers deberás introducir también las tablas estáticas de enrutamiento.
7º.- Desde el ordenador PC3 visualiza el camino que sigue un paquete mediante el comando
tracert o trace route hacia los siguientes destinos:
59
Utilización de dispositivos
PRÁCTICA Nº 27
Interconexión de redes locales (2)
1.- Configurar los PCs y routers con las IPs indicadas.
LAN 218.46.169.0
210.0.64.1 218.46.169.5
PC 0 ROUTER C SWITCH 1
210.0.64.2
218.46.169.1
PC 2
ROUTER B 218.46.169.2
SWITCH 2
223.255.15.5
PC 1
223.255.15.3
ROUTER A
23.210.86.100
23.210.86.19 Internet
ROUTER B
ROUTER C
3.- En los routers haz clic en “RIP estática” e introduce la tabla de enrutamiento para
cada uno.
4.- Pon el Wireshark a capturar tráfico. Haz ping del PC0 a Internet. ¿Funciona?
Explica los paquetes que son capturados.
5.- Haz ping del PC0 al PC4. ¿Funciona? Explica los paquetes que son capturados.
60
Arquitectura TCP/IP
ARQUITECTURA TCP/IP
La arquitectura TCP/IP es la base de las comunicaciones en Internet, implementada en
todos los sistemas operativos actuales, y sirve de cabida a multitud de protocolos. De
hecho, su nombre viene de los dos protocolos más importantes: el protocolo TCP de la
capa de transporte y el protocolo IP de la capa de red.
* Permite el uso de aplicaciones muy diversas, tanto que cada día se inventan
nuevas. La evolución de Internet es vertiginosa, es muy difícil mantenerse al día de
los últimos avances...
Aplicación
Transporte
Red
Subred
61
Arquitectura TCP/IP
PRÁCTICA Nº 28
Nivel de enlace
La cabecera de un marco del nivel de enlace contiene los siguientes campos:
* El campo CRC permite detectar los cambios de bit sufridos por motivos como la
atenuación, y a la energía electromagnética.
2.- Pon una regla en tu cortafuegos de tal modo que tu ordenador no conteste a los
pings, por ejemplo en el cortafuegos de Windows debes pulsar en botón de
configuración de ICMP, y luego desactivar todas las pestañas de solicitud.
En el caso de querer desactivar la respuesta a los pings en una máquina linux escribe:
62
Arquitectura TCP/IP
3.- Borra la tabla arp con el comando arp -d. Comprueba que está vacía. Haz ping a
otro ordenador que haya desactivado responder al ping. ¿Has recibido contestación?
¡Sin embargo el ordenador está encendido! Vuelve a comprobar la tabla arp. ¿Está
vacía? Explica lo que ha sucedido.
4.- Realiza una captura del tráfico, e identifica en un paquete los diferentes campos de la
cabecera del nivel de enlace.
5.- La dirección lógica (dirección IP) que asignamos a un host puede ser modificada a
nuestra conveniencia, pero ¿se puede cambiar la dirección física (dirección MAC)?
Recordemos que la dirección MAC es un número de 48 bits (6 bytes) que está grabado
en cada interfaz de red, e indica el fabricante y número de serie de la tarjeta, por lo que
no hay dos tarjetas idénticas en el mundo.
7.- ¿Qué crees que sucede si dos ordenadores tienen idéntica dirección MAC? ¿Podrán
conectarse correctamente y simultaneamente a Internet?
63
Arquitectura TCP/IP
PRÁCTICA Nº 29
Nivel de red
Formato del datagrama en IPv4
Tiempo de vida: Cada vez que un datagrama atraviesa un router este valor es
decrementado en una unidad. Cuando este valor llega a cero es desechado el datagrama.
64
Arquitectura TCP/IP
PRÁCTICA Nº 30
ICMP: Protocolo de Mensajes de Control de Internet
Es un protocolo utilizado para intercambiar información de la capa de red de un
dispositivo a otro, aunque normalmente es utilizado para informar de errores en la
conexión.
El programa traceroute utiliza el campo TTL de los paquetes para ir descubriendo los
diferentes routers que atraviesa un paquete hacia su destino. Cada vez que el valor de
TTL del paquete llega a cero el router en el que se produce dicha situación manda al
origen del paquete un mensaje ICMP de tipo 11.
65
Arquitectura TCP/IP
1.- Haz un ping a una máquina de un compañero capturando el tráfico. ¿Cuántos bytes
ocupa la cabecera de ICMP? ¿Cuántos bytes de datos han sido enviados? ¿Coinciden
los campos tipo y código de los paquetes de solicitud y respuesta con los de la tabla
anterior?
4.- Vamos a ver cómo se calcula el campo checksum, así que para trabajar con un
campo de datos pequeño escribiremos el siguiente comando que hace un ping con
únicamente dos bytes de datos:
Calcula la suma teniendo en cuenta que los valores están en formato hexadecimal.
5.-¿Cuanto vale la suma del valor que acabas de obtener más el campo checksum de tu
paquete (para el ejemplo sería BB62 + 449D = FFFF) ? ¿Cómo crees que se identifica
si un paquete tiene algún bit erroneo?
6.- Haz el complemento a uno del valor de la suma del punto 4 (en el ejemplo BB62), es
decir intercambia los ceros por unos y viceversa, o pulsa en el botón not de la
calculadora. ¿Qué valor has obtenido (para el ejemplo BB62 => 449D)? ¿Coincide con
el valor del checksum?
66
Arquitectura TCP/IP
PRÁCTICA Nº 31
IPv6
Desde hace mucho tiempo se dice que el número de máquinas direccionables con IPv4
ha llegado a su límite, sin embargo IPv6 no termina de desplegarse definitivamente
debido al uso intensivo de diversas técnicas como DHCP, NAT, y subredes que han
impedido su implantación. Antes o después se usará IPv6.
IPv6 utiliza 128 bits para direccionar máquinas con la posibilidad de que los equipos se
autoconfiguren, con seguridad e integridad de datos, y soporte a tráfico multimedia. Los
datagramas pueden ser de tipo unicast (el datagrama es enviado de un emisor a un único
receptor), multicast (el datagrama es enviado de un emisor a múltiples receptores), y
anycast (el datagrama es entregado a cualquier host de un grupo, generalmente el que
conteste primero o se encuentre más próximo). IPv6 no permite la fragmentación de
paquetes, ni direcciones broadcast.
40 Bytes
(8 bits)
Longitud de datos Próxima Límite de
(16 bits) cabecera saltos
(8 bits) (8 bits)
Dirección de fuente
(128 bits = 16 Bytes)
Dirección destino
(128 bits = 16 Bytes)
Datos
El campo versión lleva el valor 6. Etiqueta de flujo sirve para identificar el flujo de
datagramas. Siguiente cabecera contiene el protocolo usado de la capa de transporte.
Limite de saltos es el campo equivalente a TTL el cual contiene un número que se va
decrementando en una unidad cada vez que el paquete atraviesa un router. Hay que
fijarse que se ha suprimido el campo de suma de comprobación existente en IPv4, esto
es debido a que en el nivel de enlace y de transporte es donde se efectúa el control de
errores.
El problema radica en cómo poner de acuerdo a todos los ordenadores del mundo para
dejar de usar IPv4 y pasar a IPv6. Como esta transición no puede ser realizada de golpe
se ha desarrollado un método de transición basado en la tunelización, consistente en
encapsular un datagrama IPv6 completo en el campo de datos de un datagrama IPv4.
67
Arquitectura TCP/IP
Según el RFC 3513 una dirección en IPv6 puede ser de los siguientes tipos:
RES: Campo reservado para poder aumentar el tamaño de los campos NLA o
TLA.
SLA ID Site-Level Aggregation Identifier: Con este campo cada centro permite
direccionar 65536 redes.
En 2006 se cerró la red de prueba eBone cuyas direcciones empezaban por 3FFE::/16.
68
Arquitectura TCP/IP
Para referirse al localhost puede hacerse con ::1, y para convertir una dirección IPv4 en
IPv6 ::FFFF:WWXX:YYZZ siendo W,X, Y, Z los bytes de la dirección IPv4 pasados a
hexadecimal.
En Linux normalmente ya está compilado el kernel para ofrecer soporte a IPv6, así que
al escribir el comando ifconfig nos informa acerca de ambas direcciones (IPv4 e IPv6),
y de la MAC.
¿Qué relación existe entre la dirección IPv6 y la dirección MAC? Como se puede
observar en la figura la dirección IPv6 comienza por FE80 lo que significa que
corresponde al bucle local.
o bien:
ip -6 addr add dirección_IPv6/máscara dev eth0
IPV6INIT=yes
IPV6AUTOCONF=yes
IPV6INIT=yes
IPV6AUTOCONF=no
IPV6ADDR=3ffe:3328:7::2
69
Arquitectura TCP/IP
NETWORKING_IPV6=yes
IPV6FORWARDING=no
IPV6_AUTOCONF=yes
IPV6_AUTOTUNEL=no
IPV6_DEFAULTGW="3ffe:3328:7::1%eth0"
En el caso de tener una máquina con dirección IPv6 asignada pero la red a la que está
conectada utiliza IPv4 se puede implementar un tunel, para ello en Linux se debe
configurar las interfaces sit0 y sit1 como adaptadores virtuales (como los utilizados al
instalar una máquina virtual). Estos adaptadores virtuales permiten asignar una
dirección IPv4 a una dirección IPv6 del siguiente modo:
#ifconfig sit0 up
#ifconfig sit0 inet6 tunnel ::10.0.0.1
#ifconfig sit1 up
#ifconfig sit1 inet6 add 2001:FEFE::8F/127
Una vez instalado el protocolo, y configurada la dirección IPv6 haz ping a otras
máquinas, o a la propia con: ping6 ::1
70
Arquitectura TCP/IP
PRÁCTICA Nº 32
Fragmentación del datagrama IP
Algunos protocolos pueden llevar paquetes grandes, mientras que otros protocolos
llevan paquetes más pequeños, por ejemplo los paquetes Ethernet llevan como máximo
1500 bytes de datos. La cantidad máxima de datos que puede llevar un paquete se
denomina MTU (Maximum Transfer Unit). ¿Qué sucede cuando se manda un paquete
que supera el valor de la MTU? Pues que el paquete debe ser fragmentado.
Cuando una máquina destino recibe varios datagramas desde la misma máquina origen
debe reconocer de algún modo si alguno es un fragmento de otro mayor, y poder
recomponerlo. Para ello están los campos de identificación, indicador, y fragmentación.
Todos los fragmentos tienen el mismo número de identificación, el campo
desplazamiento ubica al fragmento en el datagrama original, y el último fragmento tiene
el bit indicador a 1.
1.- Manda un único ping a una máquina cualquiera destino con 10000 bytes de datos:
Figura 32.1
4.- Según lo que has respondido en la pregunta primera ¿Cuántos fragmentos serán
necesarios para mandar los 10.000 bytes? ¿Coincide este número con el número de
fragmentos capturados?
71
Arquitectura TCP/IP
6.- Observa el campo Fragment offset, y el campo More Fragments de la pestaña Flags.
Rellena una tabla con sus valores para cada uno de los segmentos:
7.- Captura durante unos pocos segundos el tráfico generado mientras visitas una página
con tu navegador. Analiza un paquete cualquiera TCP. ¿Cuál es el tamaño total del
paquete? ¿Y el tamaño de la cabecera Ethernet? ¿Y el de la cabecera IP? ¿Y el de la
cabecera de TCP? ¿Cuántos bytes tiene de datos? Con estos datos rellena la siguiente
tabla:
8.- Supón que la capa de red quiere pasar un datagrama de 4000 bytes a la capa de
enlace la cual tiene una MTU de 500 bytes. ¿Cuántos fragmentos se van a generar?
¿Qué valor tiene los campos desplazamiento del fragmento para cada uno de ellos
(recuerda que su valor es la posición del siguiente byte de datos divido por ocho)?
¿Cuántos bytes transmitidos pertenecen a cabeceras y cuantos a datos? Según lo
obtenido en la pregunta anterior ¿Cuál es el valor en porcentaje de la sobrecarga?
9.- Supongamos ahora que la capa de transporte pasa a la capa de red un mensaje con
1400 bytes (incluida la cabecera de la capa de transporte = 20 bytes). Responde a las
preguntas del apartado anterior.
10.- ¿Cuál es el valor MTU para las interfaces de red de tu ordenador? Puedes verlo
escribiendo ifconfig.
72
Arquitectura TCP/IP
PRÁCTICA Nº 33
Nivel de transporte
Los protocolos de la capa de transporte proporcionan una comunicación lógica entre
procesos de una aplicación que se ejecutan en varias máquinas. Los dos protocolos más
utilizados de esta capa son UDP (User Datagram Protocol) que proporciona un servicio
no fiable, y TCP (Transmision Control Protocol) que proporciona un servicio fiable.
SYN
RST
PSH
FIN
Sin
(4 bits)
Número de secuencia: Número del primer byte de los datos del segmento.
73
Arquitectura TCP/IP
1.- Captura el tráfico generado al visitar una página mediante un navegador, selecciona
un paquete TCP, pulsa con el botón derecho, y haz clic en colorear conversación TCP
(figura 1). De este modo se puede diferenciar rápidamente las diferentes
conversaciones que de forma paralela mantiene tu ordenador con difentes máquinas.
Figura 33.1
3.- ¿Eres capaz de interpretar cómo fluyen los datos de la tabla generada en el apartado
anterior?
5.- En un paquete cualquiera de la conversación haz clic con el botón derecho, y pulsa
en reconstruir el hilo. Guarda en un fichero el texto que se ha mostrado, e indica el
tamaño en bytes que ocupa dicho fichero. ¿Coincide este tamaño con el calculado en el
apartado anterior?
74
Arquitectura TCP/IP
Una de las funciones que tiene la capa de transporte es el control de errores, vamos a ver
cómo funciona. Captura tráfico, y selecciona un paquete de protocolo TCP y longitud
de datos cero (para que sean más sencillos los cálculos).
6.- ¿Cuanto vale el campo checksum del nivel de transporte del paquete que has
Figura 33.2
Figura 33.3
75
Arquitectura TCP/IP
Figura 33.4
8.- Suma de la cabecera TCP (excluyendo los dos bytes del checksum):
9.- Suma de los datos: Esto va a ser fácil al haber elegido un paquete de longitud cero...
¿Coincide la suma que has calculado con el valor del checksum del paquete?
76
Arquitectura TCP/IP
PRÁCTICA Nº 34
Nivel de aplicación
Existen multitud de aplicaciones y cada una utiliza su propio protocolo en la capa de
aplicación. Aquí vamos a estudiar una de las más importantes y a la vez más discreta
para los usuarios: DNS.
Identificación Banderas
(16 bits) (16 bits)
Número de cuestiones Número de registros de respuesta
(16 bits) (16 bits)
Número de resgistros de autorización Número de registros adicionales
(16 bits) (16 bits)
Cuestiones
(32 bits)
Respuestas
(32 bits)
Autorización
(32 bits)
Información adicional
(32 bits)
1.- Utiliza el comando nslookup, o el comando dig para resolver la URL www.elpais.es
(o la que dirección que desees) en su dirección IP . Captura el tráfico generado.
2.- Selecciona el paquete que viene del servidor DNS conteniendo la respuesta.
Expande la pestaña Domain Name System
77
Arquitectura TCP/IP
Figura 34.1
5.- ¿Cuantos servidores DNS están autorizados para resolver esta consulta?
7.- Explica los valores recibidos para las banderas del campo estado.
8.- Explica qué es Akamai. ¿Qué son las redes de distribución de contenidos (CDN)?
78
Subredes
SUBREDES
Las direcciones IP en Internet están ordenadas de una forma jerárquica, de este modo los
protocolos de enrutamiento pueden encontrar el camino para mandar la información desde el emisor
hasta el destinatario.
Recordemos que una dirección IP tiene 4 bytes, pero realmente hay que verlo como 32 bits, los
cuales están agrupados en tres campos: Bits que determinan la clase de dirección, los bits que
determinan el número de red, y los bits que determinan el número de ordenador dentro de cada red.
Es decir, la suma de lo que ocupan estos tres campos deberá ser siempre 32 bits.
Se han establecido cinco clases de redes IP: A, B, C, D, y E, cuyos rangos de direcciones son los
siguientes.
Clase Rango
A 1.0.0.0 – 127.255.255.255
B 128.0.0.0 – 191.255.255.255
C 192.0.0.0 – 223.255.255.255
D 224.0.0.0 – 239.255.255.255
E 240.0.0.0 – 247.255.255.255
Para identificar la clase de una dirección IP existe un campo de longitud variable que son los
primeros bits de la dirección IP, tal y como se muestra en la siguiente tabla:
La siguiente tabla muestra las longitudes de los tres campos que componen una dirección IP
según la clase.
Clase Número de bits usados Bits reservados para Bits reservados para
para identificar la clase identificar la red identificar el número de
estación
A 1 7 24
B 2 14 16
C 3 21 8
D 4 = =
E 5 = =
79
Subredes
11000000101010000000000110000001
110: Clase C
000001010100000000001: Red 43009
10000001: Dispositivo 129.
¿Cómo identificar si una dirección IP tiene subredes? La única forma consiste en conocer
también la máscara de subred. La máscara de subred para direcciones IP que no utilizan subredes
son:
Una dirección IP que utiliza subredes tiene un cuarto campo. Éste se obtiene al dividir los bits
reservados para identificar el número de estación en dos subcampos (bits que identifican la subred, y
nuevamente bits que identifican el número de ordenador dentro de la subred).
Así por ejemplo 192.168.1.129 / 27 tendrá subredes. Pero… ¿Cuántos bits se están empleando
en identificar las subredes? ¿Cómo saber cuantas subredes hay? ¿A qué subred concreta se está
refiriendo? ¿Cuántos ordenadores dentro de cada subred? Muy fácil, tan sólo se debe ser meticuloso
siguiendo unos pasos:
2.- Para calcular el número de bits empleados para identificar las subredes se debe restar a la que
nos dan los de la máscara por defecto: 27 – 24 = 3.
3.- Con el número de bits utilizados del apartado anterior se puede calcular el número de
subredes utilizando la fórmula: 2x – 2. En este ejemplo será: 23 – 2 = 8 – 2 = 6 subredes.
4.- Para saber a qué número de subred corresponde se debe tomar de la IP dada los bits
reservados a especificar el número de ordenador, y de ahí se seleccionan el número de bits obtenido en
el paso 2. En este ejemplo: 129 =10000001. Y como se deben de tomar los 3 primeros bits (100)
que pasado a decimal es la subred 4.
5.- Para saber cuantos bits quedan para la identificación de máquinas hay que restar los bits
usados para identificar las subredes a los indicados por defecto. En este caso 8-3 = 5 bits. Y con este
número volver a utilizar la misma fórmula anterior 2x - 2. Por lo que se pueden direccional 25 -2 = 30
ordenadores en cada subred.
80
Subredes
110: Clase C
000001010100000000001: Red 43009
100: Subred 4
00001: Dispositivo 1.
Ejercicios:
1.- Una empresa tiene en su sede central 680 ordenadores, y 4 sedes distribuidas por España. El N.I.C.
le ha asignado la dirección 145.80.0.0.
bits Disposi-
bits de bits Sub tivos IP IP
Máscara de sub- de redes por IP de la Broadcast Primer último
Dirección IP máscara decimal red red host útiles subred subred de subred host host
20.110.12.180 /10
20.110.12.180 /11
20.110.12.180 /12
20.110.12.180 /13
30.150.220.22 /14
30.150.220.22 /15
30.220.100.58 /16
30.220.100.58 /17
172.51.100.200 /18
172.51.100.200 /19
172.51.200.10 /20
172.51.200.10 /21
172.51.50.50 /22
172.51.50.50 /23
172.51.140.14 /24
172.51.140.14 /25
192.168.35.150 /26
192.168.35.150 /27
192.168.210.100 /28
192.168.210.100 /29
192.168.118.230 /30
81
Subredes
PRÁCTICA Nº 35
Creación de subredes
1.- Dada la siguiente IP 172.20.2.131/25.
2.- Crea la siguiente red formada por cuatro estaciones y dos switchs.
Figura 35.1
IP
PC0 tiene la primera IP PC0
PC1 tiene la segunda IP PC1
PC2 tiene la penúltima IP PC2
PC3 tiene la última IP. PC3
3.- Haz un ping desde PC0 hacía otra estación. ¿Se realiza correctamente?
4.- Cambia el último byte de la dirección de PC0 a 25. Haz un ping desde PC0 hacía otra
estación. ¿Se realiza correctamente? ¿Por qué si/no?
82
Subredes
PRÁCTICA Nº 36
Subredes con máscara variable
Una empresa tiene asignada la siguiente dirección IP 180.10.0.0. Tiene delegaciones en tres
provincias. En la primera provincia tiene 4 Oficinas y en cada una de ellas 1000 ordenadores. En la
segunda provincia tiene 10 Oficinas y en cada una 500 ordenadores. En la tercera provincia tiene 20
Oficinas y en cada una 200 ordenadores.
Codificación
Provincia 1
Provincia 2
Provincia 3
Máscara
Provincia 1
Provincia 2
Provincia 3
Dirección de red
Provincia 1
Provincia 2
Provincia 3
1.6.- Rellenar la siguiente tabla con las direcciones de red que tendrá asignada cada oficina de
cada provincia.
1.7.- Para la tercera oficina de cada una de las provincias ¿Cuál es la primera IP y la última
utilizable para dispositivos?
Primera IP Última IP
1º Provincia
2ª Provincia
3ª Provincia
2.- Simulación:
Figura 36.1
2.2.- Rellena la siguiente tabla de acuerdo a la configuración del apartado 1.7. Recuerda que la
máscara no es igual para todos ellos.
IP Máscara
PC0: 1ª Provincia, 1ª IP
PC1: 1ª Provincia, Ultima IP
PC2: 2ª Provincia, 1ª IP
PC3: 2ª Provincia, Ultima IP
PC4: 3ª Provincia, 1ª IP
PC5: 3ª Provincia, Ultima IP
2.4.- Realiza un ping de PC0 a PC1. ¿Se realiza correctamente? ¿Por qué si / no?
2.5.- Realiza un ping de PC0 a PC2. ¿Se realiza correctamente? ¿Por qué si / no?
2.6.- Realiza un ping de PC0 a PC4. ¿Se realiza correctamente? ¿Por qué si / no?
2.7.- ¿Qué habría que hacer para que todas las oficinas estuvieran conectadas? Indica qué
dispositivos habría que añadir y su configuración. Prueba con el simulador que funciona tu solución.
2.8.- Conecta un router al switch. Configura el router con las IPs: 180.10.47.253, 180.10.71.253,
180.10.99.253. Pon a cada PC la máscara adecuada. ¿Existe conectividad entre todos los PCs?
84
Subredes
PRÁCTICA Nº 37
Agrupando hosts
En las prácticas anteriores hemos visto como se pueden realizar subredes dividiendo el espacio
en bits asignado para hosts en dos campos: uno para subredes y otro para hosts.
Pero puede darse la situación inversa, es decir, supongamos que una empresa con 600
ordenadores tiene un router para salir a Internet según se muestra en la figura 18.1, y utiliza una IP del
tipo 192.168.x.y (recuerda que x representa el número de red, e y representa el número de ordenador
dentro de una red).
Figura 37.1
1.- Para la IP dada ¿Cuántas redes distintas podemos tener y cuantos ordenadores por red?.
¿Cuántos bits tendrá nuestra solución para red? ¿Existen subredes? ¿Cuántos bits has reservado para
indicar el número de ordenadores?
2.- Sin añadir ni quitar ningún dispositivo ¿Cómo solucionaría la situación de la figura anterior
para que todos los PCs se puedan conectar a Internet?
3.- ¿Cuántas redes se pueden formar? ¿Y subredes? ¿Y ordenadores dentro de cada red/subred?
6.- En el caso de que pudieras modificar el diseño de nuestra red (añadiendo o eliminando
dispositivos), ¿qué cambiarías para que la máscara de red fuera la de por defecto (255.255.255.0) y
pudieran estar conectados entre sí los 600 ordenadores?
7.- Y si pudieras cambiar el tipo de IP sin modificar el diseño original, ¿Cuál pondrías a los
dispositivos?
85
Subredes
PRÁCTICA Nº 38
Calculadoras de subredes
En Linux existen varias aplicaciones que hacen la función de calculadora de subredes, por
ejemplo gip, ipcalc, y sipcalc. Instala la aplicación gip mediante el comando apt-get install gip, o
mediante el gestor de paquetes del sistema operativo (figura 1).
Figura 38.1
Figura 38.2
Introduce una dirección IP y una máscara, y la aplicación calculará la primera y última dirección
IP, número de subredes, número de máquinas en cada subred, dirección de la red, y dirección de
broadcast (figura 2).
Figura 38.3
86
Conexión a equipos remotos
El protocolo SMB pertenece al nivel de aplicación, y es utilizado para transmitir las ordenes “copiar
carpeta”, “crear archivo”, “abrir documento”, etc. al nivel inferior NetBIOS de la arquitectura de
red de Microsoft.
• Servicios de nombre: Cuando una máquina inicia una sesión debe anunciar su nombre en la
red.
• Servicios de sesión: Permite que dos estaciones intercambien información con control de
errores.
• Servicios de distribución de datagramas: Cuando se envían datos sin necesidad de haber
creado a priori una conexión entre las máquinas.
El protocolo NetBEUI trabaja a nivel de red (aunque sin encaminamiento por lo que sólo puede
conectar máquinas en el mismo segmento de red) y de transporte. Debido al gran auge de TCP/IP,
ya no se instala por defecto en las versiones actuales de los sistemas operativos de Windows (a partir
de XP), aunque sí se encuentra en el CD de instalación. El envío de la información de
administración y recursos compartidos se realiza por difusión.
NDIS es una interface de programación de aplicaciones (API) para tarjetas de red desarrollado por
Microsoft y 3Com.
87
Conexión a equipos remotos
PRÁCTICA Nº 39
Compartir archivos en Windows
1.- Comprueba que está instalado el protocolo NetBios en la máquina (figura 1). Si se quisiera
deshabilitar NetBios sobre TCP/IP se debe desmarcar la casilla de la figura 2.
Figura 39.2
Figura 39.1
3.- Para explorar la red se debe pulsar sobre “Mis sitios de red / Toda la red / y Grupo de Trabajo”
(figuras 5, 6, y 7).
88
Conexión a equipos remotos
Figura 39.6
Figura 39.5
Figura 39.7
4.- Puede ser que cueste bastante tiempo al sistema operativo acceder a los recursos compartidos que
tenga una máquina remota, para ello, en el caso de que se conozca su dirección IP se puede escribirla
en la ventana ejecutar, y se accederá a los contenidos casi inmediatamente (figura 8).
Figura 39.8
5.- Con el fin de poder establecer permisos a las carpetas que serán compartidas al resto de usuarios,
se debe desmarcar la última opción “Utilizar uso compartido simple” de Opciones de carpeta (figura
9).
6.- Crear una carpeta, pulsar sobre propiedades, pestaña Compartir, y dar un nombre al recurso
compartido (figura 10).
89
Conexión a equipos remotos
7.- Al pulsar sobre Aceptar se mostrará el icono de la carpeta con una mano (figura 11).
Figura 39.11
8.- Los permisos que se conceden a las cuentas de usuario se gestiona en la pestaña seguridad (figura
12). Pulsar sobre “Agregar”, escribir el nombre de la cuenta, pulsar sobre “Comprobar nombres”
para verificar que está correctamente escrito (figura 13), y luego elegir las tareas permitidas o
denegadas a esa cuenta.
Figura 39.13
Figura 39.12
9.- En el caso de haber puesto el símbolo $ inmediatamente detrás del nombre de la carpeta
compartida, ¿Qué habría sucedido? ¿Para que sirve?
10.- En la figura 14 se puede observar como el tráfico generado al acceder a un recurso compartido
utiliza el protocolo SMB que es encapsulado en TCP.
Figura 39.14
90
Conexión a equipos remotos
PRÁCTICA Nº 40
Escritorio remoto en Windows
El objetivo de la práctica es conectarse a un equipo remoto, y trabajar en él como si fuera un
equipo local, y estuviéramos sentados frente a él. Para ello se van a realizar los siguientes pasos:
1.- Crear una cuenta de usuario nueva en la máquina que se desea administrar remotamente
(ver figura 1). Esta cuenta será la que tendrán que usar los usuarios que se quieran conectar a este
equipo. Por ejemplo crearemos una cuenta denominada “conexion remota”.
Figura 40.1
2.- Hay que indicar al sistema operativo de la máquina que actuará como remota, que permita
que se le conecten usuarios. Esto se hace en Propiedades del sistema en la pestaña Remoto,
haciendo clic en “Permitir que los usuarios se conecten de manera remota a este equipo” (ver figura
2).
Figura 40.2
91
Conexión a equipos remotos
3.- Ahora hay que indicar quien tendrá acceso a la máquina, para ello se pulsa en “Seleccionar
usuarios remotos”, y luego en agregar (ver figuras 2, 3, y 4).
Figura 40.4
Figura 40.3
Figura 40.6
6.- Una vez que tenemos el equipo remoto configurado podemos conectarnos a él desde otro
equipo mediante la utilidad “Conexión a escritorio remoto” (ver figura 7).
Figura 40.7
92
Conexión a equipos remotos
7.- Indicaremos la dirección del equipo al que deseamos conectarnos, bien mediante su
dirección IP, o mediante su nombre si nuestra máquina sabe resolverlo (ver figura 8).
Figura 40.8
8.- Si pulsamos sobre el botón “Opciones” podremos cambiar diferentes parámetros como
introducir un login y password, modificar el entorno gráfico, etc. (ver figura 9).
Figura 40.9
9.- ¿Se puede conectar un usuario a un equipo remoto y que no se desconecte el usuario que
esta trabajando en él?
10.- ¿Qué programas existen en el mercado para poder realizar conexiones remotas? Describe
detalladamente cómo funciona uno cualquiera de ellos.
93
Conexión a equipos remotos
PRÁCTICA Nº 41
Acceder a Windows desde otros Sistemas Operativos:
Para realizar la conexión con un equipo Windows tan sólo es necesario saber su dirección IP o el
nombre de dominio de la máquina de la siguiente manera:
La opción –a selecciona la bits de profundidad del color, -g para la resolución, -u para seleccionar el
nombre de la cuenta de usuario.
Desde la página de Web de Microsoft se puede descargar Remote Desktop Connection, que permite
realizar conexiones remotas a equipos Windows. De forma idéntica a Escritorio Remoto hay que
introducir la dirección IP del equipo con el que se quiere establecer la conexión (figura 1), nombre
del usuario, y contraseña (figura 2).
Figura 41.1
Figura 41.2
94
Conexión a equipos remotos
PRÁCTICA Nº 42
Servidor Telnet en Windows
Mediante la aplicación Telnet se puede manejar remotamente una máquina, de la misma forma que
lo haríamos sentados junto a ella. No tiene una interfaz gráfica, por lo que se deben escribir los
comandos como si estuviéramos en una consola.
Un problema que presenta es la seguridad, porque todo lo que se escriba viaja a través de la red en
texto plano, es decir sin codificar. Por ello, en el caso de que hubiera algún hacker escuchando el
tráfico entre las estaciones de la red, podría descubrir las contraseñas de las cuentas utilizadas.
Como es una comunicación entre un cliente y un servidor deberá existir en cada máquina el software
adecuado. En cualquier máquina se dispone de la aplicación Telnet que sirve para actuar como
cliente. En Windows está disponible desde la línea de
comandos en la consola del MS-DOS (figuras 1 y 2).
Figura 42.1
Figura 42.2
En el equipo servidor habrá que habilitar el servicio Telnet, en administrar mi PC (figura 3).
Haciendo doble clic o con el botón derecho se puede acceder a las propiedades para establecer un
arranque manual o automático (figura 4).
Figura 42.3
Figura 42.4
95
Conexión a equipos remotos
En la pestaña de “Iniciar sesión” se define el modo de autenticación. Puede ser con cualquiera de las
cuentas ya creadas en el sistema, o con una por defecto (figura 5). Antes de especificar una cuenta
es recomendable comprobar su existencia (figura 6), y que dicha cuenta tiene los privilegios de
conectarse de forma remota, ya que en caso contrario obtendremos un error como el de la figura 7.
Figura 42.6
Figura 42.5
Figura 42.8
Figura 42.7
Una vez arrancado el servicio en la máquina que actúa como servidor se puede probar su
funcionamiento. Para ello, desde la misma máquina hacer un Telnet a localhost (figura 9).
Figura 42.9
¿Qué protocolo ha sido utilizado en esta práctica? ¿Qué puerto es el usado por defecto?
96
Conexión a equipos remotos
PRÁCTICA Nº 43
UltraVNC
La popularidad del ADSL como método de conexión a Internet y el hecho del gran ancho de banda
de las líneas contratadas ha llevado consigo una revolución en las aplicaciones de control remoto, de
tal modo que existe una gran variedad de ellas, se pueden citar: UltraVNC, TeamViewer, Yuuguu,
NTRconnect, LogMeln, Laplink, Edebe Net, Tumbuktu, TightVNC, RealVNC, Xvnc, etc.
Generalmente hay que instalar un cliente y un servidor, y están desarrolladas para evitar configurar
los puertos del router.
Según sea la aplicación servidora podrá conectarse a un servidor intermedio o mantendrá un puerto
abierto a la espera de que alguien se conecte. Las aplicaciones cliente pueden realizar la conexión a
través de páginas Web mediante java o activex, o bien utilizar una aplicación específica.
VNC es un software libre que permite conectarse a una máquina que actúa como servidor desde una
máquina cliente para poder manejarla independientemente de su sistema operativo. Las siglas VNC
significan Virtual Network Computing (Computación en Red Virtual) que transmite los eventos de
ratón y teclado del cliente al servidor, y las áreas de la pantalla que van cambiando.
Figura 43.3
Figura 43.1 Figura 43.2
2.- En la pestaña Authentication se puede optar por utilizar como método de autenticación las
cuentas del sistema de Windows, o un password determinado (figura 4), o bien optar por no poner
ningún tipo de control de acceso. Una vez definido el método de autenticación se puede configurar
(figura 5).
Figura 43.4
97
Conexión a equipos remotos
Figura 43.5
Figura 43.6
3.- Pulsando en la pestaña Advanced se puede configurar el número de puerto, si está permitido el
acceso como invitado, eventos que se desea sean transmitidos de una máquina a otra, portapapeles
compartido, resolución, etc.
4.- Instala el VNC Viewer en una máquina Windows cliente. Ejecútalo, e indica la IP de la máquina
con la que se deseas conectar (figura 7).
Figura 43.7
5.- Haz diferentes pruebas utilizando todos los métodos de autenticación que ofrece el programa.
6.- ¿Qué diferencias has encontrado entre utilizar el escritorio remoto de Windows y RealVNC?
7.- En Ubuntu y en Macintosh es más sencillo todavía porque no hay que instalar nada. Para
configurar la máquina como servidor en un Ubuntu debes ir a Sistema Preferencias Escritorio
remoto (figura 43.8). En la pestaña avanzado tienes otras opciones a configurar (figura 9).
8.- Prueba a conectarte al servidor Ubuntu desde un equipo Windows o Macintosh utilizando el
VNC Viewer.
En la figura 10 se puede observar el escritorio de un Mac que tiene una máquina virtual ejecutando
el Ubuntu (lado derecho de la figura), y como desde el Mac utilizando el VNC Viewer (lado
izquierdo de la figura) se está escribiendo un comando en la consola y aparece reflejado en el
escritorio del Linux.
Figura 43.10
Observa como aparece un icono en el lado derecho de la barra superior del escritorio Ubuntu cada
vez que se encuentra conectado un usuario. ¿Lo tienes identificado? ¿Qué sucede si varios usuarios
se conectan a la vez a un mismo servidor y cada uno mueve el ratón en una dirección?
Figura 43.11
99
Routers CISCO
Para entrar en el modo privilegiado, y así acceder a todos los menús, se debe utilizar el
comando enable, de esta forma el prompt cambiará a #. La ayuda se obtiene con el
signo de interrogación ?. En cualquier momento se puede obtener un listado de los
parámetros de configuración y sus valores utilizando el comando show running-config.
El comando configure terminal hay que teclearlo para poder modificar los parámetros
del router utilizando el terminal de consola.
Para configurar una interfaz serial se debe habilitar el reloj en uno de los lados:
100
Routers CISCO
PRÁCTICA Nº 44
Configuración de un router Cisco mediante CLI
Figura 44.1
3. Desde PC0 conéctate al router por la consola, esto se hace desde la pestaña Desktop
como se puede observar en las figuras 2 y 3. Mediante comandos CLI configura el
nombre del router como Badajoz, establece la contraseña a class, y las interfaces
fastethernet. Acuérdate de salvar la configuración del router a la memoria flash.
101
Routers CISCO
PRÁCTICA Nº 45
Enrutamiento estático en routers CISCO
1. Realiza el siguiente esquema:
Figura 45.1
Router Monflorite
Red de destino Máscara Siguiente puerto
Router Calatayud
Red de destino Máscara Siguiente puerto
102
Routers CISCO
Router Calamocha
Red de destino Máscara Siguiente puerto
5. Mediante comandos CLI introduce las rutas correspondientes en cada uno de los
routers (ver figura 3). Comprueba que están bien introducidas con el comando
“show ip route”. Recuerda que es conveniente grabar los cambios a la NV-
RAM una vez hayas terminado de configurar cada router.
6. Haz un ping: de PC0 a PC2, de PC0 a PC4, de PC3 a PC5. ¿Se conseguido
realizar correctamente?
7. Modifica el diseño de la red para incorporar una salida a Internet a través del
router Calamocha según se muestra en la figura 4. Mediante comandos CLI
configura la ruta por defecto en cada router.
9. Una vez que te funcione todo correctamente en la simulación, ayudado por tus
compañeros realiza el montaje con los dispositivos reales.
103
Routers CISCO
PRÁCTICA Nº 46
Enrutamiento dinámico RIP
Figura 46.1
Figura 46.2
3.- Desde el Terminal de cada PC (en la pestaña Desktop) configura los routers
mediante comandos CLI con los siguientes datos:
4.- Configura los PCs con la IP, máscara de red, y puerta de enlace que consideres
adecuada. Con estos datos rellena la siguiente tabla.
104
Routers CISCO
5.- Mediante comandos CLI activa el enrutamiento dinámico RIP en cada router.
6.- ¿Cuántas redes existen? Con el comando show ip route visualiza el contenido de la
tabla de enrutamiento de un router. Describe la tabla de enrutamiento dinámico que ha
generado cada router. ¿Qué significa la primera letra de cada línea (C, R,…)?
7.- ¿Cuántos caminos diferentes hay desde PC0 a PC1?. Haz varios pings de PC0 a
PC1. Describe el/los camino/s que han seguido los paquetes. ¿Han ido todos los
paquetes por el mismo camino? ¿Por qué si/no?
8.- Elimina el camino que han seguido los paquetes en el ejercicio anterior, y vuelve a
hacer el mismo ping (ver figura 3). ¿Qué camino han seguido ahora? ¿Por qué?
Figura 46.3
9.- En el router 0 (Soria) ejecuta el comando “Soria# debug ip rip”. ¿Para qué sirve
este comando?. Explica lo que muestra por pantalla.
10.- Realiza esta práctica con los dispositivos reales que dispongas.
105
Routers CISCO
PRÁCTICA Nº 47
Enrutamiento dinámico EIGRP
1.- Desactiva en la lista de eventos del modo
simulación todos los tipos excepto ARP, ICMP, y
EIGRP (ver figura 1).
Figura 47.2
3.- Desde el Terminal de cada PC configura los routers mediante comandos CLI con los
siguientes datos:
4.- Configura los PCs con la IP, máscara de red, y puerta de enlace que consideres
adecuada. Con estos datos rellena la siguiente tabla.
5.- Mediante comandos CLI activa el enrutamiento dinámico EIGRP en cada router.
6.- Verifica que EIGRP esta funcionando con el comando “show ip protocol”.
7.- Comprueba los paquetes de enrutamiento con el comando “debug eigrp packets”.
9.- Realiza un ping de PC0 hacia los otros ordenadores. ¿Se realiza correctamente?
106
Routers CISCO
PRÁCTICA Nº 48
Balanceo de cargas entre varias rutas
1.- Realiza el esquema de la figura 1. Según el modelo de router que hayas escogido
puede que necesites añadir más interfaces serial (ver figura 2).
Figura 48.1
Figura 48.2
5.- Ejecuta el comando “show ip interface” en el router Zamora. ¿Qué muestra este
comando?
107
Routers CISCO
7.- El software Cisco IOS soporta dos métodos de balanceo de carga: balanceo de carga
por paquete, y balanceo de carga por destino.
Configura cada router para balancear la carga por paquete. Esto se hace
activando el método de conmutación “process switching” mediante el
comando “no ip route-cache”. Puedes utilizar el comando “show ip interface”
para verificarlo.
Para comprobarlo envía 9 paquetes ping desde el PC2 al PC0. ¿Qué comando
tienes que escribir para realizar este ping?. Observa este proceso mediante el
comando “debug ip packet” en el router Zamora (router conectado al PC
destino de los paquetes). Para detener la depuración escribe “undebug all”.
8.- Con el balanceo de carga por destino todos los paquetes dirigidos a un host
específico tomarán el mismo camino. Los paquetes dirigidos a hosts distintos en la
misma red pueden usar una ruta alternativa, es decir, el tráfico se balancea de acuerdo al
destino.
Configura cada router para balancear la carga por destino. Esto se hace
activando el método de conmutación “fast switching” (método por defecto)
mediante el comando “ip route-cache”. Puedes utilizar el comando “show ip
interface” para verificarlo.
108
Routers CISCO
PRÁCTICA Nº 49
Configuración de varias IP a una interfaz
1.- Con los equipos que dispongas monta el esquema de la figura 27.1.
Los equipos PC0, PC1, y PC2 pertenecerán a la red 192.168.1.0, y los equipos PC2,
PC3, y PC4 pertenecerán a la red 192.168.2.0.
Por lo tanto, el equipo PC2 estará en ambas redes, para ello o tiene dos tarjetas de red, o
si tiene sólo una habrá que ponerle dos IPs (lo cual va a ser nuestro caso).
IP
PC0 192.168.1.1/24
PC1 192.168.1.2/24
PC2 192.168.1.3/24
192.168.2.3/24
PC3 192.168.2.2/24
PC4 192.168.2.1/24
Figura 49.1
2.- Para configurar las dos IPs en PC2 selecciona “Opciones avanzadas” en propiedades
de protocolo de Internet (ver figura 2). En “Configuración avanzada” se agregará la
segunda IP (ver figuras 3 y 4).
109
Routers CISCO
IP Puerta de enlace
PC0 192.168.1.1 192.168.1.254
PC1 192.168.1.2 192.168.1.254
PC2 192.168.1.3 192.168.1.254
192.168.2.3 192.168.2.254
PC3 192.168.2.2 192.168.2.254
PC4 192.168.2.1 192.168.2.254
Router 192.168.1.254/24
192.168.2.254/24
5.- Para configurar el router hay que escribir los siguientes comandos:
Router>enable
Router#configure terminal
Con el comando “show running-config” podrás ver si la interface tiene las dos Ips.
6.- Para comprobar que has configurado correctamente el router desde cualquier PC haz
ping a las dos IPs de la interface FastEthernet del router. ¿Hay conectividad?
7.- ¿Qué comando tienes que ejecutar para ver la tabla de encaminamiento en el router?
8.- Describe el camino que sigue un ping desde PC0 a 192.168.1.3, y a 192.168.2.3.
110
Routers CISCO
9.- Haz los siguientes pings:
10.- Sustituye el equipo PC2 que utilizaba un sistema operativo Windows, por una
máquina que utilice Linux. Configura las IPs de la siguiente forma:
# /etc/init.d/network restart
111
Routers CISCO
PRÁCTICA Nº 50
Borrado y recarga de un router CISCO
1.- Entre al modo EXEC privilegiado escribiendo enable. Si pide una contraseña,
introduce class. Si “class” no funciona, pregunta al administrador de la red.
Router>enable
Router#erase startup-config
Router#reload
112
Routers CISCO
PRÁCTICA Nº 51
Servidor DHCP
Generalmente son los routers los encargados de dar direcciones IP a aquellos equipos
que no poseen alguna dirección configurada de forma manual, de este modo los routers
han de soportar también la función de servidores DHCP. Si bien se verá más
detalladamente este servicio en las prácticas de I.I.S. y de servicios en Linux presentes
en el libro Prácticas de Servicios en Red, en esta práctica se va a plantear cómo
configurar un router Cisco, para ello se debe introducir los siguientes comandos:
Con el comando show ip dhcp server se muestra información de todas las direcciones
asignadas de forma dinámica a los clientes.
113
A.C.L.
Los routers ofrecen funciones del filtrado básico de tráfico, como el bloqueo del tráfico de Internet,
mediante el uso de las listas de control de acceso (ACLs). Una ACL es una lista secuencial de
sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior
Las ACL pueden ser tan simples como una sola línea destinada a permitir paquetes desde un host
específico o pueden ser un conjunto de reglas y condiciones extremadamente complejas que definan el
tráfico de forma precisa y modelen el funcionamiento de los procesos de los routers.
Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la interfaz del router.
Estas listas le informan al router qué tipo de paquetes aceptar o rechazar. El router examina cada
paquete y lo enviará o lo descartará, según las condiciones especificadas en la ACL. Algunos de los
puntos de decisión de ACL son direcciones origen y destino, protocolos y números de puerto.
Para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo
habilitado en la interfaz.
Las ACL controlan el tráfico en una dirección por vez, en una interfaz. Se necesita crear una ACL por
separado para cada dirección, una para el tráfico entrante y otra para el saliente. Finalmente, cada
interfaz puede contar con varios protocolos y direcciones definidas. Si el router tiene dos interfaces
configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs separadas.
El orden en el que se ubican las sentencias de la ACL es importante. El software Cisco IOS verifica si
los paquetes cumplen cada sentencia de condición, en orden, desde la parte superior de la lista hacia
abajo. Una vez que se encuentra una coincidencia, se lleva a cabo la acción de aceptar o rechazar.
Si todas las sentencias ACL no tienen coincidencias, se coloca una sentencia implícita que dice deny
any (denegar cualquiera) en el extremo de la lista por defecto. Aunque la línea deny any no sea
visible como última línea de una ACL, está ahí.
Las ACL se crean en el modo de configuración global. Existen varias clases diferentes de ACLs:
estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL
debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de
acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de
lista.
Protocolo Intervalo
IP 1-99. 1300-1999
IP extendido 100-199, 200-2699
Apple Talk 600-699
IPX 800-899
IPX extendido 900-999
114
A.C.L.
El usuario introduce sentencias de lista de acceso utilizando el comando access-list, seguida de los
parámetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de número de
lista. El segundo paso consiste en asignar la lista a la interfaz apropiada. Usando el comando ip
access-group
Al asignar una ACL a una interfaz, se debe especificar la ubicación entrante o saliente. Una lista de
acceso entrante filtra el tráfico que entra por una interfaz y la lista de acceso saliente filtra el tráfico
que sale por una interfaz.
Una ACL no puede ser alterada. Se debe borrar utilizando el comando no access-list list-number y
entonces proceder a recrearla.
Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Las máscaras
wildcard no guardan relación funcional con las máscaras de subred. Las máscaras de wildcard usan
unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el
acceso a recursos según el valor de las mismas. El resultado de la dirección IP y de la máscara debe
ser igual al valor de concordancia de la ACL.
La opción any reemplaza la dirección IP con 0.0.0.0 y la máscara wildcard por 255.255.255.255. La
máscara 0.0.0.0 reemplaza la opción host.
El comando show access-lists muestra el contenido de todas las ACL en el router. Para ver una lista
específica, agregue el nombre o número ACL como opción a este comando.
115
A.C.L.
Cada remark está limitado a 100 caracteres. Es mucho mas fácil leer un comentario acerca de un
comando para entender sus efectos, así como sigue:
La forma no de este comando se utiliza para eliminar una ACL estándar. Ésta es la sintaxis:
ACL extendidas
Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque ofrecen un mayor
control. Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y también los
protocolos y números de puerto.
Las operaciones lógicas pueden especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a
(lt) aquéllas que efectuarán las ACL extendidas en protocolos específicos. Las ACL extendidas
utilizan el número de lista de acceso entre 100 y 199 El comando ip access-group enlaza una ACL
extendida existente a una interfaz.
ACL nombradas
Las ACL nombradas IP se introdujeron para permitir que las ACL extendidas y estándar tuvieran
nombres en lugar de números. Una ACL nombrada se crea con el comando ip access-list.
116
A.C.L.
PRÁCTICA Nº 52
Listas de Control de Acceso estándar (1)
1.- Realiza el siguiente esquema:
Figura 52.1
2.- Configura el nombre del router como London, y la FastEthernet 0/0 del router con las IPs
192.168.14.1 y 192.168.25.1. PC0 y PC1 tendrán las siguientes IP disponibles de la red 14 (no es
necesario GW), y PC2 la IP 192.168.25.2.
3.- Realiza un ping desde los PCs al Router. ¿Se han realizado correctamente?
4.- Crea una lista de acceso en el router que impida el acceso a FastEthernet 0 desde la red
192.168.14.0. Comprueba que ha sido correctamente introducida con “show running-config”.
5.- Realiza un ping desde los PCs al Router. ¿Se han realizado correctamente?
6.- Borra la lista creada, y crea otra lista de acceso que impida que los hosts con números pares
de la red 14 hagan ping, pero permita los host con número impar.
7.- Realiza un ping desde los PCs al Router. ¿Se han realizado correctamente?
117
A.C.L.
PRÁCTICA Nº 53
Listas de Control de Acceso estándar (2)
1.- Realiza el siguiente esquema:
Figura 53.1
Figura cc.1
PC Dirección IP Máscara GW
0 192.168.1.2 /24 192.168.1.1
1 192.168.1.3 /24 192.168.1.1
2 192.168.3.2 /24 192.168.3.1
3 192.168.3.3 /24 192.168.3.1
3.- Activa el enrutamiento RIP en los routers, y comprueba la conectividad entre todos los
dispositivos. En caso de que no sea así repasa la configuración, y resuelve el problema.
4.- Se desea limitar el acceso de la estación 2 únicamente a su red local, para ello crear una
ACL estándar que filtre a base de la dirección origen a cualquier destino. ¿Qué contiene esa ACL?
¿En qué router la aplicas?
5.- Comprueba que ha sido correctamente editada con el comando show ip access-lists, y
correctamente asignada a la interface con el comando show ip interface.
118
A.C.L.
6.- Comprueba que la ACL funciona correctamente realizando los siguientes pings:
7.- Escribe una lista de acceso que sólo sea PC0 quien pueda hacer ping a la red 192.168.3.0
119
A.C.L.
PRÁCTICA Nº 54
Listas de Control de Acceso extendido
Figura 54.1
2.- Configura el nombre del router como Roma, y la FastEthernet 0/0 del router con la IP
192.168.10.1. Los PCs tendrán las siguientes IP disponibles de esa red (no es necesario GW).
3.- Vamos a simular el envío desde el PC0 de un paquete generado por una aplicación de FTP al
router. Para poder visualizar correctamente el resultado filtra los paquetes permitidos únicamente a
ARP y TCP según se muestra en la figura 31.2.
Figura 54.2
Figura 54.3
Figura 54.4
120
A.C.L.
4.-¿Se ha enviado correctamente el paquete? ¿Y recibido contestación? (Ver figuras 31.5 y 31.6)
En el caso de que la versión de la aplicación que utilizas en la simulación no responda a este tipo
de paquetes puedes continuar con el siguiente apartado.
Figura 54.6
Figura 54.5
5.- Rellena la siguiente tabla con los números de puerto que normalmente usan las siguientes
aplicaciones:
6.- Crea una lista de acceso que impida el acceso al puerto utilizado en el apartado tercero (en
caso de haber tenido algún problema en el apartado tercero, aquí puedes filtrar icmp) desde la red
192.168.10.0, y aplícala a la interfaz FastEthernet 0 de entrada.
Figura 54.7
121
A.C.L.
7.- Haz un ping desde uno de los PCs al router. ¿Se consigue realizarlos? ¿Por qué si/no? ¿Te
has acordado de desactivar el filtro ICMP que activaste en el apartado 3?
Figura 54.8
8.- Vuelve a crear una ACL en el router que impida responder a los pings.
9.- Realiza el montaje con dos ordenadores y un router CISCO, pero esta vez el protocolo a
utilizar será el del http, es decir, el 80. Para permitir el acceso http puedes utilizar el comando “ip http
server” en el modo de configuración global del router, y para comprobar si están abiertos los puertos
puedes utilizar un explorador.
10.- Crea una lista de acceso que impida únicamente el acceso al puerto 80 desde el ordenador
PC0.
11.- Comprueba que responde a los pings el router. Añade a la lista anterior una línea que impida
responder a los pings.
122
A.C.L.
PRÁCTICA Nº 55
DMZ con Listas de Control de Acceso
Se pretende simular una configuración típica de una empresa que tiene unos servidores Web
(Servidor Web Oficina) donde anuncia sus productos gracias a Internet, pero también quiere proteger
sus ordenadores (Red Oficina) ante la acción de piratas informáticos.
Para ello ha dispuesto un router (denominado AP) que hace la función de punto de acceso a
Internet, y discrimina entre el tráfico que tiene que ir a la red de la oficina y el que está dirigido al
Servidor Web por páginas solicitadas por usuarios de Internet.
También se ha colocado un segundo router denominado Cortafuegos, que impide el acceso a los
ordenadores de la oficina desde el exterior.
Figura 55.1
Nombre IP Gateway
Servidor Web en la WAN 156.20.30.40 /16 156.20.0.1
PC en la WAN 156.20.76.87 /16 156.20.0.1
Servidor Web oficina 192.168.5.5/24 192.168.5.1
PC de Secretaría 192.168.6.6/24 192.168.6.1
3.- Comprueba que existe conectividad entre todos los dispositivos del esquema, para ello
deberás activar un protocolo de enrutamiento en los routers.
123
A.C.L.
4.- Realiza una/s ACL en el router Cortafuegos de tal forma que el ordenador secretaría sólo
pueda acceder al servidor Web de la oficina, pero si puede recibir y enviar pings a Internet. ¿Qué tipo
de ACL es necesaria (estándar o extendida)? ¿A qué interfaz vas a asociar la/s ACL? ¿Por qué? ¿Qué
líneas contiene/n la/s ACL?
Figura 55.2
5.- En la figura 32.3 se puede observar que el PC de secretaría (192.168.6.6) ha intentado hacer
un ping a un PC en la WAN (156.20.76.87), sin embargo el router Cortafuegos ha rechazado ese
paquete. ¿Qué cambiarías en la/s ACL del apartado anterior para que los ordenadores de la oficina no
puedan enviar ni recibir pings?
Figura 55.3
6.- Se desea que los ordenadores de la oficina puedan conectarse a los servidores Web de
Internet, para ello se abrirá el puerto 80 del router cortafuegos. ¿Qué regla deberías añadir?.
Comprueba que existe conectividad desde un PC de la oficina creando una PDU compleja con
aplicación http, y puerto 80. Sí cambias el puerto a la PDU creada ¿existe conectividad?
124
VLAN
Figura 1
Las tramas enviadas tienen que ser identificadas con el propósito de saber a que vlan
pertenecen. A medida que las tramas salen del switch son etiquetadas para indicar a qué
vlan corresponden, esta etiqueta es retirada una vez que entra en el switch de destino
para ser enviada al puerto vlan correspondiente.
Un puerto del switch que pertenece a una vlan se llama “puerto de acceso”, y el puerto
que transmite información a otro switch o router se denomina “puerto troncal”. El
protocolo utilizado es el 802.1Q también conocido como Dot1q.
Figura 2
125
VLAN
1. Numerar la VLAN
2. Nombrar la VLAN
3. Asociar los puertos a la VLAN creada.
Switch#vlan database
Switch(vlan)#vlan [número] name [nombre]
Switch(vlan)#exit
Switch(config)#interface fastethernet slot / número de
Puerto
Switch(config-if)#switchport access vlan [número de vlan]
Para que las VLANs puedan tener comunicación entre ellas es necesario un
router (ver figura 3). Para configurar un router sería:
126
VLAN
PRÁCTICA Nº 56
Redes Virtuales con Switch IEEE 802.1Q
3. Haz doble clic en el switch. Selecciona Vlan Database dentro de la pestaña Config.
Añade una VLAN denominada “primera” con número 10, y otra denominada “segunda”
con número 20 tal y como se muestra en la figura 2.
Figura 56.3
Figura 56.2
Figura 56.4
9. Si PC4 cambiara su IP a 192.168.1.4. ¿Podría
pertenecer a la red 1?
127
VLAN
PRÁCTICA Nº 57
Redes Virtuales con un Router
En una empresa puede suceder que los recursos de un departamento estén situados en
distintos lugares. Se hace necesario interconectarlos, pero con independencia del resto
de departamentos. Supongamos que tenemos una empresa con dos departamentos (el 1
y el 2) cuyos recursos están situados en tres plantas del edificio:
Figura 57.1
2. Pon las IPs a los PCs (192.168.x.n) sabiendo que los PCs con nº impar pertenecen a
la red 1 (x=1), y los PCs con nº par pertenecen a la red 2 (x=2), y máscara
255.255.255.0.
3. Define 2 VLAN en los switchs (denominadas par con número 22, e impar con
número 11), y asocia cada puerto en que hayas conectado un PC a la VLAN
correspondiente.
4. Define en los Switch los puertos trunk para unirlos entre sí.
5. Haz un ping de PC1 a PC4. ¿Existe conectividad? En caso negativo explica los
motivos de por qué no existe.
128
VLAN
6. ¿Se pueden ver entre sí los equipos situados dentro de la misma VLAN aunque estén
situados en plantas diferentes (por ejemplo PC1 con PC9, o PC6 con PC10)?
7. ¿Se pueden ver los equipos situados en VLANs distintas? ¿Por qué si/no?
¿Y si PC1 cambiara su IP a una de la red par, por ejemplo 192.168.2.100, podría
conectarse con PC4?
Figura 57.2
10. Vamos a poner dos IPs a una interfaz de red del router, y además le vamos a indicar
que todo el tráfico que circule por ellas deberá ir encapsulado con el protocolo 802.1q.
Accede a la pestaña CLI del router y ejecuta lo siguiente:
Router>enable
Router#configure terminal
11. Haz un ping de PC1 a PC4. Explica todo lo que sucede: ¿Cuántos paquetes ARP e
ICMP se generan? ¿Qué camino siguen?
13. ¿Cual es la función en este caso del router? Define una ACL que permita sólo hacer
ping desde PC1 a PC4.
15. Si quisiéramos tener salida a Internet ¿qué tendríamos que añadir a este esquema?
16. Haz un ping de un PC cualquiera a otro. Haz doble clic sobre el paquete que se ha
generado entre los switchs, y accede a la ventana "PDU Information" (ver figura 3).
Pulsa sobre la pestaña "Inbound PDU Details".
17. Según lo explicado ¿Cuál es el número máximo que puede identificar a una VLAN?
130
VLAN
PRÁCTICA Nº 58
Redes Virtuales con subredes
Figura 58.1
4. ¿Cuántas subredes se pueden tener para una IP de tipo C con máscara /26? Para las
IP indicadas en el punto dos rellena los datos de la siguiente tabla:
5a. ¿Pueden dialogar los equipos PC1 y PC2? ¿Por qué si/no?
5b. ¿Pueden dialogar los equipos PC3 y PC4? ¿Por qué si/no?
5c. ¿Pueden dialogar los equipos PC1 y PC3? ¿Por qué si/no?
5d. ¿Qué es necesario modificar para que los equipos que no pueden dialogar lo
hagan?. Modifica el esquema de la figura 1 para que exista conectividad entre
todos los equipos.
131
V.P.N.
V.P.N.
El problema de los protocolos que envían sus datos en claro, es decir, sin
cifrarlos, es que cualquier persona que tenga acceso físico a la red en la que se sitúan las
máquinas puede ver dichos datos. Se cifran las comunicaciones con un sistema que
permita entenderse sólo a las dos máquinas que son partícipes de la comunicación,
cualquiera que intercepte desde una tercera máquina los paquetes, no podrá hacer nada
con ellos, al no poder descifrar los datos.
Una forma de evitar este problema es usar una técnica llamada tunneling
consistente en abrir conexiones entre dos máquinas por medio de un protocolo seguro,
como puede ser SSH (Secure SHell), a través de las cuales realizaremos las
transferencias inseguras, que pasarán de este modo a ser seguras.
La Red Privada Virtual (VPN) permite simular una red local sobre una red
pública. Una vez establecida la conexión de la red privada virtual los datos viajan
encriptados de forma que sólo el emisor y el receptor son capaces de leerlos. Para
hacerlo posible de manera segura es necesario proporcionar los medios para garantizar
la autenticación, integridad, confidencialidad y no repudio.
Las VPN son una salida al costo que puede significar el pagar una conexión de
alto coste, para usar líneas alquiladas que estén conectadas a otros puntos que puedan
hacer uso de la conexión a Internet
3- VPN interna WLAN Es una variante del tipo "acceso remoto" pero, en vez de
utilizar Internet como medio de conexión, emplea la misma red de área local
(LAN) de la empresa.
Las soluciones de VPN pueden ser implementadas en diferentes niveles del modelo OSI
de red.
132
V.P.N.
datagramas IP. Fue diseñado para permitir a los usuarios conectarse a un
servidor RAS desde cualquier punto en Internet.
IPsec es la tecnología más aceptada en este punto y fue desarrollada como un estándar
de seguridad de Internet en capa 3. IPsec se puede utilizar para encapsular cualquier
tráfico de capa 3 pero no el tráfico de capas inferiores, por lo que no se podrá utilizar
para protocolos no-IP como IPX o mensajes de broadcast.
133
V.P.N.
PRÁCTICA Nº 59
Configuración de una VPN bajo Windows XP
Vamos a configurar en primer lugar el servidor:
6.- Seleccionar los usuarios a los que se les permitirá el acceso (Figura 6).
7.- Seleccionar los protocolos que se utilizaran, como por ejemplo TCP/IP y
Compartir impresoras y archivos (Figura 7).
8.- Hacer doble clic sobre propiedades de TCP/IP para permitir el acceso a la
red, y fijar cómo se asignan las direcciones IP a los clientes (Figura 8).
Figura 59.1
Figura 59.2
134
V.P.N.
135
V.P.N.
Figura 59.13
Figura 59.14
136
V.P.N.
Si pulsamos sobre propiedades encontramos las ventanas de las figuras 15, 16, y 17. En
ellas se puede modificar la dirección de destino, y los parámetros del tipo de
codificación de la información utilizado por defecto.
Figura 59.17
137
V.P.N.
PRÁCTICA Nº 60
Configuración de una VPN en Windows Server 2008
Para crear un servidor VPN en Windows 2008 se utiliza la herramienta enrutamiento y
acceso remoto que se encuentra en herramientas administrativas. Si es la primera vez
hay que configurarlo y habilitarlo pulsando con el botón derecho sobre el nombre del
servidor, pero antes debemos cerciorarnos que el equipo dispone de dos tarjetas de red.
En el caso de que tuviéramos ya configurado el servidor debemos pulsar en propiedades
y comprobar las pestañas que se indican posteriormente.
Figura 60.1
Figura 60.2
138
V.P.N.
Una vez configurado si deseamos cambiar algún parámetro pulsaremos en propiedades.
Servidor de acceso remoto IPv4 en la pestaña general debe estar marcado.
Figura 60.3
En puertos se listan todos los disponibles para que se conecten los clientes (figura 4).
Se puede observar que se han creado de tipo SSTP, PPTP, y L2TP. SSTP (Secure
Sockets Tunneling) es un protocolo de Windows que apareció por primera vez en
Windows Vista, y que utiliza HTTPS con el objetivo de saltar las reglas establecidas en
cortafuegos que tienen cerrados los puertos utilizados para el tráfico de PPTP y L2TP.
Figura 60.4
Para configurar un cliente que utiliza Windows Vista debemos abrir el Centro de redes y
pulsar en configurar una conexión. Seleccionar conectarse a un área de trabajo (figura
5), y usar mi conexión a Internet (figura 6).
139
V.P.N.
En las ventanas siguientes hay que introducir la dirección del servidor VPN (figura 7), y
el nombre de usuario y contraseña (figura 8).
Figura 60.9
140
V.P.N.
PRÁCTICA Nº 61
Configuración de una VPN bajo Linux: OpenVPN
OpenVPN está publicado bajo licencia GPL de software libre, que permite la conectividad
entre dos puntos utilizando SSL, codificando la información mediante claves criptográficas
estáticas preestablecidas, o mediante el uso de certificados y claves RSA. Está disponible para
máquinas con sistemas operativos basados en Linux y en Windows.
/etc/init.d/openvpn start
Figura 61.1
141
V.P.N.
3 Dar direcciones IP a las interfaces virtuales del servidor y del cliente entre las
cuales viajará el tráfico codificado. Por ejemplo:
Servidor Cliente
10.254.0.1 10.254.0.2
#usuario # puerto
user nobody port 1194
group nobody
# compresión , ping cada 6 segs, y verbose
# comprimir con lzo, ping cada 8 segs, verbose comp-lzo
comp-lzo ping 6
ping 8 verb 4
verb 4
Figura 61.3 Figura 61.4
10 Investiga cómo sería para crear una conexión Road Warrior, y una conexión Red a
Red.
142
V.P.N.
PRÁCTICA Nº 62
Configuración de una VPN con routers CISCO
Como ya se ha indicado anteriormente una VPN se utiliza para conectar dos redes
privadas distantes geográficamente a través de una red pública como Internet. En la
figura 1 se muestra un ejemplo de esta situación.
Figura 62.1
Cuando se produce una comunicación entre un dispositivo de una red con otro
dispositivo de la red remota el primer router encapsula los paquetes IP originales dentro
de otros paquetes IP con una etiqueta GRE, y los envía a través de Internet hasta el
router destino, el cual desencapsulará los paquetes originales IP. Como se puede
observar las IPs públicas de los routers pertenecen a redes distintas.
Es decir:
2.- El Router 1 coge ese paquete y le añade una nueva cabecera que contiene una
etiqueta GRE, y con destino la IP pública del Router 2.
3.- Ese paquete viaja a través de Internet pasando por diversas redes, es decir, por
varios routers intermedios.
143
V.P.N.
Para que los routers pueden establecer una conexión segura deben tener unos mapas
criptográficos compatibles. Para crear un mapa se realiza con la orden cryto map.
Para mostrar los parámetros de la conexión VPN se pueden utilizar los comandos:
144
V.P.N.
Router1 (config)# access-list 104 permit gre host 80.16.0.1 host 90.17.0.1
Router1 (config)# access-list 105 permit gre host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 permit esp host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 permit udp host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 permit ahp host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 deny ip any any
Como se puede observar hay que tener cuidado al configurar una VPN en un router
Cisco ya que es necesario introducir bastantes comandos. La configuración del router 2
sería idéntica sustituyendo el texto subrayado por las direcciones correspondientes.
Una vez configurados los routers y el resto de dispositivos, hacer ping de un PC a otro
de la otra red. ¿Existe conectividad?
Interceptar el tráfico que circula por el túnel. ¿Esta codificado? ¿Se puede saber si el
tráfico capturado corresponde a los pings realizados?
145
V.P.N.
PRÁCTICA Nº 63
Configuración de una VPN en Macintosh
Para gestionar las conexiones VPN hay que abrir el panel de preferencias de red, y
pulsar sobre el icono más para añadir una interfaz de red, y seleccionar VPN del menú
emergente en interfaz (figura 1).
Figura 63.1
En esta práctica utilizaremos el protocolo L2TP sobre IPsec (figura 2). Una vez creada
se puede configurar introduciendo un nombre, dirección IP o nombre cualificado del
servidor VPN remoto, y un nombre de cuenta para iniciar sesión (figura 3).
Se puede indicar el método de autenticación del usuario y del equipo pulsando sobre
ajustes de autenticación (figura 4). Como se puede observar existe una gran variedad
de métodos posibles.
146
V.P.N.
Figura 63.4
Figura 63.6
Figura 63.5
Para acceder de forma más rápida a la configuración de las VPN se puede marcar la
opción “mostrar estado de VPN en la barra de menús”. De este modo se podrá acceder
de forma rápida al menú mostrado en la figura 7.
Figura 63.7
147
NAT
Introducción al N.A.T.
(Translation Address Network)
Figura 1
Paso 1 Paso 2
PC: 192.168.104.3 ROUTER: 20.0.0.3 HOST: 20.0.0.9
INTRANET SERVICIO SNAT INTERNET
Paso 4 Paso 3
148
NAT
4º.- Cuando al router le llega el paquete enviado por el host, analiza la tabla de
préstamos y modifica el paquete para reenviarlo a la IP original, quedando el paquete
finalmente de la siguiente forma:
Para añadir una regla a la lista POSTROUTING SNAT se utiliza -A, y para borrar
hay que usar la opción –D.
149
NAT
Como lo habitual es que nuestra puerta de enlace enmascare todo lo que salga
por cualquiera de sus interfaces escribiremos:
Veamos ahora una situación diferente. Supongamos que un equipo en Internet (PC0)
desea acceder a los recursos situados en un ordenador dentro de nuestra red local
(Servidor). En un principio, esto resultaría imposible porque nuestros PCS tienen
direcciones IP privadas, y la única dirección pública que tiene nuestra red es la de la
puerta de enlace (figura 2). Para resolverlo se va a utilizar DNAT.
Figura 2
150
NAT
PRÁCTICA Nº 64
SNAT con iptables
Vamos a configurar el servicio NAT en un PC que hará de router mediante el
comando IPTABLES de Linux. Para esta práctica vamos a necesitar:
Figura 64.1
3º.- Configura el Router de la siguiente forma (dos Ips sobre la misma tarjeta):
Figura 64.2
151
NAT
Figura 64.3
Recordemos que:
-A : añade una línea en la tabla.
- - source 192.168.104.0/24: todos los paquetes con IP de origen de la red
192.168.104.0
- - to 20.0.4.3: IP que se pondrá en los paquetes de la red 192.168.104.0
Figura 64.4
152
NAT
iptables –t nat –L –n
Para observar el tráfico que circula cuando hacemos ping, vamos a instalar el
paquete wireshark. Para instalarlo utilizamos la expresión :
Figura 64.5
153
NAT
Figura 64.6
154
NAT
PRÁCTICA Nº 65
Video vigilancia con DNAT
1º.- Directamente
2 º.- A través del router teniendo la cámara y el PC
conectados en el lado LAN
3 º.- A través del router teniendo conectada la cámara
en el lado LAN, y el PC en el lado WAN utilizando NAT (pueden estar localizados
geográficamente en distintos lugares).
Pasos a realizar:
1º: Directamente
IP: 192.168.3.10
Gateway: 192.168.3.1
Máscara de Subred: 255.255.255.0
Pulsa "save". ¿Puedes ver con un navegador lo que está enfocando la cámara?
Para configurar el router ¿Donde has conectado el cable (al lado LAN o al WAN)? ¿Por
qué? ¿Qué IP tiene tu ordenador?. Si puedes, haz un logout en el router.
155
NAT
4) Haz un ping a:
la IP de tu ordenador,
la IP del lado LAN del router,
la IP del lado WAN del router,
y a la IP de la cámara.
5) ¿Puedes ver con un navegador lo que está enfocando la cámara? ¿Por qué SI/NO?
¿Cómo lo has hecho?
7) Haz un ping a: la IP de tu ordenador, la IP del lado LAN del router, la IP del lado
WAN del router, y a la IP de la cámara. ¿Se han alcanzado todos los destinos? ¿Por
qué SI/NO?
8) Entra al router para configurarlo por el lado WAN. Activa el NAT. Haz un logout.
¿Puedes ver con un navegador lo que está enfocando la cámara? ¿Por qué SI/NO?
¿Cómo lo has hecho?
9) Vuelve a entrar al router para configurarlo por el lado WAN. En la pestaña NAT,
selecciona Virtual Server. Y rellena los siguientes campos:
Private IP: 10
Private Port: 80
Type: TCP
Public Port: 6543
Enable.
10) ¿Puedes ver con un navegador lo que está enfocando la cámara? ¿Por qué SI/NO?
¿Cómo lo has hecho?
11) ¿Qué significan las siglas DNAT? Explica para qué se utiliza.
156
NAT
PRÁCTICA Nº 66
DNAT: Permitir acceso a servidor Web
Una empresa tiene un servidor Web en su intranet, y desea hacerlo accesible desde
Internet. La situación esta representada en la figura 1
Figura 66.1
IP GW
PC en Internet
PC en la empresa
Servidor
PC en empresa 2
Tabla 1
IP 1 IP 2
Router en empresa
Router en empresa 2
Tabla 2
2º.- En el servidor instala un servicio Web con Apache, IIS, o alguno similar.
Una vez comprobada la conectividad mediante ping entre todos los equipos de la red
local, y entre el PC en Internet y los dos routers. Verifica que desde el PC de la empresa
se puede acceder mediante un navegador Web al servidor.
157
NAT
Figura 66.2
Figura 66.3
158
NAT
PRÁCTICA Nº 67
NAT en routers Cisco
Cisco distingue entre NAT estática para asignación de direcciones una a una entre
direcciones locales y globales, dinámica para asignar una dirección no registrada a otra
que sí lo está, y sobrecarga NAT (PAT) cuando muchos nodos de una red salen al
exterior usando una única dirección global.
Figura 67.1
El router tiene una tabla que convierte direcciones IP de los hosts de la red interior a la
dirección que deberán usar cada uno de esos hosts cuando salgan al exterior.
En la segunda y cuarta línea se indica qué interfaz se encuentra en el lado interno y cual
en el lado externo. Recordar que un router puede tener más de dos interfaces. En la
quinta línea se establece una correspondencia entre la IP utilizada por un host con la IP
que deberá usar ese host al salir a Internet.
Naturalmente las interfaces del router tienen que haber sido configuradas anteriormente
con unas IPs distintas de las aquí especificadas.
No existe la tabla del caso anterior, de tal forma que cuando el router recibe tráfico por
primera vez de un host del lado interior le asigna una IP del lado exterior de forma
temporal. Las IPs globales que asigna el router de forma temporal hay que haberlas
indicado.
Es necesario crear una lista de acceso que contiene las IPs de los hosts que se permite su
conversión.
159
NAT
Utilizada para que muchos ordenadores de una red local salgan a Internet usando todos
la misma dirección global. Este modo de configuración es el habitual que se tiene en
casa cuando varios ordenadores queremos que salgan a Internet usando la dirección que
nos ha proporcionado nuestro ISP.
Cuando le llega al router un paquete del exterior ¿cómo sabe a qué ordenador de la red
local debe pasarlo? Ello obliga a que el router mantenga una tabla actualizada
constantemente de conexiones establecidas entre host de la red local con host de
Internet.
160
Filtrado de paquetes
Las opciones más importantes que suelen acompañar al comando iptables son:
Por ejemplo, en el caso de querer añadir una nueva regla a la lista de filtrado de
entrada la sintaxis sería:
161
Filtrado de paquetes
iptables -L –n
Cuando se quiere configurar una máquina para que filtre los paquetes,
normalmente, se crea un script que se ejecuta automáticamente cada vez que arranca la
máquina. Para ello hay que guardar dicho script en el directorio /etc/init.d/ con un
nombre que identifique claramente lo que hace.
Cada vez que se realicen cambios en la configuración hay que arrancar los
servicios de red mediante:
--tcp-flags: Especifica mediante una máscara si los bits indicadores de TCP del
datagrama concuerdan con ella. La máscara es una lista separada por comas de los
indicadores que deben examinarse en la comprobación (SYN, ACK, FIN, RST, URG,
PSH, ALL o NONE).
--syn: La regla se aplica a los datagramas cuyo bit SYN valga 1 y cuyos bits ACK y
FIN valgan ambos 0.
--icmp-type: Puede especificarse el tipo de mesaje ICMP tanto por su número como por:
echo-request, echoreply, source-quench, time-exceeded, destination-unreachable,
network-unreachable, host-unreachable, protocol-unreachable, y port-unreachable.
162
Filtrado de paquetes
--tcp-option : Intenta seleccionar con opciones específicas de TCP que pueden estar
activas en un paquete en particular.
163
Filtrado de paquetes
PRÁCTICA Nº 68
Control de acceso a Internet con iptables
Supongamos una empresa formada por tres redes de área local, y quiere controlar
el acceso a Internet de cada una de ellas por separado mediante un PC con Linux, según
se muestra en la figura 1.
Figura 68.1
1º.- Monta con los equipos que dispongas el esquema anterior. Si no quieres utilizar
tantos PCs puedes simular las diferentes redes utilizando máquinas virtuales.
IP GW
PC1
PC2
PC3
Linux
3º.- Configura el PC con Linux para que permita el acceso a Internet desde cualquiera
de las redes. En el caso de que tengas una única tarjeta de red en el equipo Linux
deberás ponerle varias Ips como se hizo en una práctica anterior.
5º.- Introduce en el equipo LINUX las reglas necesarias para que no puedan conectarse
a Internet los ordenadores desde la red 2 y red 3. Comprueba su funcionamiento.
164
Filtrado de paquetes
6º.- Permite el acceso a la tercera red. ¿Qué orden has tenido que escribir?
7º.- Si quisiéramos dar acceso según el siguiente horario. ¿Qué tendríamos que hacer?
De 8h a 14h Red 1
De 15h a 17h Red 2
De 18h a 20h Red 3
8º.- Guarda el script del apartado anterior para que se ejecute automáticamente cada vez
que el equipo Linux se inicie.
En el sitio web que da soporte a este libro puedes encontrar documentación, y código
fuente de cómo montar un proxy basado en un servidor web, que permita cortar el
tráfico a Internet de diferentes redes. Esta especialmente pensado para el control de
aulas de un instituto, de tal modo que el profesor puede mediante un navegador conectar
o desconectar el aula en la que se encuentra.
165
Filtrado de paquetes
PRÁCTICA Nº 69
Cortafuegos con iptables
En la figura 1 se puede observar una típica configuración en la que hay un PC con dos
tarjetas de red que hace las funciones de router. Este router da acceso a Internet a los
equipos situados dentro de la red de una empresa.
Figura 69.1
1.- Rellena la siguiente tabla con las IPs que tendrán los equipos:
5.- Hacer un ping desde “PC en Internet” a “Servidor en empresa”. Capturar el tráfico
en la máquina “Servidor en empresa”. ¿Qué sucede con las IPs de origen y destino?
166
Filtrado de paquetes
11.- Se debe permitir el acceso al propio PC router desde la intranet mediante ssh.
18.- Haz un ping desde PC en Internet al Servidor. ¿Se puede? ¿Por qué si/no?
19.- Desde el “PC en Internet” ¿Te puedes conectar mediante un navegador al servidor?
167
Seguridad en la red
Seguridad en la red
La seguridad esta relacionada con la confidencialidad (el mensaje sólo debe tener
significado para el emisor y receptor), integridad (los datos deben llegar exactamente
igual a como fueron emitidos), autenticación (se tiene certeza de quien es el emisor y el
receptor del mensaje), y no repudio (un emisor no puede negar el envió de un mensaje
que efectivamente realizó).
D.E.S. (Data Encription Standard): Fue diseñado por IBM para cifrar textos usando una
clave de 64 bits.
Triple DES: Para alargar la clave de DES hasta 168 bits se implemento 3DES. Usa tres
bloques DES seguidos con una clave para cada bloque.
AES (Advanced Encription Standard): Para mejorar la velocidad de 3DES. Usa tres
tamaños de clave: 128, 192 y 256 bits.
168
Seguridad en la red
R.S.A. (Rivest, Shamir y Aldeman): Usa dos números, e y d, como claves pública y
privada que están relacionados entre sí, para calcularlos se deben seguir los siguientes
pasos:
Y para descifrar:
P = Cd (mod n)
siendo C=Texto_Cifrado y P =Texto_claro
K = gxy mod p
siendo x un número aleatorio grande escogido por el emisor, y el elegido por el
receptor, y p y g dos números no confidenciales elegidos por ambos.
Certificados Digitales:
Firma Digital:
169
Seguridad en la red
Cuando se quiere utilizar claves públicas en una gran empresa puede ser
imposible tener un único centro gestor de claves para responder a todas las consultas
que se puedan generar. La mejor solución es poner muchos servidores con una
estructura jerárquica.
Algunos de los servicios ofrecidos por una PKI son los siguientes:
170
Seguridad en la red
PRÁCTICA Nº 70
Conexión segura con SSH (Securite Shell)
Si nos conectamos a una máquina remota mediante la aplicación telnet todo lo que
escribamos en nuestra consola viajará a través de la red como texto plano, es decir,
cualquier persona puede interceptarlo y analizarlo (figura 1).
Figura 70.1
Para evitarlo se desarrolló el servicio SSH (Securite Shell) que utiliza el puerto 22.
Gracias a este protocolo las comunicaciones viajan cifradas, y por lo tanto ilegibles para
alguien que pueda escuchar el tráfico. Se puede observar en la figura 2 como los
paquetes están encriptados mediante el algoritmo Diffie-Hellman.
Figura 70.2
171
Seguridad en la red
1.- El cliente abre una conexión TCP con el servidor en el puerto 22.
2.- El cliente y el servidor se ponen de acuerdo en qué versión de ssh van a
utilizar, y algoritmo de cifrado.
3.- El servidor envía su clave pública al cliente.
4.- El cliente recibe la clave pública del servidor y la compara con la que ya
tenía. En caso de ser la primera vez se pedirá conformidad al usuario.
5.- El cliente genera una clave y se la envía al servidor codificada con la clave
pública del servidor.
6.- Como ambos extremos tienen la clave ya pueden codificar los datos con ella.
2º.- Configurar la red en el cliente de la siguiente forma (de la misma forma que en el
apartado anterior, puede que necesites cambiar las IPs dentro del rango de tu red):
3º.- Con el comando route comprueba en ambas máquinas la dirección del gateway, y
que tienes salida a Internet (por si es necesario instalar algún paquete).
Figura 70.3
groupadd alumnos
useradd –g alumnos –d /home/alumno –m –s /bin/bash alumno
passwd alumno
172
Seguridad en la red
5º.- Los servicios que el sistema ejecuta al iniciarse están en el directorio /etc/init.d.
Comprueba si el servicio ssh esta ejecutándose. En caso negativo instálalo (figura 4).
apt-get install ssh
Figura 70.4
hostname Servidor/Cliente
7º.- Inicia la captura del tráfico con el programa Wireshark. Es indiferente que la
captura se realice en el servidor o en el cliente.
Como vemos en la figura 5, línea 2, nos pide el password del usuario. Si no hubiéramos
escrito alumno en la expresión anterior, nos pediría el usuario y el password para
acceder a la conexión.
Figura 70.5
173
Seguridad en la red
9º.- Para la captura del tráfico. Situate en el paquete cuya descripción es “Server: Key
Exchange Init”. Expande la pestaña SSH Protocol (figura 6). ¿Cuántos algoritmos
pueden ser utilizados?
Figura 70.6
Hasta ahora lo que hemos hecho es conectarnos a una máquina denominada “servidor”
con nuestro login y password, el cual ha viajado a través de la red codificado. Se puede
automatizar el proceso de la conexión de forma que no sea necesario escribir el
password cada vez que se realice, pero para ello es necesario tener unas claves
compartidas en ambas máquinas.
1.- El servidor tiene en el home del usuario que se quiere conectar una carpeta que
contiene la clave pública del usuario. Este fichero se denomina id_rsa.pub.
2.- El servidor genera un número aleatorio que es codificado con la clave pública
del cliente usando el algoritmo RSA o DSA, y se lo envía.
Por defecto la clave privada (id_rsa) y pública (id_rsa.pub) generadas son guardadas en
/home/alumno/.ssh/ (pulsa intro). A continuación pide una frase de paso y su
confirmación (pulsa intro en ambos). También informa acerca del fingerprint, o código
de identificación de la clave.
174
Seguridad en la red
11.- Hay que transportar la clave pública al servidor, y la mejor forma es mediante un
sistema de comunicación seguro como el que nos proporciona el comando scp. Ejecuta:
12.- Hay que crear la carpeta .ssh en el home del usuario en la máquina que actua como
servidor:
14.- Borrar el archivo de la clave pública que está en el home del alumno:
alumno@servidor:$ rm /home/alumno/id_rsa.pub
alumno@servidor:$ exit
alumno@cliente:$
Figura 70.7
175
Seguridad en la red
Figura 70.8
En autenticación se especifica
la ruta del archivo de claves
autorizadas, si se permite
conectar al root, si se utiliza
RSA para autenticar, etc.
Figura 70.9
176
Seguridad en la red
SSL
177
Seguridad en la red
o bien
178
Seguridad en la red
#openssl req –new –x509 –keyout ca_clave.perm –out cacert.pem –days 365
Las cuales habrá que copiar a sus respectivos directorios para poder firmar
requerimientos, por ejemplo:
cp cakey.pem /usr/local/ssl/CA/private
cp cacert.pem /usr/local/CA/
Para generar un archivo indes.txt que contenga una lista de los certificados
públicos generados:
#touch /usr/local/ssl/CA/index.txt
#echo 00 > /usr/local/ssl/CA/serial
/usr/local/apache2/conf/ssl.key/server-dsa.key
/usr/local/apache2/conf/server.crt
Para crear un certificado auto firmado es muy sencillo, tan sólo hay que crear la clave
privada:
openssl req –new -key ./nombre_clave.cert –x509 –days 365 –out nombre_clave.pem
Ahora podemos instalarlo en nuestro programa gestor de correo para firmar los
mensajes que enviemos.
179
Seguridad en la red
PRÁCTICA Nº 71
Servidor Web con OpenSSL
El objetivo es configurar un servidor Web (en nuestro caso será localhost) para
que acepte conexiones seguras mediante OpenSSL. Para ello se ha de requerir que el
servidor haga también las funciones de entidad certificadora.
1º.- Revisa que apache esta habilitado y con soporte a SSL, para ello bastará
escribir en la dirección de un navegador localhost, y asegurarse que el archivo
openssl.cnf tiene la variable dir= /usr/local/ssl/CA (según el Linux instalado la ruta
puede variar).
# mkdir –p /usr/local/ssl
# cd /usr/local/ssl
# openssl req –new –x509 –keyout cakey.pem -out cacert.pem -days 365
# mkdir –p /usr/local/ssl/CA/private
# mkdir –p /usr/local/ssl/CA/newcerts
# cp cacert.pem /usr/local/ssl/CA
2.4º.- Generar el archivo index.txt que contendrá una lista de los certificados
públicos generados:
#touch /usr/local/ssl/CA/index.txt
180
Seguridad en la red
#cd /usr/local/ssl
#openssl req –new –keyout mva.key –out mva.csr –days 365 –nodes
5º.- Instalar los certificados para que apache los lea al iniciar:
6º.- Reiniciar apache. Comprobar que en httpd.conf la línea que activa SSL no
esta comentada.
https://localhost
181
Seguridad en la red
PRÁCTICA Nº 72
Certificados digitales del lado cliente con OpenSSL
El objetivo es asegurar que el cliente es quien dice ser. Para ello se debe tener creada
una entidad certificadora CA. El cliente debe tener un par de claves RSA de 1024 bits
con la clave privada protegida mediante la pass-phrase cliente y el correspondiente
certificado con estas características:
• Validez: 60 días
• Algoritmo de hash: SHA-1
• Extensiones: Basic Constraints (crítica); CA =FALSE; Extended Key Usage:
Autenticación de cliente web SSL/TLS.
1º.- Generar la clave privada del cliente (escribir cliente como password):
2º.- Generar un archivo de tipo PKCS #12 protegido con contraseña pkcs12 que
contenga la clave privada y el certificado del cliente (suministrar el mismo password).
3º.- Indicar al servidor Web que acepte únicamente a aquellos clientes que tengan un
certificado emitido por nuestra CA. Para ello en httpd.conf incluir la línea:
Include conf/extra/httpd-ssl2.conf
Crear una nueva sección Virtualhost con los nuevos certificados e incluir la variable
SSLVerifyClient require
182
Seguridad en la red
183
Seguridad en la red
PRÁCTICA Nº 73
Certificados con IIS y SSL
Para habilitar el SSL en un servidor IIS hay que abrir la consola pulsando con el botón
derecho sobre el sitio Web, seleccionar propiedades y seguridad de directorios. En el
apartado Comunicaciones seguras pulsar sobre Certificado de servidor (figura 1).
Figura 73.2
Figura 73.1
1º.- Seleccionar crear un certificado nuevo (figura 2). Seleccionar la opción Preparar la
petición ahora pero enviarla más tarde. Rellenar nombre, longitud de la clave, nombre
de la compañía, nombre del sitio Web tal y como lo escribirán los usuarios para acceder
a él a través de Internet (nombre con el que se conoce la máquina en el DNS), ruta de
acceso, y nombre del archivo de texto donde desea almacenar la solicitud del
certificado. El contenido de la petición de certificado queda guardado en un archivo
codificado en Base 64.
3º.- Una vez que la entidad certificadora ha verificado el fichero que le hemos mandado
nos devolverá un certificado que contiene la información del sitio Web.
Figura 73.4
185
Seguridad en la red
IPSec
Los servicios que IPSec proporciona son: encriptación del tráfico, control de
acceso, integridad sin conexión, autentificación de los extremos de los datos, rechazo de
paquetes, y confidencialidad.
Algunos ejemplos de uso pueden ser el acceso remoto seguro a través de líneas
públicas, conexión segura entre varias oficinas de una empresa, seguridad en el
comercio electrónico, etc.
IPSec utiliza dos protocolos de seguridad: AH (Authetication Header) que asegura que
los datos no han sido manipulados y que provienen realmente de quien dice, y ESP
(Encapsulating Security Payload) que codifica los datos útiles.
186
Seguridad en la red
PRÁCTICA Nº 74
Políticas de seguridad con IPSec en Windows
Los sistemas operativos de Microsoft tienen integrado el soporte para IPSec,
gestionados desde la consola de seguridad local del sistema, la cual se encuentra en
Panel de Control / Herramientas Administrativas / Directiva de seguridad local (ver
figura 1).
Figura 74.1
Figura 74.2
En la ventana se puede observar dos pestañas en las que se puede gestionar los
filtros y las acciones (figura 3).
187
Seguridad en la red
Como máquina origen será “Cualquier dirección IP”. Máquina de destino será
“Mi dirección IP”. Protocolo a filtrar TCP. Puerto de origen cualquiera (el puerto en el
cliente es asignado dinámicamente) y de destino el 80. Si nuestro servidor acepta
conexiones seguras se deberá hacer lo mismo para el puerto 443 (figura 5).
Figura 74.5
188
Seguridad en la red
Figura 74.8
De forma análoga hay que hacer para denegar el resto del tráfico.
189
Seguridad en la red
Las reglas IPSec se aplican de forma que las más específicas tienen prioridad
sobre las generales, de este modo, el tráfico web se permitirá mientras que el resto del
tráfico se bloqueará.
Figura 74.11
Figura 74.12
190
Seguridad en la red
PRÁCTICA Nº 75
Comunicaciones seguras con IPSec en Windows
Se pretende hacer segura la comunicación entre dos máquinas que están
ejecutando aplicaciones que no soportan ningún tipo de cifrado de la información, por
ejemplo telnet, voz por IP, conexiones a bases de datos remotas, etc. En nuestro caso
tendremos un servidor MySQL al que se conectará un cliente para solicitarle datos.
Figura 75.1
191
Seguridad en la red
Figura 75.4
Figura 75.6
Figura 75.5
192
Seguridad en la red
Figura 75.7
Figura 75.8
Y para finalizar con la configuración, tan sólo es necesario activarla (figura 9).
Figura 75.9
En el otro equipo habrá que repetir todos los pasos pero teniendo en cuenta quien
hace de cliente, y quien hace de servidor.
193
LAN Inalámbricas
802.11a: Llega a alcanzar velocidades de hasta 54 Mbps dentro de los estándares del
IEEE y hasta 72 y 108 Mbps con tecnologías de desdoblamiento de la velocidad
ofrecidas por diferentes fabricantes. Esta variante opera dentro del rango de los 5 Ghz.
Inicialmente se soportan hasta 64 usuarios por Punto de Acceso.
Sus principales ventajas son su velocidad, la base instalada de dispositivos de este tipo,
la gratuidad de la frecuencia que usa y la ausencia de interferencias en la misma. Sus
principales desventajas son su incompatibilidad con los estándares 802.11b y g, la no
incorporación a la misma de QoS (posibilidades de aseguro de Calidad de Servicio, lo
que en principio impediría ofrecer transmisión de voz y contenidos multimedia online),
la no disponibilidad de esta frecuencia en Europa dado que esta frecuencia está
reservada a la HyperLAN2 (Ver http://www.hiperlan2.com) y la parcial disponibilidad
de la misma en Japón.
802.11b: Alcanza una velocidad de 11 Mbps estandarizada por el IEEE y una velocidad
de 22 Mbps por el desdoblamiento de la velocidad que ofrecen algunos fabricantes.
Opera dentro de la frecuencia de los 2.4 Ghz. Inicialmente se soportan hasta 32 usuarios
por PA.
Dispone de los mismos inconvenientes que el 802.11b. Las ventajas de las que dispone
son las mismas que las del 802.11b además de su mayor velocidad.
802.11n: Límite teórico de 600 Mbps aunque actualmente la velocidad está en
300Mbps. Usa las bandas de 2,4 GHz y 5 GHz. Gracias a la tecnología MIMO
Multiple Input – Multiple Output, permite utilizar varios canales a la vez para enviar y
recibir datos gracias a la incorporación de varias antenas.
IEEE
Técnica
Banda
Modulación
Máxima
tasa
802.11a
OFDM
5.725
GHz
PSK
o
QAM
54
Mbps
802.11b
DSSS
2.4
GHz
PSK
11
Mbps
802.11g
OFDM
2.4
GHz
Diferente
54
Mbps
802.11n
108
Mbps
194
LAN Inalámbricas
topologías básicas:
Topología Ad−Hoc. Cada dispositivo se puede comunicar con todos los demás. Cada
nodo forma parte de una red Peer to Peer o de igual a igual, para lo cual sólo vamos a
necesitar el disponer de un SSID igual para todos los nodos y no sobrepasar un número
razonable de dispositivos que hagan bajar el rendimiento. A más dispersión geográfica
de cada nodo más dispositivos pueden formar parte de la red, aunque algunos no lleguen
a verse entre si.
• BSS (Basic Service Set): Conjunto de máquinas que pertenecen a una misma red
inalámbrica, y que comparten un mismo punto de acceso.
• AP (Access Point): Dispositivo que hace las funciones de punto de acceso.
• BSSID (Basic Service Set Identifier): Identificador para referirse a un BSS.
• ESS (Extended Service Set): Es un conjunto de BSS que forman una red,
generalmente será una WLAN completa.
• SSID (Service Set Identifier): El nombre de la WLAN.
• ESSID (Extended Set Service Identifier): Es el identificador del ESS.
Subniveles MAC
IEEE 802.11 define dos subniveles MAC: la función de coordinación distribuida DCF y
la función de coordinación puntual PFC.
195
LAN Inalámbricas
Hace años que se vulneró este método de seguridad, ya que el atacante sólo tiene
que capturar suficientes tramas cifradas con el mismo IV, y realizar una
interpolación.
Usando la PMK, la dirección MAC del punto de acceso, la dirección MAC del
cliente, y dos números aleatorios se generan todas las claves derivadas. Las
claves derivadas son:
- Data Encrytion Key: de 128 bits y utilizada para cifrar los mensajes.
- Date Integrity Key: de 128 bits y utilizada para garantizar la integridad del
mensaje.
- EAPOL Encrytion Key: Para autenticar la conexión.
- EAPOL Integrity Key: Para garantizar la integridad de la comunicación en la
conexión.
- Multicast Encrytion Key: Para cifrar los mensajes multicast.
- Multicast Integrity Key: Para garantizar la integridad de los mensajes multicast.
196
LAN Inalámbricas
• Mediante certificados digitales e IPSec, de tal forma que sólo se puedan conectar
aquellos clientes que tengan certificado digital.
iwlist scanning
197
LAN Inalámbricas
PRÁCTICA Nº 76
Red en modo infraestructura
Para realizar este apartado habrá que resetear el punto de acceso (en el futuro AP),
conectar un PC mediante un cable trenzado sin cruzar a la interfaz LAN, poner una IP al
PC dentro del rango de direcciones en el que se encuentre el AP (192.168.1.0), y
conectarnos mediante un navegador a la dirección por defecto (192.168.1.1).
198
LAN Inalámbricas
2- Los puntos de acceso emiten una baliza (Beacon) con su nombre cada un
tiempo determinado. Configura el nombre del AP como “ASI”, y que se emita cada 0.7
segundos.
Figura 76.4
Figura 76.5
Figura 76.6
199
LAN Inalámbricas
Figura 76.7
Figura 76.8
200
LAN Inalámbricas
PRÁCTICA Nº 77
Red Ad-hoc
Una red Ad-hoc es aquella que no utiliza puntos de acceso, es decir, los
dispositivos se comunican entre sí directamente. Para crear una red Ad-hoc hay que
seguir los siguientes pasos:
Figura 77.2
Figura 77.1
2.- Seleccionar la opción “Sólo redes de equipo a equipo, ad hoc” (figura 2).
4.- Escribir un nombre para la red (SSID), por ejemplo “Mi Red ad-hoc” (figura
3).
6.- Al cerrar la ventana anterior se puede ver la red recién creada ya activada
(figura 4).
201
LAN Inalámbricas
Figura 77.5
8.- Desde cualquier otro equipo se puede visualizar las redes inalámbricas
existentes, y conectarnos a la red recién creada para compartir recursos.
202
LAN Inalámbricas
PRÁCTICA Nº 78
Rutas estáticas
1- Monta la siguiente red
Figura 78.1
IP IP IP
PC1 201.10.10.2 / 24 Router 0 201.10.10.1 202.20.20.1
PC2 202.20.20.2 / 24 AP 1 201.10.10.1 204.10.10.1
PC3 203.30.30.2 / 24 AP 2 203.30.30.1 204.10.10.2
3- Configura las tablas estáticas de todos los routers. En los APs deberás buscar una
ventana parecida a la de la figura 2.
Figura 78.2
203
LAN Inalámbricas
PRÁCTICA Nº 79
Infraestructura WPA con servidor RADIUS
RADIUS es un servicio que viene de serie con Windows Server, y se instala desde
el panel de control de Agregar o Quitar Programas, en la opción Componentes de
Windows, Servicios de Red. Para instalarlo hay que seleccionar Servicio de
autenticación de Internet (figura 1).
Figura 79.1
Figura 79.3
Figura 79.2
204
LAN Inalámbricas
los usuarios que van a poder conectarse, y las opciones de conexión para establecer los
procedimientos de autenticación y cifrado.
Para crear una política de acceso remoto se debe pulsar con el botón secundario
y seleccionar nueva. Le daremos un nombre como Política Gíreles (figura 4), y en la
siguiente ventana se debe elegir el método de acceso, lógicamente escogeremos
Inalámbrica (figura 5).
El siguiente paso es seleccionar los usuarios que se podrán conectar, y nada más
sencillo que incluir a esos usuarios en un grupo, por ejemplo Grupo_Wireless, los
cuales deben tener permiso de marcado.
Figura 79.6
De este modo se ha definido la política para que los usuarios del grupo sean
autenticados con nuestro servidor RADIUS. Una vez creada la política se pueden
modificar sus valores (figura 7).
205
LAN Inalámbricas
Figura 79.7
Se debe dar de alta a los puntos de acceso que vayan a realizar consultas a nuestro
servidor RADIUS con Nuevo cliente RADIUS (figura 8), elegir el tipo de cliente
RADIUS, y la clave que comparten el servidor y el cliente (figura 9).
Figura 79.8
Figura 79.9
206
LAN Inalámbricas
Ahora habrá que se activar al servidor RADIUS en el punto de acceso (puerto 1812).
Aquellos usuarios que vayan a acceder a la red WIFI usando este método de
autenticación deberán seleccionar en propiedades de su conexión la opción de
autenticación de red WPA y de cifrado de datos TKIP (figura 10). En la pestaña
Autenticación deberán escoger entre tarjeta inteligente u otro certificado o PEAP y
configurar sus propiedades (figura 11).
207
Gestión de redes: S.N.M.P.
Gestión de redes:
S.N.M.P. (Simple Network Management Protocol)
Conforme crece la complejidad de una red y los recursos que ofrecen son cada vez
mayores también hay que dedicar un mayor esfuerzo a su administración. Normalmente
hay que utilizar herramientas automatizadas de gestión de red, y para solucionarlo se
han desarrollado varios estándares que abarcan servicios, protocolos y bases de datos.
El modelo de gestión de red SNMP definido en el RFC 1157, y especifica los siguientes
elementos:
Aplicaciones de gestión:
Las aplicaciones de gestión de redes utilizan el SNMP
protocolo SNMP, y éste a su vez está apoyado en el UDP
protocolo de la capa de transporte UDP. Por lo tanto
IP
SNMP es un protocolo no orientado a la conexión.
Nivel de enlace y físico
Utiliza los puertos 161 y 162.
Estado de error: Posibles valores son: 0 sin error, 1 demasiado grande, 2 no existe
la variable, 3 valor incorrecto, 4 solo lectura, 5 otros errores.
209
Gestión de redes: S.N.M.P.
Índice de error: Cuando estado de error es distinto de cero proporciona
información adicional del error.
Una trap es generada por el agente de gestión para informar de ciertas condiciones y
cambios de estado a una estación de gestión como la conexión o desconexión de host o
de servicios. El formato de la PDU de una trap es:
Tipo Tipo
Dirección del Enlazado de
Tipo Enterprise genérico de específico de Timestamp
agente variables
trap trap
Debido a los avances en materia de seguridad se vió necesario desarrollar una nueva
versión de SNMP, dando lugar a la versión 3 que está descrita en el RFC 3410.
Getif: http://www.wtcs.org/snmp4tpc/getif.htm
Net-SNMP: http://www.net-snmp.org
SNMP-JManager.
210
Gestión de redes: S.N.M.P.
PRÁCTICA Nº 80
Supervisión de redes con Nagios.
Nagios es un software libre con licencia GPL2, que presenta un diseño modular, de tal
forma que puede ir creciendo en función de nuestras necesidades con tan sólo añadir
plug-ins, por lo que a medida que aparezcan nuevos dispositivos en el mercado su
actualización será sencilla.
Figura 80.1
Si ejecutamos en una terminal find / -iname nagios3 se obtiene las carpetas que han sido
instaladas. En /usr/share/doc-base/nagios3 se encuentra la documentación, y en
/usr/lib/nagios los plug-ins (figura 2).
Figura 80.2
211
Gestión de redes: S.N.M.P.
Observar que también hay un fichero
apache2.cfg con un directorio virtual
denominado nagios3 (figura 3) al cual sólo
podrán acceder los usuarios que se encuentren
registrados en /etc/nagios3/htpasswd.users.
Figura 80.4
Figura 80.5
212
Gestión de redes: S.N.M.P.
* Para indicar las personas que recibiran las alertas se debe editar el fichero
contacts.cfg. Nomalmente las alertas se enviarán por correo electrónico. Algunos
parámetros que acompañan a la definición de los encargados de la administración
son: contact_name, alias, host_notification_period, service_notification_commands,
etc.
* Un periodo de tiempo se puede definir para cada día de la semana y estar asociado
a una tarea determinada. Se definen en el fichero timeperiods.cfg y allí se pueden
encontrar los parámetros timeperiod_name, alias, monday, tuesday, etc.
Edita el fichero contacts_nagios para especificar quien recibirá las alertas, cambiando el
nombre, el alias, y la dirección de email. En el campo members de los grupos de
contacto especifica el mismo nombre que antes. Cada usuario que aquí especificamos
debe tener una cuenta en el servidor, y debe pertenecer al grupo nagios. Para ello:
Para añadir este usuario usaremos el mismo comando que antes pero sin la opción –c.
htpasswd /etc/nagios3/htpasswd.users nombre_usuario
Para monitorizar un host denominado PC habría que modificar los siguientes ficheros:
conf.d/hostgroups_nagios2.cfg conf.d/hosts.cfg conf.d/services_nagios2.cfg
define hostgroup { define host { define service {
hostgroup_name maquinas_PC use generic-host use generic-service
alias Web PCs host_name PC host_name PC
contact_groups nombre_ contacto alias alias_del_PC service_description PING
members PC address 10.1.2.33 is_volatile 0
} check_command check-host-alive check_period 24x7
max_check_attempts 15 max_check_attempts 4
notification_interval 300 retry_check_interval 2
notification_period 24x7 contact_groups nombre_contacto
notification_options d,u,r notification_period 24x7
} check_command ↵
chequear_ping!100.0,20%!500.0,60%
}
213
Gestión de redes: S.N.M.P.
nagios3 –v /etc/nagios3/nagios.cfg
Supongamos que queremos supervisar un servidor web que existe en nuestra intranet de
modo que si en algún momento deja de funcionar nos llegue un correo electrónico.
Hay que crear una definición de host para el servidor y una definición de servicio http.
Introduce en los siguientes ficheros:
define command {
command_name chequear_smtp
command_line $USER1$/check_smtp –H $HOSTADDRESS$
}
214
Gestión de redes: S.N.M.P.
Figura 80.6
215
Gestión de redes: S.N.M.P.
PRÁCTICA Nº 81
Supervisión de redes con MRTG.
MRTG (Multi-Router Traffic Grapher) genera
gráficos para visualizar el rendimiento de la red.
Para crear el fichero de configuración de mrtg se puede utilizar el script cfgmaker del
siguiente modo:
Existen muchos ejemplos en Internet para el contenido del fichero mrtg.conf según lo
que se quiera monitorizar. ¿Cómo sería el fichero mrtg.conf si se quiere monitorizar el
uso de CPU de una máquina? ¿Y para la supervisión de la memoria?
216
Gestión de redes: S.N.M.P.
PRÁCTICA Nº 82
Monitorización de redes: Ntop y Argus.
Ntop es una herramienta para la monitorización en tiempo real del uso de la red. Se
puede descargar desde http://www.ntop.org en versión para Linux y para Windows.
Para crear las bases de datos necesarias para su funcionamiento hay que escribir en la
consola:
#ntop -A
Para ejecutar el programa:
Las opciones elegidas para la carga del programa son las siguientes:
Ntop posee una interfaz via web, para ello bastará escribir en la URL del navegador
http://localhost:3100 (figura 1), y se mostrará las estadísticas del tráfico de red. En la
parte superior tiene un menú bastante completo (figura 2).
Figura 82.2
Figura 82.1
217
Gestión de redes: S.N.M.P.
En la figura 3 se puede observar las máquinas que han generado tráfico, sus direcciones
físicas y lógicas, ancho de banda consumido, etc. En la figura 4 se obtiene una
estadística por protocolos.
Figura 82.3
Figura 82.4
Para analizar los datos existen varias herramientas: ra, rabins, racount, ragrep, rasort,
ratopf, racluster.
#ratop –S direccion_equipo_remoto
Ragraph proporciona una interfaz gráfica con información del tráfico de red.
218
Aplicaciones multimedia de tiempo real
APLICACIONES MULTIMEDIA
DE TIEMPO REAL
Las aplicaciones multimedia son altamentes sensibles a los retardos (tiempo desde que
el emisor transmite un paquete hasta que llega al receptor), y a sus fluctuaciones,
aunque pueden tolerar la pérdida de datos. Un retardo inferior a 150 milisegundos no es
percibido por el oido humano, sin embargo para retardos superiores a 400 milisegundos
la sensación es desastrosa, de hecho las aplicaciones de telefonía por Internet desechan
los paquetes que superan este límite.
En telefonía por Internet es habitual tomar 8000 muestras de la voz por segundo, y se
agrupan cada 160 bytes, lo que significa que cada 20mseg se transmite un paquete. El
receptor sabe que cada 20 mseg le tiene que llegar un paquete, pero como cada paquete
puede viajar por un camino distinto por Internet llegarán desordenados, y el receptor
deberá ordenarlos para ser reproducidos.
Los protocolos para aplicaciones interactivas en tiempo real más utilizados son: RTP
(protocolo de tiempo real), RTCP (RTP Control Protocol), RSTP (protocolo de
transmisión en tiempo real), SIP (protocolo de iniciación de sesiones), y H.323. RTP
permite el encapsulamiento del audio o video, RSTP permite interactividad con el
usuario, SIP permite establecer, mantener y finalizar llamadas sobre IP, y H.323 es una
alternativa a SIP que obliga a usar RTP para encapsular el tráfico de datos.
RTP está definido en el RFC 1889, y es utilizado para transportar flujos de audio y
video, pero al utilizar como protocolo de la capa de transporte UDP no es posible
asegurar que los paquetes lleguen a tiempo de ser reproducidos en el cliente. No existe
un número de puerto específico para este protocolo, así que es el desarrollador de la
aplicación el que lo decide.
219
Aplicaciones multimedia de tiempo real
En el caso de que existan varios emisores (CSRC >1) la señal a reproducir en el cliente
será una mezcla de las diferentes señales recibidas. En este caso hay un campo más al
final identificando los SSRC de las fuentes.
RTCP ofrece estadísticas generadas por el emisor y por el receptor acerca de paquetes
perdidos y recibidos. Utiliza el puerto utilizado por RTP+1.
RTSP está definido en el RFC 2326, y se utiliza para controlar la transmisión del flujo,
es decir, informa al emisor si el receptor ha pulsado sobre el botón de pausa, el botón de
play, o simplemente se detiene definitivamente el visionado de la película. Por lo tanto
los mensajes enviados por RTSP van paralelos al flujo de los datos que pueden ir
encapsulados por ejemplo en RTP.
RTSP está encapsulado en un paquete TCP con número de puerto destino 554, y no
especifica si se debe usar UDP o TCP para encapsular los datos, ni tampoco si se ha de
usar un bufer. Las órdenes mandadas desde el cliente al servidor mediante RTSP son
enviadas en texto plano, y siguen la siguiente secuencia:
220
Aplicaciones multimedia de tiempo real
221
Aplicaciones multimedia de tiempo real
Se puede observar como los parámetros y sus valores son enviados en formato XML.
SIP está definido en el RFC 3261, y se utiliza para establecer, acordar codificaciones de
los datos y modificarlos durante la llamada, y finalizar llamadas de voz sobre IP. Es
capaz de averiguar la localización del destinatario de la llamada, ya que éste puede ser
un usuario móvil y desplazarse por diferentes redes y adquirir diferentes IPs.
Una dirección SIP es normalmente de la forma usuario@IP. Todo usuario SIP está
asociado a un registrador SIP el cual sabe en qué red está situado el usuario, de este
modo es localizado al recibir una llamada. Los mensajes se mandan en texto plano, y
necesitan de la respuesta afirmativa del otro interlocutor indicando que han sido
recibidos.
H.323 es una alternativa a SIP pero va más allá ya que también se encarga de la
señalización, registro, control de admisión, transporte, y codificadores. Obliga a que se
use RTP para encapsular el tráfico multimedia. Cada vez se usa menos a favor de SIP.
222
Aplicaciones multimedia de tiempo real
1.- Para analizar los fundamentos de RTP y RTSP vamos a capturar el tráfico de datos
generado cuando escuchamos una emisora de radio por Internet, por ejemplo Máxima
FM. Una vez que hayas localizado la pestaña escuchar en directo de la página web de
la emisora de radio y Wireshark ya esté capturando paquetes,
hacer clic sobre dicha pestaña. Transcurridos unos segundos
empezarás a escuchar la emisora, pulsa sobre la pausa y
nuevamente sobre play. Tras unos pocos segundos ya puedes
dejar de capturar paquetes. Obtendrás una captura similar a la figura 11.
Figura 83.1
2.- Identifica los paquetes que han controlado la transmisión del flujo, es decir los
paquetes en los que se solicitó el fichero de descripción de la sesión, en el que se
especificaba el transporte, en que se seleccionaba algún parámetro, donde se solicitaba
el play del flujo, etc. Rellena una tabla del siguiente estilo:
4.- ¿Sabes identificar que tipo de codificación (GSM, PCM, etc.) es utilizado para el
audio?
1
Para simplificar la figura se han eliminado los paquetes TCP.
223
Aplicaciones multimedia de tiempo real
Figura 83.2
Figura 83.3
Figura 83.5
Figura 83.4
6.- Obtén el valor de la fluctuación media (varianza) del retardo tomando como mínimo
10 paquetes. Para ello puedes simplificarlo haciendo una media aritmética o si lo
prefieres geométrica.
224
Aplicaciones multimedia de tiempo real
7.- Tomando un mínimo de 10 paquetes RTP ¿Cuántos bytes se han transmitido en total
en el conjunto de paquetes tomados? ¿Qué tasa de transmisión resulta?
12.- Selecciona un paquete RTP y pulsa con el botón derecho. En el menú que se
muestra hacer clic en seguir el hilo TCP.
225
Aplicaciones multimedia de tiempo real
Servidor DNS
Proxy A Proxy B
Usuario A Usuario B
227
Aplicaciones multimedia de tiempo real
Los pasos que se realizan en una comunicación SIP se pueden describir de la siguiente
forma:
1.- Hay muchas aplicaciones que soportan SIP. Busca en Internet, y haz un listado de
aplicaciones que actuan como servidores y como aplicaciones clientes, indicando para
qué plataformas están diseñadas (Windows, Linux, MAC).
228
Proyectos finales
PRÁCTICA Nº 85
Una empresa denominada “AO S.L.” se dedica al negocio de alquiler de oficinas, y para
ello dispone de un edificio de 5 plantas (planta baja más 4 plantas). El flujo de
empresas que requieren los servicios de AO S.L. es dinámico, es decir, según los
vaivenes de la economía hay más o menos empresas, las cuales requieren más o menos
despachos. En el momento actual hay 6 empresas que tienen despachos alquilados.
2. En las dependencias donde se sitúen los servidores, debe haber una conexión
por fibra óptica, y las demás deben ser Fast Ethernet.
5. Un despacho (de los grandes) por cada planta estará reservado a alojar
servidores de las diferentes empresas que se quieran instalar. Su mantenimiento lo
realiza la empresa propietaria del edificio.
229
Proyectos finales
Determinar:
2. Determinar la ubicación los armarios repartidores en cada una de las plantas del
edificio.
5. Inventa un código para identificar cada uno de los puertos de los dispositivos del
cableado horizontal en el armario, y para las rosetas de cada despacho.
6. Identificar cada una de las tomas del cableado vertical en los dispositivos en los
armarios.
8. Definir las características técnicas del cableado horizontal como tipo de cable (UTP,
STP, FTP, fibra óptica, etc.), tipos de rosetas, regletas, armarios, etc.
9. Definir las características técnicas del cableado vertical como tipo de fibra
(monomodo, multimodo), etc.
10. Realiza una tabla que relacione las conexiones entre los dispositivos en los armarios
de distribución y las rosetas de los despachos, tanto de par trenzado como de fibra
óptica. Debe figurar como mínimo la siguiente información:
• Identificador de la roseta.
• Identificador dispositivo en el armario de distribución.
• Nº de puerto del dispositivo en el armario de distribución.
• Velocidad de la conexión.
• Red, subred o VLAN a la que pertenece. Este apartado lo puedes dejar en
blanco por ahora y ya lo rellenarás una vez hayas establecido las IPs a los equipos.
• Descripción.
230
Proyectos finales
13. Según lo que has respondido en los puntos anteriores. ¿Cual es el precio de los
diferentes componentes? Haz un desglose de todos los componentes y su precio.
¿Cual es el precio total de la instalación?
17. ¿Donde pondrías un cortafuegos para evitar determinado tráfico con Internet? ¿Qué
modelo de cortafuegos pondrías? ¿Qué reglas debería tener?
18. ¿Cómo has conseguido que el tráfico generado por una empresa no sea visto por
otra?
19.- ¿Qué precio consideras razonable para ser cobrado por el servicio de hosting?
21.- ¿Qué otros servicios podrían ofrecerse a las empresas (de pago o gratuitos)?
231
Proyectos finales
232
Proyectos finales
233
Proyectos finales
PRÁCTICA Nº 86
Se pretende controlar el acceso a Internet de las aulas de un instituto de tal modo que se
pueda conectar o desconectar las aulas de Informática a criterio del profesor. De este
modo si el profesor no quiere que sus alumnos se conecten a Internet puede desconectar
la conexión y evitar problemas con el alumnado.
La solución a implementar está basada en un PC con varias tarjeras de red (tantas como
aulas a controlar mas una) con sistema operativo Linux. Las dos piezas fundamentales
para resolver el problema es el comando iptables de Linux, y una interfaz amigable de
entrada de datos para que los profesores puedan cambiar el estado de las aulas. Para
resolver esta segunda parte se debe realizar con una interfaz via Web según se muestra
en la figura 1 y 2.
Figura 86.3
234
Proyectos finales
Para almacenar todos los cambios de estado de las aulas se utilizará una base de datos
con MySql.
Para poder administrar el servidor Proxy sin necesidad de estar delante de la máquina se
activará un servidor VNC, de tal modo que desde cualquier máquina con un cliente
VNC basta indicar la IP para conectarnos al servidor y controlarlo a distancia.
Preguntas a resolver:
3.- Script que se ejecuta en el servidor Proxy cada vez que arranca la máquina.
235
Indice
Índice
A
F
ACL
estándar,
117
FEXT,
6
ACL
extendidas,
116
Firma
Digital,
169
ACL
nombradas,
116
Fragmentación,
71
Ad−Hoc,
195
FTP,
1
AES,
168
ARP,
40
arquitectura
TCP/IP,
61
G
Atenuación,
5
gateway,
42
AWG,
5
H
B
HUB,
38
Beacon,
199
BGP,
50
broadcast,
40
I
BSSID,
195
ICMP,
62,
65
IDEA,
186
C
ifconfig,
19
IGP,
50
cableado
estructurado,
1
IGRP,
50
calibración
de
campo,
6
Impedancia,
5
Certificados
Digitales,
169
Infraestructura,
195
chains,
161
Infraestructura
de
clave
pública,
170
checksum,
76
IPSec,
186
clases
de
redes
IP,
79
IPv6,
67
Comando
netsh,
12
Comando: : ROUTE,
11
Comando: ARP,
10
L
Comando: HOSTNAME,
9
L2F,
133
Comando: IPCONFIG,
9
L2Sec,
133
Comando: NBTSTAT,
10
L2TP,
133
Comando: NETSTAT,
11
lenguaje
CLI,
100
Comando: PATHPING,
10
Comando: PING,
9
CommView,
31
M
Criptografía,
168
máscara
de
subred,
80
máscara
variable,
83
D
máscara
wildcard,
115
MASQUERADE,
149
D.E.S.,
168
MD5,
192
Diafonía,
5
MIB,
209
dirección
de
Broadcast,
82
Modo
Transporte,
133
dirección
física,
63
Modo
Túnel,
133
dirección
lógica,
63
MTU,
71
DMZ,
123
DNAT,
150
dominio
de
colisión,
56
N
dominio
de
difusión,
56
NAT
dinámica,
159
NAT
estática,
159
E
NetBEUI,
87
NetBIOS,
87
EGP,
50
NetStumbler,
31
EIGRP,
50
NEXT,
6
ELFEXT,
6
ngrep,
34
Enrutamiento
dinámico,
104
Nivel
de
aplicación,
77
enrutamiento
estático,
57
Nivel
de
enlace,
62
estado
del
enlace,
49
Nivel
de
red,
64
237
Indice
238
Indice
Julián Verón
Prácticas de Redes
86 prácticas para aprender paso a paso los
fundamentos de las comunicaciones, desde
cómo crear latiguillos e instalar rosetas hasta
cómo configurar routers Cisco, listas de control
de acceso ACL, redes privadas virtuales VPN,
redes de área local virtuales VLAN, subredes,
NAT, seguridad en la red, WIFI, Gestión de
redes con SNMP, protocolos multimedia, etc.
ISBN 978-84-692-5173-7
240