Como implementar un EasyIDS en la Red

Como dije anteriormente EasyIDS es un excelente conjunto de herramientas de Linux, basada en CentOS, que permite configurar de manera rápida un sistema de detección de Intrusos potente, mediante el uso de la herramienta Snort al igual que otra herramienta de red tan potente y sencilla como es  Ntop.

Sin embargo no explique la manera en que EasyIDS obtenía los datos de la red, hoy explicare brevemente la manera en que realice la conexiones para echar a andar mi pequeño IDS, cabe mencionar que actualmente esta funcionando y recibiendo trafico de al menos unas 500 Computadoras.

Configuración de un spam port en Switch Cisco

Enrutamiento entre vlan, utilizando un Switch Cisco L3 y un servidor dhcp en Linux

Saludes esta vez tratare un pequeño caso de estudio que esta conformado por un servidor dhcp en Linux, para dos vlans (vlan 10 y vlan 20), el cual esta conectado a un switch Cisco L3, tal como aparece en el diagrama.

En este ejemplo, las nubes naranjas representan los equipos de red conectados a los puertos 1-10 de cada switch L2 y las nubes blancas representan los equipos de red conectados a los puertos 11-20.

Nagios, Monitorización de Routers y Switches

En esta publicación, explicare brevemente el proceso de monitorizar un switch cisco por medio de la herramienta nagios, el proceso para monitorizar un enrutador es el mismo. Es importante recordar que solamente es posible monitorizar dispositivos que sean administrables.

Los equipos no administrables no pueden ser monitorizados de ninguna manera, debido a que estos no poseen una dirección IP. La selección de equipos de telecomunicaciones no administrables, realmente dependerá de los alcances que se pretenden en una red.

En este caso explicare la forma de monitorizar un switch cisco modelo 2950T de 24 puertos, para este equipo verificaremos las perdidas de paquetes, tiempo de respuesta y verificaremos el tiempo que este ha estado disponible, mediante el uso de snmp.

Configuración del Spanning Tree (Definir el Root Bridge)

Una vez que ya se ha comprendido el modo de funcionar del algoritmo que utiliza STP para crear una red convergente, es importante iniciar con el proceso de configuración de la topología, para definir el Root Bridge. 

Para demostrar el funcionamiento se presenta una topología configurada de tal manera que se puede ver que la topología ha convergido de manera automática. Sin embargo no es lo que realmente se requiere en la vida real.

 

Segun la imagen se puede ver a simple vista que el sw#3 ha sido el ganador y definido como el Root Bridge (Puente Raíz), sin embargo para nuestro ejemplo realizaremos las configuraciones necesarias para que sea el sw#1 el Root Bridge.

Configuración básica de Switches Dell 3424, 5324, 3324, 5424

Realizar la configuracion básica de un switch L2, en la marca Dell es muy similar al proceso para configurar un equipo Cisco, sin embargo lo complicado radica en aprenderse los comandos, pues estos varían un poco. Los comandos expuestos a continuación son útiles para switches de la familia 3300, 3400, 5300, 5400 5500.

Algunos comandos pueden variar de acuerdo a la version del firmaware instalado en el switch, pero por lo general, estos comandos funcionaran.

Configuración de nombre
-----------------------------------------------------------------------------------------------------------
Switch> enable
Switch# configure
Switch(config)# hostname Sw1_Central

Herramienta de monitoreo de Red "Smokeping"

Smokeping es una herramienta de monitoreo de red, similar a MRTG, permite medir la latencia de la red de acuerdo a ciertos destinos. Permite visualizar los resultados por medio de una interface gráfica muy sencilla. Utiliza RRDtool para graficar y almacenar la información, permitiendo utilizar eficientemente los recursos del equipo monitor. Es una herramienta sencilla de instalar y configurar.

En este caso explicare brevemente el proceso de instalación de smokeping en un PC, con sistema operativo Ubuntu server 11.04

Proceso de instalación:

derman@netadm2# sudo su

derman@netadm2# apt-get install smokeping

Este comando instalara los paquetes necesarios por la aplicación, de manera automática.

Modificar access-list Switch Dell PowerConnect 5324

PowerConnect 5324 

Al querer modificar una lista de control de acceso en un Switch marca Dell PowerConnect 5324, con versión de software 1.0.0.45,  me encontré con un pequeño problema, al querer cambiar la dirección IP del servidor que realiza la colecta de snmp. Es decir quería cambiar la dirección IP del servidor 192.168.120.200 por el nuevo servidor donde corre Cacti 192.168.120.78. Ver mas sobre Cacti>>

Para lo cual di los siguientes comandos, donde ACESO-only es el nombre de la access list que estaba corriendo.

switch1#
switch1# configure
switch1(config)# management access-list ACESO-only

Configuración básica de switches cisco 2950, 2960 parte2

Una vez que se han realizado las configuraciones básicas en un switch, cualquiera que sea la marca es recomendable verificar la configuración actual o normalmente conocida running-config, este realmente es el nombre del archivo de configuración actual, los comandos que expondré a continuación funcionan igual aunque no se hayan realizado las configuraciones básicas, sin embargo resulta poco atractivo visualizarlos de esa manera.

Para documentar estos comandos utilizo un software llamado Cisco Packet Tracer la versión 5.3.1, aunque en algunos casos utilizo información tomada de switches reales.

Configuración básica de switches cisco 2950, 2960 parte1

Normalmente al comprar un switch cisco, basta con encenderlo y este comenzara a funcionar. Sin embargo todos los puertos por defecto pertenecen por defecto a la vlan 1, a demás tendrá las configuraciones generales. En esta sección presentare algunos comandos para configurar las necesidades básicas de un switch cisco 2960, por medio de la CLI.

Para acceder a modo de configuración usuario privilegiado es necesario introducir el comando enable
Switch>enable
Switch#

Posteriormente para acceder a modo de configuración global

switch#configure terminal   o bien puede ser switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

Configuración de un Servidor DNS, en Linux

BIND es el servidor DNS más comúnmente implementado en Sistemas Operativos Linux, y actualmente el más usando en Internet. Es uno de los protocolos mas importantes para el funcionamiento de Internet. Su trabajo principal consiste en la resolución de nombres a direcciones IP. Para ver mas >>

En esta ocasión realizare una pequeña configuración de un servidor DNS básico una zona DMZ, en la cual se pretende existan un par de servidores, un servidor web y uno de correo,, aunque bien podrían ser unos cuantos mas.

Configuraciones previas que debe tener el servidor DNS

Lo primero que hay que hacer en el servidor es configurar el nombre del servidor, que funcionara como Servidor DNS, posteriormente necesitamos realizar la configuración básica de red, para poder luego iniciar la configuración del servicio DNS.

Herramienta de monitoreo de Red "fping"

Para seguir hablando sobre el tema de monitoreo de la red, algunas veces es necesario realizar una prueba rápida sobre los equipos que se encuentran actualmente conectados en la red. para saber si un equipo esta conectado actualmente es posible utilizar el comando arping (para ver mas >>> herramienta arping) siempre y cuando el equipo se encuentre en el mismo segmento de red que la computadora desde donde realizamos el diagnostico. Otra opción es utilizar el comando ping (para ver mas >>> diagnostico con ping) este tiene la característica de hacer la prueba aunque los equipos no estén en el mismo segmento de red.

Sin embargo ninguna de estas herramientas resulta útil cuando se desea realizar el diagnostico sobre un grupo de equipos mas grande, por lo que recomendare el uso del comando fping para realizar esta pequeña tarea, mientras da tiempo para tomarse un delicioso café.

Prueba básica de conexión a Red, comando ping

Como siempre sucede en el mundo de la informática, cerca de la hora de salida, llama algún usuario indicando que tiene problemas de conexión de red, y puede resultar que no sabe si el problema se debe a problemas de conexión física, problemas con el dns, enrutamiento o al fin quien sabe.

Un usuario con poca experiencia o poco conocimiento, podría considerar que revisar esto puede ser algo tedioso o bien considerar que es necesario utilizar un conjunto de herramientas de administración de redes complicadas o costosas, sin embargo para resolver estos problemas se pueden utilizar las herramientas mas sencillas y gratis, tales como ping.

Herramienta de monitoreo de Red "arping"

arping es una herramienta de monitoreo de red, que se utiliza para detectar si un equipo esta activo o bien si existe problemas con direcciones ip duplicadas. Esta herramienta funciona de manera similar al ping, sin embargo ping utiliza el protocolo icmp el cual es enrutable y funciona para hacer pruebas a nivel de capa 3 del modelo OSI, por el contrario arping opera a nivel de capa 2, ya que utiliza el protocolo ARP para verificar si los equipos están disponibles o no.

Esto ultimo es muy importante de saberlo para comprender el uso de esta herramienta de red, ya que arping funciona solamente dentro de la red local (el segmento de red al que pertenece un equipo) Es decir si existen dos redes separadas por un enrutador(dispositivo de capa 3) no podría alcanzar a otro equipo que se encuentre fuera de la subred a la que pertenece, según la imagen siguiente, la pc con dir ip 192.168.10.10 al realizar un arping a la dirección 192.168.20.10, obtendría como resultado la dirección mac de la interface del router conectado a su subred.

Dos subredes, definidas por el enrutador

Soporte de vlans y 802.1q en Linux OpenSuse

En esta semana un amigo me consulto como podía hacer para resolver un problema con un servidor en Linux con una sola tarjeta de red y quería configurar squid, dns, apache y dhcp. El problema se debe a que antes lo había realizado con un servidor con dos interfaces de red.

Bueno acá esta una posible solución para este problema, principalmente porque en su trabajo tiene un switch administrable y se puede hacer uso de este recurso. Con esto se estara realizando la configuracion de un servidor linux con soporte de vlans y específicamente soporte del protocolo IEEE 802.1q.

La siguiente gráfica muestra el esquema tradicional que tenían antes de que se dañara el servidor. Con una interfaz publica y una conectada a la red privada.

Configuración Básica de Red en Linux

Muchas de las distribuciones de Linux, en la actualidad poseen herramientas para configurar los parámetros básicos para la conexión de la red por medio de interfaces gráficas, sin embargo en algunas ocasiones resulta mas fácil Les dejo la serie de comandos que necesitan para cambiar una ip en Linux por medio del shell (o consola o linea de comandos).


El comando ifconfig, permite definir los parámetros de red para los diferentes dispositivos, por ejemplo para el caso de la interfaces eth0 y eth1 los comandos son los siguientes, como se puede ver existen varias formas de configurar lo mismo.
Ejemplo:

    ifconfig eth0 192.168.1.10 netmask 255.255.255.0 o bien ifconfig eth0 192.168.1.10/24
   
    en caso de tener otra segunda tarjeta el comando seria el siguiente:

    ifconfig eth1 192.168.2.10 netmask 255.255.255.0 o bien ifconfig eth1 192.168.2.10/24

Comandos básicos en Linux

Si bien es cierto la interface de usuario gráfico, la igual que los escritorios kde y gnome han avanzado tanto, facilitando al usuario de linux la interacción con el sistema, siempre resulta necesario utilizar mas de un comando para mejorar el sistema, o bien alguna vez que se comprometa el sistema y no nos permita cargar la interface gráfica, claro, para aquellos amantes de los comandos, los cuales no pueden vivir sin acceder a una consola o terminal.

Los comandos que utilizare en este texto están orientados a bash, aunque funcionan muy bien en otra terminal como la sh.

Editar Textos.

El editor de texto vim, versión actualizada del editor vi, desarrollado a inicio de los 90s, muy popular por tratarse de un editor de texto que se manipula totalmente desde el teclado. para utilizarlo basta con introducir el siguiente comando:

[usuario@maquina usuario]$ vim arch1.txt

Configuración del reloj vía comandos en Linux

Muchas veces al trabajar con algunos pequeños servidores virtuales de prueba, he encontrado que la hora no es la correcta, por haber mandado a hibernar el host. En sistemas con entorno gráfico no es complicado para nada realizar el cambio, sin embargo al trabajar con entornos de solo texto, resulta necesario conocer los comandos necesarios para realizar el cambio, al final resulta mas fácil realizar lo por medio de comandos una vez que se logra acostumbrarse.

Para cambiar la hora del sistema usaremos el comando date, sin embargo hay que tener en cuenta que al reinicializar el equipo, tomara la hora de la BIOS y nos volverá a colocar la hora anterior, para evitar esto cambiaremos también la hora de la BIOS con el comando hwclock como se detalla a continuación:

Configuración de Túneles 6over4 (Mecanismos de transición de IPv4 a IPv6)

Uno de los mecanismos mas comunes para realizar pruebas de Interconexión de redes IPv6, son los tuneles 6over4, los cuales son utilizados para encapsular paquetes IPv6 , en una red IPv4 nativa, creando una red punto a punto entre dos máquinas que estén comunicándose por este protocolo.

Normalmente en un nodo Ipv6/IPv4 o dual stack para poder comunicarse con otro equipo por medio de una red IPv4, necesita de una interface de tunnel, en la cual sera configurada la direcciones IPv6, como se muestra en la gráfica.

Configuración de Túneles GRE con enrutadores Cisco

GRE (Generic Router Encapsulation), es un protocolo, que puede encapsular una amplia variedad de tipos de protocolos diferentes dentro de túneles IP, creando una red punto a punto entre dos máquinas que estén comunicándose por este protocolo. Su uso principal es crear túneles VPN, GRE, esta definido por los RFC 1701, 1702 y 2784.

Es importante conocer la necesidad a la hora de realizar la configuración de tunneles GRE, pues, podrían ser difíciles de manejar si la cantidad de los mismos crece demasiado. Estos tunneles resultan ser útiles cuando se necesita trabajar con un protocolo que no es enrutables como NetBIOS o con protocolos enrutables diferentes de IP a través de una red IP, actualmente el uso de GRE, se ha vuelto uno de los principales mecanismos de transición para la implementación de redes IPv6. Es decir es posible conectar dos islas IPv6 a través de tunnel Ipv4.

Mostrar información de CPU en Linux - Número de CPUs, Velocidad...

Alguna vez has tenido la necesidad de ver las características de tu procesador bajo ambiente Linux y no has encontrado la forma de hacerlo, pues bien, en el sistema de archivos de Linux encontramos el directorio proc (/proc) que es un pseudo-sistema de archivos utilizado como una interfaz a las estructuras de datos del kernel o núcleo del sistema.

Mostrar información de la CPU

Para obtener la información sobre nuestro CPU se necesita hacer uso del archivo cpuinfo que está bajo el directorio proc (/proc/cpuinfo). Este archivo contiene información acerca de la CPU tal como fabricante, familia, modelo, nombre del modelo que permite identificarlo fácilmente por su nombre comercial, velocidad del reloj, tamaño del caché, núcleos, banderas, entre otro tipo de información.

Para ver la información que se menciona basta con ejecutar el siguiente comando: