Declaración de intenciones...

En su día abrí este blog con el fin de animar a mis alumnos a tener un papel mas activo en el curso que les estaba impartiendo, lo cierto es que fue un curso muy corto (creo recordar 9 horas). El curso se acabó, los alumnos se fueron y ahí se quedo todo...

O al menos eso pensaba yo, por que el caso es que veo que otros blogger y visitantes están muy interesados en las pocas entradas que en su día puse e incluso hay más de un comentario al respecto. En primer lugar pediros disculpas por no responder, la razón no es otra que la de estar muy dedicado a otros menesteres y haber olvidado este.

Un Blog funciona si alguien lo lee, y como parece que este lo seguís leyendo no ya mis alumnos sino otra nueva clase que flota en la Blogosfera, pues me veo un poco obligado a retomar el asunto de la seguridad LAN.

Esta es mi declaración de intenciones:

Todo nuevo comentario que se registre a partir de este post tendrá su respuesta y empezaré a publicar nuevas entradas, precisamente estos días estoy configurando VLAN's con Tags e intento que funcionen entre Switchs de diferentes fabricantes, os contaré lo que sale de esto...

Operación Linux

No sería justo terminar estas sesiones sobre optimización y seguridad en redes de área local sin hablar de Linux. Si de optimizar se trata está claro que este sistema operativo marca una diferencia muy clara con respecto a Windows.

Imaginemos una red en la que no importa si el equipo conectado a la misma es un pentium II a 350 Mhz o un pentium IV a 3Ghz, por que cuando nuestros alumnos se conecten a Internet y utilicen como navegador a Mozilla o como procesador de textos a Open Office no van a notar la diferencia, ni mas lento ni mas rápido. Lo mismo, el nuevo y flamante equipo que el que hemos rescatado del desgüace. ¿Estoy delirando?. Pues no, el pasado viernes tuve la ocasión de comprobarlo por mi mismo en el C.P. Primo de Rivera de Laredo. Si señor, 24 equipos colgados de un servidor Linux con una distro Gentoo, con un cableado y una electrónica de red muy económica, pero navegando todos a toda mecha.

Y lo mas llamativo es que los equipos, no son equipos..., me explico: en realidad son consolas que lo único que hacen es visualizar una señal de video, las aplicaciones se ejecutan en el servidor. Para muestra la fotografía de la izquierda en la que vemos una unidad central sin disco duro, con 32 MB de RAM, con un PII, tarjeta de red y tarjeta gráfica, nada más, está vacio, consume hasta menos, es ecológico, es reciclado, es la forma más barata de hacer que todos los chavales de esta aula de primaria accedan a Internet y utilicen los recursos didácticos que les están esperando en portales como por ejemplo Educantabria.

Para estar seguro de que esto funcionaba le pedí a Pablo Cañarte de pc@son (foto a la derecha) que comprobásemos el rendimiento real de la red cuando los contenidos solicitados comenzaran a ser más pesados. Para ello probamos con Google Maps desde un terminal y desde otro medimos los valores en % de utilización de red y en tiempo real. El resultado fué impresionante con valores medios inferiores al 6% y picos máximos del 10%.

Operación Linux significa que durante este curso en los ciclos formativos de I.E.S. Marismas migraremos de nuestros servidores NT a Linux, pronostico una nueva vida para toda la chatarra que estábamos almacenando en los rincones del centro. Ya no tendremos por que temer que casque el disco duro...

Si se trata de optimizar redes, esta operación se lleva la palma.

Marchando un experimento con fuego.

Estoy de acuerdo con la popular frase:

"Experimentos con la gaseosa".

He preparado para mañana una demostración práctica de como configurar cortafuegos sin que nadie salga chamuscado. El punto de partida serán dos accesos inalámbricos a los que os asociaréis con cualquier cacharro electrónico que os traigáis y que tenga un adaptador de red WiFi (802.11b/g).


Cuando estemos todos asociados al club realizaremos pruebas de conectividad, veremos que el router que esta funcionando como servidor DHCP nos ha asignado una dirección IP, puerta de enlace y servidor DNS que nos permita acceder a Internet. Estaremos entonces en una idílica red "peer to peer", un maravilloso entorno de confianza, no creo que nadie se dedique a curiosear en los equipos de los demás...

El siguiente paso sólo es para quien no se fíe de los mundos de verdes praderas y conejitos saltando entre flores de colores que no quieren mordisquear por ser tan bonitas ( ya sabéis, me refiero a los Teletubbies).

Entre la red troncal y el AP PRETIC01 vamos a colocar un cortafuegos, veremos como ahora ya no estamos juntos, sin embargo todos tendremos ocasión de seguir navegando por Internet. Pero no queda aquí la cosa, el cortafuegos puede ser configurado con reglas de filtrado o inspección de paquetes SPI.

¿Podemos hacerlo? Sí, podemos.

Como saber la longitud de un cable UTP.

Mientras que estudio el esquema de red que he recibido del I.E.S. La Granja me doy cuenta de la posibilidad de que algunos de los cableados que se han realizado superen las distancias máximas establecidas. Nosotros tenemos analizadores de cableado y un flamante certificador recien adquirido que nos permite hacer una "auditoría" de la calidad de la red cableada (hasta Categoría 6). Se entiende que esto sea así debido a que en nuestros ciclos formamos profesionales que luego desempeñaran estas actividades, pero lógicamente no tiene por que pasar lo mismo con otros centros.
No obstante existe un truco para conocer la longitud de un cableado UTP sin falta de ser un "profesional". Los cables UTP llevan en su cubierta unas cifras grabadas en las que se puede identificar el fabricante, la categoría del cable y un número que marca cada metro tendido. En la fotografía podemos ver que dicha cifra es 65604. Pues bien, no tenemos más que ir al otro extremo del cable y anotar la cifra que leamos allí, pongamos por caso 65632.

Restando ambas: 65632 - 65604 = 28 m

Obtenemos la longitud aproximada del enlace (28 m), recordad que no debe superar los 90 m.

Nota: Si tu cableado no es UTP de Categoría 5 (como mínimo), uf.. pues... en fin, para que andar con rodeos, yo te aconsejo que presentes tu dimisión inmediatamente como responsable de la optimización de la red o de lo que sea, hay serias posibilidades de que tu salud se deteriore intentado que ese trasto funcione.

Enredando con los routers...

Aquí se impone desde el primer momento un principio de máxima prudencia. Si os equivocáis y dejáis a vuestro router colgado y por tanto vuestro centro incomunicado, una horda de enfurecidos usuarios "off-line" os pedirán airadas explicaciones, no faltará quien comente en los cafés: "Si no sabe... ¿Para qué anda enredando? . También podemos considerar el caso en el que vuestra configuración tenga éxito, pero nadie se va a enterar, nadie os va a felicitar, en fin, la elección está en vuestra mano.

A esta paradoja yo la denomino "La miseria del bienintencionado".

Por lo visto el router Zyxel 660HW es muy popular en nuestras instalaciones, lamentablemente se trata de un equipo doméstico (SOHO) con características limitadas, esta es una tendencia común de todas las operadoras de telecomunicaciones, los routers que instalan cada vez son más cutres. Lejos queda el legendario Office Connect Remote 812 de 3Com que se ponía en las primeras líneas ADSL, el que lo tenga que lo conserve, se calienta bastante pero es una joya.

Existen tutoriales en Internet que nos pueden ayudar a sentirnos más seguros a la hora de configurar estos equipos, normalmente las explicaciones están desglosadas paso a paso y son fiables, lógicamente cada uno debe hacer las particularizaciones adecuadas a sus necesidades.

• Como mapear puertos en el Zyxel 66oHW, por ejemplo para montar un servidor web o FTP.
• Como filtrar paquetes de datos en función de reglas establecidas el elegante y versátil Office Connect Remote 812.

Los ejemplos de los enlaces provienen de la activa comunidad de adslayuda.com

Actividades previstas para la siguiente sesión.

El próximo jueves 5 de octubre, además de pasar mucho calor, vamos a repasar una serie de técnicas que nos permitirán mejorar la eficiencia de nuestras redes y de paso aumentar su seguridad. Es deseable que quien disponga de un ordenador portátil con adaptador de red inalámbrico lo lleve, lo integraremos en la red y así podrá seguir de primera mano las explicaciones.

• Es mi intención comenzar analizando uno de los esquemas de red que me habéis enviado. Propondré una solución de optimización para el I.E.S. José María Pereda ya que veo que tienen un esquema de red que puede considerarse representativo de nuestros centros. Se trata de más de 50 equipos en red con dos accesos diferenciados de banda ancha: uno por cable-modem (ONO) y otro ADSL, existen distintos segmentos de utilización, uno de ellos es Wi-Fi
• A continuación continuaré con el asunto del funcionamiento de los puertos TCP/UDP en la capa de transporte, no pretendo ser un pelma, pero esta cuestión si no se entiende aunque sea mínimamente impide plantear con éxito ninguna estrategia de seguridad.
• Para finalizar pediré a quien haya traido su equipo portátil y este asociado a uno de los dos puntos de acceso inalámbricos del aula, que participe en las pruebas que haremos una vez configurados los cortafuegos, la práctica estará abierta a cualquier duda que me queráis plantear, haremos trastadas hasta que salga humo (de los equipos, se entiede).

Espero que todo esto os resulte útil.

Descubriendo quien es quien en la red.

Para descubrir quien es quien en la red de nuestro centro, o quien está activo y que función desempeña tendremos que combinar dos operaciones:

1. Con una libreta y un lapiz nos pasearemos por todo el edificio y buscaremos armarios y dispositivos de electrónica de red anotando los que haya en cada uno: hubs, switches, routers, servidores, conversores de medio, puntos de acceso, servidores de impresión, etc. También anotaremos la marca y modelo de cada uno de ellos. (Todos estos dispositivos deben estar inventariados por APD para la Consejería, así que te puedes ahorrar el paseo si el/la secretario/a de tu centro te proporciona un listado del inventario de equipos informáticos).
   
2. Con un portátil nos conectaremos al segmento principal o troncal de la red y ejecutaremos uno de los muchos programas que existen para explorar la misma y descubrir los dispositivos que se encuentren activos. Estos programas han sido diseñados para facilitar la vida a los administradores de las redes, pero de rebote también se la facilitan a los curiosos o a los amigos de lo ajeno, así que es posible que el antivirus de tu equipo te avise de que se trata de un programa potencialmente peligroso o no te facilite su instalación.

De los muchos programas disponibles os hago la siguiente selección:

• Angry IP scanner 2.21, es sin duda mi favorito. Llegué a esta estupenda herramienta para escanear direcciones IP activas aconsejado por un alumno entusiasta de las redes y de Linux. Angry IP aparte de ser un programa muy compacto puede ser ejecutado directamente desde su página web.
  
• De SuperScan v4.0 ya he hablado en otro artículo anterior. Además de detectar la actividad en los puertos TCP/UDP, puede escanear cualquier rango IP y agrupa comandos como tracert, ping, whois, etc.
• En un plano profesional hay herramientas software como LanSurveyor 9.6 capaces de explorar nuestra red, detectar dispositivos de electrónica de red y dibujar un esquema de la misma, para finalizar pudiendo exportar el mismo a Visio, todo ello automáticamente mientras que nos tomamos un cafetito y arreglamos el mundo.

Sería estupendo que respondieseis a este articulo comentado otras herramientas de escaneo de redes que conozcáis, me gustaría echarles un vistazo para comentarlas el próximo jueves.