Como implementar un EasyIDS en la Red

Como dije anteriormente EasyIDS es un excelente conjunto de herramientas de Linux, basada en CentOS, que permite configurar de manera rápida un sistema de detección de Intrusos potente, mediante el uso de la herramienta Snort al igual que otra herramienta de red tan potente y sencilla como es  Ntop.

Sin embargo no explique la manera en que EasyIDS obtenía los datos de la red, hoy explicare brevemente la manera en que realice la conexiones para echar a andar mi pequeño IDS, cabe mencionar que actualmente esta funcionando y recibiendo trafico de al menos unas 500 Computadoras.

Configuración de un spam port en Switch Cisco

Enrutamiento entre vlan, utilizando un Switch Cisco L3 y un servidor dhcp en Linux

Saludes esta vez tratare un pequeño caso de estudio que esta conformado por un servidor dhcp en Linux, para dos vlans (vlan 10 y vlan 20), el cual esta conectado a un switch Cisco L3, tal como aparece en el diagrama.

En este ejemplo, las nubes naranjas representan los equipos de red conectados a los puertos 1-10 de cada switch L2 y las nubes blancas representan los equipos de red conectados a los puertos 11-20.

Nagios, Monitorización de Routers y Switches

En esta publicación, explicare brevemente el proceso de monitorizar un switch cisco por medio de la herramienta nagios, el proceso para monitorizar un enrutador es el mismo. Es importante recordar que solamente es posible monitorizar dispositivos que sean administrables.

Los equipos no administrables no pueden ser monitorizados de ninguna manera, debido a que estos no poseen una dirección IP. La selección de equipos de telecomunicaciones no administrables, realmente dependerá de los alcances que se pretenden en una red.

En este caso explicare la forma de monitorizar un switch cisco modelo 2950T de 24 puertos, para este equipo verificaremos las perdidas de paquetes, tiempo de respuesta y verificaremos el tiempo que este ha estado disponible, mediante el uso de snmp.

Uso de Router Cisco 2800 2600, 3600 como dhcp server.

El tema de utilizar un servidor DHCP o no, depende principalmente del tamaño de la red y de la forma de administrar la misma, es decir si la persona que administra la red esta dispuesta a realizar estas configuraciones o no. 

También dependerá de la existencia o carencia de los recursos, tanto de hardware como de software. Para los que estén convencidos que utilizar un entorno de asignación de direcciones IP por medio  de DHCP, utilizando un enrutador cisco 2811 como dhcp server, les recomiendo este pequeño documento.

DHCP es un protocolo que permite a dispositivos individuales en una red obtener su propia información de configuración de red, tal como la dirección IP; máscara de sub-red, puerta de enlace, servidores dns, etc. El propósito principal es hacer más fáciles de administrar las redes grandes. Sin la ayuda de un servidor DHCP, tendrían que configurarse de forma manual cada dirección IP de cada equipo en la red. Un servidor DHCP supervisa y distribuye las direcciones IP de una Red de Área Local asignando una dirección IP a cada equipo que se una a la Red de Área Local. 

Configuración del Spanning Tree (Definir el Root Bridge)

Una vez que ya se ha comprendido el modo de funcionar del algoritmo que utiliza STP para crear una red convergente, es importante iniciar con el proceso de configuración de la topología, para definir el Root Bridge. 

Para demostrar el funcionamiento se presenta una topología configurada de tal manera que se puede ver que la topología ha convergido de manera automática. Sin embargo no es lo que realmente se requiere en la vida real.

 

Segun la imagen se puede ver a simple vista que el sw#3 ha sido el ganador y definido como el Root Bridge (Puente Raíz), sin embargo para nuestro ejemplo realizaremos las configuraciones necesarias para que sea el sw#1 el Root Bridge.

Introducción al Protocolo Spanning Tree (IEEE 802.1D)

Para iniciar a escribir sobre este protocolo explicare un poco la manera en que me tope con el e iré describiendo algunos conceptos importantes para comprender mejor el funcionamiento del mismo.

Hace algún tiempo, trabajaba en los laboratorios del departamento de computación de la universidad, especialmente en un laboratorio que tenia 30 equipos, para conectar estos equipos utilizábamos dos switches L2 uno de 24 puertos 10/100 y otro de 16 puertos 10/100 con la siguiente Tolopologia.

Con el fin de evitar problemas de comunicación y brindar un poco de redundancia en la red de laboratorio, conecte un cable entre los switches de 24 y 16 puertos, por lo que comencé a notar que la red después de unos minutos presentaba problemas y la comunicación era imposible.

Configuración básica de switches cisco 2950, 2960 parte2

Una vez que se han realizado las configuraciones básicas en un switch, cualquiera que sea la marca es recomendable verificar la configuración actual o normalmente conocida running-config, este realmente es el nombre del archivo de configuración actual, los comandos que expondré a continuación funcionan igual aunque no se hayan realizado las configuraciones básicas, sin embargo resulta poco atractivo visualizarlos de esa manera.

Para documentar estos comandos utilizo un software llamado Cisco Packet Tracer la versión 5.3.1, aunque en algunos casos utilizo información tomada de switches reales.

Configuración básica de switches cisco 2950, 2960 parte1

Normalmente al comprar un switch cisco, basta con encenderlo y este comenzara a funcionar. Sin embargo todos los puertos por defecto pertenecen por defecto a la vlan 1, a demás tendrá las configuraciones generales. En esta sección presentare algunos comandos para configurar las necesidades básicas de un switch cisco 2960, por medio de la CLI.

Para acceder a modo de configuración usuario privilegiado es necesario introducir el comando enable
Switch>enable
Switch#

Posteriormente para acceder a modo de configuración global

switch#configure terminal   o bien puede ser switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

Soporte de vlans y 802.1q en Linux OpenSuse

En esta semana un amigo me consulto como podía hacer para resolver un problema con un servidor en Linux con una sola tarjeta de red y quería configurar squid, dns, apache y dhcp. El problema se debe a que antes lo había realizado con un servidor con dos interfaces de red.

Bueno acá esta una posible solución para este problema, principalmente porque en su trabajo tiene un switch administrable y se puede hacer uso de este recurso. Con esto se estara realizando la configuracion de un servidor linux con soporte de vlans y específicamente soporte del protocolo IEEE 802.1q.

La siguiente gráfica muestra el esquema tradicional que tenían antes de que se dañara el servidor. Con una interfaz publica y una conectada a la red privada.

Configuración de Túneles 6over4 (Mecanismos de transición de IPv4 a IPv6)

Uno de los mecanismos mas comunes para realizar pruebas de Interconexión de redes IPv6, son los tuneles 6over4, los cuales son utilizados para encapsular paquetes IPv6 , en una red IPv4 nativa, creando una red punto a punto entre dos máquinas que estén comunicándose por este protocolo.

Normalmente en un nodo Ipv6/IPv4 o dual stack para poder comunicarse con otro equipo por medio de una red IPv4, necesita de una interface de tunnel, en la cual sera configurada la direcciones IPv6, como se muestra en la gráfica.

Configuración de Túneles GRE con enrutadores Cisco

GRE (Generic Router Encapsulation), es un protocolo, que puede encapsular una amplia variedad de tipos de protocolos diferentes dentro de túneles IP, creando una red punto a punto entre dos máquinas que estén comunicándose por este protocolo. Su uso principal es crear túneles VPN, GRE, esta definido por los RFC 1701, 1702 y 2784.

Es importante conocer la necesidad a la hora de realizar la configuración de tunneles GRE, pues, podrían ser difíciles de manejar si la cantidad de los mismos crece demasiado. Estos tunneles resultan ser útiles cuando se necesita trabajar con un protocolo que no es enrutables como NetBIOS o con protocolos enrutables diferentes de IP a través de una red IP, actualmente el uso de GRE, se ha vuelto uno de los principales mecanismos de transición para la implementación de redes IPv6. Es decir es posible conectar dos islas IPv6 a través de tunnel Ipv4.

Enrutamiento entre Vlan con Switches Cisco de capa 3

Una vez que se tiene los conocimientos para configurar la red, mediante el uso de Vlan, resulta necesario que los usuarios de las diferentes subredes lógicas se comuniquen entre si. Para esto es necesario utilizar el enrutamiento entre vlan.

Existen muchas formas de realizar el enrutamiento entre vlan, tales como:

• Router on a Stick
• Enrutamiento Tradicional
• Enrutamiento entre vlans, con Servidor Linux

En esta ocasión describiré un poco sobre como configurar el Enrutamiento entre Vlan con switches L3, utilizando para esto un switch Catalyst 3750G-24PS, uno de los tantos switches de Cisco que admite el enrutamiento de Capa 3.

El ícono que representa el switch de Capa 3 se visualiza, es distinto a los iconos para representar un switch L2. Para poder entender la manera en que el switch L3 hace el proceso de enrutamiento es necesario, conocer un poco sobre las interfaces virtuales de los switches o SVI, por su sigla en inglés, que es la que realmente permite realizar el enrutamiento entre las vlan

Enrutamiento entre Vlan por medio de un Servidor Linux

Para comenzar a trabajar con vlan, es necesario conocer bien como funcionan, es decir conocer las definiciones básicas y la forma de funcionar de un entorno que trabaje con vlans.

El funcionamiento de las vlan se vuelve mas interesante cuando es combinado con lineas troncales, que permiten la multeplexación de múltiples vlan por medio de un solo enlace.

 

Cada frame que viene por el enlace troncal, viene etiquetado con una identificación de vlan (vlan identifier) de tal manera que así es posible que los equipos puedan posteriormente entregar la información solamente a las vlans donde pertenecen.

Topología del Laboratorio de Diseño de Redes LAN

Topología de Red a analizar, conformada por 5 subredes de usuarios y una red de servidores. Esta es una red segmentada por medio de enrutadores Linux, para su simulación se realizara por medio del uso de switches de capa 3.

 

Topología de la simulación realizada en Cisco Packet Tracer 5.31

Asignación de pool de direcciones IP externas dinámica usando NAT

En algunos casos, cuando se posee mas de una dirección IP Publica es posible desearse utilizar una asignación dinámica de las mismas para que los equipos de la red local puedan conectarse al Internet. Esto se logra mediante la configuración de un pool de direcciones IP en el enrutador que realiza el NAT.

Los comandos necesarios para realizar esta configuración se describen a continuación:

Configuración General del NAT y del pool de direcciones publicas
-------------------------------------------- 

Router#configure terminal
Router(config)#access-list 15 permit 192.168.2.0 0.0.0.255
Router(config)#ip nat pool NATPOOL 172.16.1.100 172.16.1.150 netmask 255.255.255.0
Router(config)#ip nat inside source list 15 pool NATPOOL 

Configuración de la Interface F0/0 (Internet)
--------------------------------------------
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 172.16.1.254 255.255.255.0
Router(config-if)#ip nat outside
Router(config-if)#exit 

Guia Para realizar actualizacion de IOS Cisco

Antes de iniciar a describir los pasos para realizar una actualización de un sistema IOS para un equipo cisco, le recomiendo que realice esta actividad solamente si es necesario.

1. Descargue una versión de IOS que necesita o que cumpla con los requerimientos de su sistema.

2. Instale un servidor FTP o TFTP ( recomiendo trabajar con el tftp server de solard wind) aunque otro puede servir.

3. Verifique que el enrutador tiene habilitada la opción ftp-server enable.

4. Realice los siguientes pasos.

Enrutamiento entre VLAN

El enrutamiento entre vlans o inter vlan routing, resulta necesario una vez que se posee una infraestructura de red con vlan implementadas, debido a que los usuarios necesitaran intercambiar información de una red a otra.

Es importante recordar que cada VLAN es un dominio de broadcast único. Por lo tanto, de manera predeterminada, las computadoras en VLAN separadas no pueden comunicarse.

Existe una manera para permitir que estas estaciones finales puedan comunicarse; esta manera se llama enrutamiento entre vlan (Inter vlan routing).

Comandos básicos de switches Cisco 2960, 2950

Esta pequeña guía de comandos incluye algunas de las configuraciones básicas que se realizan en switches de capa de acceso de una red lan, que implemente vlan. Encontraras información sobre configuración de vlan, enlaces troncales, configuraciones básicas de las interfaces, configuración de contraseñas a las terminales, acceso remoto a los dispositivos entre otros.

 

Configuración básica de un Switch Cisco 2960

Configuración de nombre
-----------------------------------------------------------------------------------------------------------
Switch# enable
Switch# configure terminal
Switch(config)# hostname Sw1_Central


Configuración de usuario y contraseña de enable
-----------------------------------------------------------------------------------------------------------
Sw#1_Centra# configure terminal
Sw#1_Central(config)# username admin pasword cisco
Sw#1_Central(config)# enable secret cisco ( ojo no se recomienda esta password)

Nota: si se desea que el usuario tenga privilegios de administración desde el comienzo el comando sera el siguiete: “username admin privilege 15 pasword cisco”

LAN Virtuales (VLANs)

El rendimiento de la red puede ser un factor en la productividad de una organización y su reputación para realizar sus transmisiones en la forma prevista. Una de las tecnologías que contribuyen al excelente rendimiento de la red es la división de los grandes dominios de broadcast en dominios más pequeños con las VLAN.

Los dominios de broadcast más pequeños limitan el número de dispositivos que participan en los broadcasts y permiten que los dispositivos se separen en agrupaciones funcionales, como servicios de base de datos para un departamento contable y transferencia de datos a alta velocidad para un departamento de ingeniería.

Presentación de las VLAN

Visión general de las VLAN

Una VLAN permite que un administrador de red cree grupos de dispositivos conectados a la red de manera lógica que actúan como si estuvieran en su propia red independiente, incluso si comparten una infraestructura común con otras VLAN. Cuando configura una VLAN, puede ponerle un nombre para describir la función principal de los usuarios de esa VLAN. Como otro ejemplo, todas las computadoras de los estudiantes se pueden configurar en la VLAN "estudiante". Mediante las VLAN, puede segmentar de manera lógica las redes conmutadas basadas en equipos de proyectos, funciones o departamentos. También puede utilizar una VLAN para estructurar geográficamente su red para respaldar la confianza en aumento de las empresas sobre trabajadores domésticos. En la figura, se crea una VLAN para los estudiantes y otra para el cuerpo docente. Estas VLAN permiten que el administrador de la red implemente las políticas de acceso y seguridad para grupos particulares de usuarios. Por ejemplo: se puede permitir que el cuerpo docente, pero no los estudiantes, obtenga acceso a los servidores de administración de e-learning para desarrollar materiales de cursos en línea.

VLAN TRUNKING PROTOCOL (VTP)

Conceptos del VTP

El desafío de administrar la VLAN
A medida que aumenta el número de switches en una red de empresas pequeñas o medianas, la administración general requerida para administrar las VLAN y los enlaces troncales en una red se vuelve un desafío.

¿Qué es el VTP?
El VTP permite a un administrador de red configurar un switch de modo que propagará las configuraciones de la VLAN hacia los otros switches en la red. El switch se puede configurar en la función de servidor del VTP o de cliente del VTP.