Descubriendo quien es quien en la red.

Para descubrir quien es quien en la red de nuestro centro, o quien está activo y que función desempeña tendremos que combinar dos operaciones:

1. Con una libreta y un lapiz nos pasearemos por todo el edificio y buscaremos armarios y dispositivos de electrónica de red anotando los que haya en cada uno: hubs, switches, routers, servidores, conversores de medio, puntos de acceso, servidores de impresión, etc. También anotaremos la marca y modelo de cada uno de ellos. (Todos estos dispositivos deben estar inventariados por APD para la Consejería, así que te puedes ahorrar el paseo si el/la secretario/a de tu centro te proporciona un listado del inventario de equipos informáticos).
   
2. Con un portátil nos conectaremos al segmento principal o troncal de la red y ejecutaremos uno de los muchos programas que existen para explorar la misma y descubrir los dispositivos que se encuentren activos. Estos programas han sido diseñados para facilitar la vida a los administradores de las redes, pero de rebote también se la facilitan a los curiosos o a los amigos de lo ajeno, así que es posible que el antivirus de tu equipo te avise de que se trata de un programa potencialmente peligroso o no te facilite su instalación.

De los muchos programas disponibles os hago la siguiente selección:

• Angry IP scanner 2.21, es sin duda mi favorito. Llegué a esta estupenda herramienta para escanear direcciones IP activas aconsejado por un alumno entusiasta de las redes y de Linux. Angry IP aparte de ser un programa muy compacto puede ser ejecutado directamente desde su página web.
  
• De SuperScan v4.0 ya he hablado en otro artículo anterior. Además de detectar la actividad en los puertos TCP/UDP, puede escanear cualquier rango IP y agrupa comandos como tracert, ping, whois, etc.
• En un plano profesional hay herramientas software como LanSurveyor 9.6 capaces de explorar nuestra red, detectar dispositivos de electrónica de red y dibujar un esquema de la misma, para finalizar pudiendo exportar el mismo a Visio, todo ello automáticamente mientras que nos tomamos un cafetito y arreglamos el mundo.

Sería estupendo que respondieseis a este articulo comentado otras herramientas de escaneo de redes que conozcáis, me gustaría echarles un vistazo para comentarlas el próximo jueves.

La red de datos es una infraestructura más.

Que se inaugure un nuevo centro de enseñanza siempre es una buena noticia, que además en su construcción se hayan empleado materiales de calidad, se cuiden detalles de habitabilidad o de iluminación natural es lo menos que se puede pedir en una sociedad moderna. A nadie le cabe en la cabeza que un estudio de arquitectos diseñe un centro y se olvide de incluir en los planos las tuberías de la calefacción, el cuarto de calderas, las canalizaciones de baja tensión o la ubicación de los cuadros eléctricos, esto son infraestructuras básicas y sería impensable no contemplarlas.

¿Entonces que pasa con el soporte físico de las redes de datos?
¿Por qué no se tienen en cuenta canalizaciones, las tomas de voz/datos y los cuartos en los que esté la electrónica de red cuando se diseña un nuevo edificio?
¿Son las redes de nuestros centros infraestructuras básicas? A mi me parece que sí.

Alguien podría decir: Todo esto es demasiado nuevo y todavía no esta definida una reglamentación que regule con claridad estas infraestructuras en el interior de edificios... ERROR!

• La primera desde 1991 la superconocida EIA/TIA-568
  
• Desde 1994 y a nivel internacional ISO/IEC 11801
• Desde 1995 y a nivel Europeo CEN/CENELEC EN50173
• En nuestro país AENOR desde enero de 2004 ha ratificado EN50173
  

Estas normas especifican muy claramente como se debe implementar un cableado estructurado de voz y datos tanto para redes grandes como pequeñas, los requisitos técnicos, las canalizaciones y cuartos de comunicaciones, las medidas de seguridad, la documentación de la instalación...

EN50173 es de obligado cumplimiento en las contrataciones públicas en el entorno de la UE.

¡Qué curioso!

Modelo básico de red

La figura muestra un modelo básico de red en el que distinguimos las siguientes partes:

• Un dominio central en el que se encuentran servidores, web, FTP, PDC y de aplicaciones.
• Un dominio corporativo con sus propios servidores separado del principal por un cortafuegos.
• Un cortafuegos protegiendo la conexión con Internet y las de usuarios remotos.

Las redes de nuestros centros no siguen exactamente este modelo, si es que siguen alguno concreto. No obstante si guardan un cierto parecido ya que todas han ido creciendo sin ninguna planificación, a medida que se han conectado más equipos se han encadenado más concentradores con una salida final que es la conexión a Internet.

Pregunta: ¿Que pasa si un usuario asociado a la red inalámbrica (Segmento 6) quiere acceder a las aplicaciones que se han instalado en los servidores del segmento 4?
Respuesta: Esta conexión de red va a implicar a todos los segmentos de la red excepto al segmento 5, no esta mal la jugada, si las aplicaciones del segmento 4 son muy solicitadas, la eficiencia de nuestra red comenzará a resentirse.
Parche: Cuelga el servidor de aplicaciones del segmento 1, si es posible...

Los parches funcionan solo durante una temporada, tarde o temprano tendremos que irnos al esquema de la primera figura, todos los servidores de aplicaciones importantes en un dominio y en un mismo segmento troncal, el resto conectados directamente al mismo y regulados por cortafuegos.

netstat es un poco árido.

Si, para que engañarnos, netstat es un rollo.

La cosa tiene alguna que otra solución para los sufridos usuarios de Windows, para los de Linux no puedo decir más que las soluciones son infinitas...

No obstante y ya que casi todos habéis sufrido W9x, padecido WMe, y ahora estáis con WXP (preparaos para W Vista) os paso una relación de software compatible con estos sistemas capaz de explorar puertos y mandar de paseo a netstat.

• Superscan de McAffe (Gratuita)
• Un clásico de Sysinternals
• El que yo llevo en mi portátil.
  

Conocer los puertos para saber que pasa.

A la pregunta de ¿Por qué no funciona bien un equipo de mi red? no hay una respuesta única. No obstante si descartamos que los cables no están conectados al revés y que la electrónica de red la hayamos comprado en un mercadillo, si que podemos responder con otra pregunta: ¿Has mirado que puertos mantiene abiertos el susodicho?. Respuesta más común: Si, pero no entiendo lo que veo...

Afortunadamente hay gente que se dedica a recopilar información al respecto y que la publica de forma desinteresada en Internet (no se por que extraña razón tienen la costumbre de hacerlo en inglés). De esta forma podemos saber que puertos emplean los virus troyanos, los sistemas operativos, el correo electrónico, los navegadores, etc..

He aquí una pequeña selección:

• Una lista de los puertos más significativos más bonita que la de la IANA.
• Kurt Seifried tiene identificados ni más ni menos que 8.547 puertos....
• La Wikipedia no se queda atrás.
• Una herramienta de búsqueda para los más cómodos.

Bien, ahora solo queda practicar en vuestros huecos libres, ya sabéis, esos rectángulos en blanco que os han dejado en vuestra tabla de horario, vuestros estimados y queridos compañeros del equipo directivo.

Capa de transporte

El protocolo TCP/IP se sirve en esta capa de los denominados puertos TCP y UDP, estos puertos se representan por un número binario de 16 bits por los que puede haber 65.536 puertos distintos de los que aproximadamente 4.000 tienen un uso definido. En este enlace puedes ver la lista oficial del servicio asociado a cada uno de los llamados "puertos bien conocidos".

Los puertos TCP y UDP permiten a un equipo mantener varias conexiones simultáneas con otros de la red, multiplexando los paquetes de datos de acuerdo al puerto origen-destino y la dirección IP origen-destino.
A la combinación de IP origen, puerto origen, IP destino, puerto destino se la denomina "socket" y se dice que identifica de forma unívoca una conexión de red.
En ocasiones se habla de los términos IP/puerto local e IP/puerto remoto, lo cual a veces ayuda a entender mejor la informacion de un "socket".

La forma más elemental de ver como funciona esto en la práctica es mediante el comando netstat ejecutado desde un equipo que se encuentra utilizando distintos servicios de red.

Cortafuegos para optimizar nuestra red

Una vez que la estructura de la red en las capas física, de enlace y de red ya se encuentra establecida y organizada, nos vamos a fijar en la capa de transporte. O dicho de otra manera, ordenaremos el tráfico de datos por la red en función de la utilización que se haya previsto para cada parte de la misma.

Los cortafuegos introducen un nivel de seguridad imprescindible y de paso permiten que de una forma eficaz podamos conseguir que la red se emplee para los fines que ha sido diseñada. Distinguiremos tres tipos de cortafuegos:

• Software
• NAT
• SPI / Reglas de filtrado

Los cortafuegos Software proporcionan protección individualizada a los equipos, su configuración y mantenimiento es costoso pues hay que hacerla equipo por equipo.

El cortafuegos NAT opera en dispositivos de capa 3, generalmente en el router que une la red de nuestro centro con Internet. NAT funciona de tal forma que todos los equipos de nuestra red son vistos desde el exterior como una única dirección IP. El router maneja una tabla de asignaciones dinámica para poder determinar a quien debe enviar cada paquete de datos. En ocasiones es necesario ajustar una entrada estática (mapear una dirección IP, o abrir puertos) para poder, por ejemplo, montar un servidor FTP.

Los cortafuegos SPI y las reglas de filtrado permiten inspeccionar todos los paquetes de datos que fluyen a través del router, mediante las llamadas reglas de filtrado se logra un nivel superior de seguridad. La potencia de este tipo de cortafuegos debe ser manejada con cierto conocimiento de la capa de transporte y los puertos, si no queremos que se vuelva en nuestra contra.

Documentar la red

En ocasiones escucho a compañeros quejarse del mal funcionamiento de la red de su centro y cuando me piden consejo siempre nos encontramos con la dificultad de concretar exactamente de que estábamos hablando. En definitiva, siempre se echa en falta una documentación precisa y completa de la red.

Documentar la red de nuestro centro es el gran paso previo a la implementación de cualquier mecanismo de seguridad. Existen gran cantidad de aplicaciones específicamente diseñadas para este propósito y que nos pueden ayudar bastante. El proceso de documentación es laborioso y exige dotes de perseverancia e incluso de investigador, aunque cueste mucho trabajo es un punto de partida ineludible, si os lo saltáis, tarde o temprano tendréis que volver a él, lo digo por experiencia propia.

Yo me ayudo de la herramienta denominada Visio 2003 de Microsoft. Podéis consultar algunos de los esquemas de la documentación de la red de datos del I.E.S. Marismas, quizás os puedan servir de ejemplo.

1. Documentación del subsistema troncal del cableado estructurado.
2. Documentación del subsistema de cableado horizontal.
3. Documentación de la electrónica de red.
4. Documentación de segmentaciones VLAN
5. Documentación del esquema de red.
6. Documentación de inventario y ubicación de equipos.

Visio 2003 consigue unos esquemas muy claros y efectivos, además cada figura u objeto puede almacenar propiedades en una base de datos interna, algo extremadamente útil por ejemplo para llevar el inventario de los medios informáticos, si eres o has sido secretario de tu centro seguro que sabes de que hablo.

Soluciones de seguridad para la red inalámbrica.

Antes de nada dos puntos a tener en muy en cuenta...

1. Si con tu red cableada los aspectos de seguridad no te tenían preocupado, no tiene mucho sentido que ahora te obsesiones con la inalámbrica, seguramente no tengas necesidad de proteger ni organizar ninguna de las dos, ambas son vulnerables por igual.
2. Si tu red cableada era ya un desastre, la inalámbrica contribuirá decisivamente a hundirla. Los problemas son más dificiles de localizar y las soluciones se vuelven más complejas.

Muchos observan con perplejidad la cantidad de agujeros que les hacen en las paredes para pasar cables cuando les instalan su "red sin cables". Uno se imagina precisamente lo contrario tal como muestran bonitas animaciones que hacen referencia al maravilloso y etéreo entorno libre de burdas marañas de cobre y PVC.

En la práctica casi todas las instalaciones Wi-Fi se hacen con el denominado modelo de infraestructura según el cual los puntos de acceso funcionan como concentradores (hubs) en el medio aéreo y puertas de enlace con el medio cableado. Las redes Wi-Fi dependen de la red cableada y su implementación suponen un impacto a tener en cuenta sobre la organización y control de las mismas.

Red cableada e inalámbrica unidas en infraestructura.

Cierto es que el medio aéreo no tiene unas fronteras tan definidas como el cableado y la red inalámbrica no permanece confinada en los muros de nuestros edificios, efectivamente sus señales se pueden detectar desde la calle o desde un edificio cercano. Precisamente por esta razón la información transmitida se codifica con claves de cifrado que cuando son estáticas se denominan WEP y cuando son dinámicas WPA.
Las claves WEP pueden ser de 64 bits (10 hex) o 128 bits (26 hex). Las claves deben ser introducidas en todos los equipos inalámbricos y en el punto de acceso al que se asocien. WPA es un método de encriptación más avanzado con claves que pueden llegar a ser de 256 bits. Conviene saber que hoy en día ambas claves pueden ser descifradas.

Soluciones de seguridad para la red cableada.

Cuando se diseña e implementa una red de área local (LAN) la seguridad es una de las consideraciones más importantes. Para hacernos una idea de hasta que punto este aspecto condiciona el resultado final de nuestra red pondré como ejemplo la capa física y me centraré en los cableados y sus sistemas de distribución.
Cualquier decálogo de seguridad en redes LAN deja bien claro desde el principio que las dependencias en las que se encuentre la electrónica de red y los latiguillos que establecen las conexiones con las tomas de usuario debe tebe tener un acceso restringido.
En la mayoría de los casos este principio no se ha tenido en cuenta, supongo que ni se conoce. Un simple armario o rack de 19" con cerradura impide que cualquiera se acerque y manipule las conexiones y asignaciones que determinan por ejemplo una segmentación VLAN por puertos.
Un cableado de red que se ajuste a criterios de seguridad mínimos no contempla distribuidores, ni electrónica de red, ni servidores que sean accesibles. Teóricamente todo ello debería estar albergado en dependencias específicas o en su defecto en racks suficientemente dimensionados y con sus puertas bien cerradas.
Si partimos de un buen cableado estructurado tendremos los cimientos de nuestra red establecidos y podremos plantearnos un modelo de seguridad serio, en caso contrario habrá que plantearse muy seriamente invertir en su reestructuración (no sale nada barato) o seguir como hasta ahora, es decir, sin seguridad.

¿Qué nivel de seguridad necesita mi red local?

La seguridad en las redes de datos depende directamente de las amenazas a las que esten expuestas. Evidentemente la red de datos del I.E.S. Marismas no tiene ni de lejos el atractivo que puede tener por ejemplo la red de datos del Banco de España o la del Congreso de los Diputados, por poner un par de ejemplos. No hay que olvidar que un ataque a una red de datos requiere por parte de quien lo realiza de mucho tiempo, conocimiento y paciencia. Curiosamente estas son las mismas características que debe tener quien la defiende, en realidad el perfil del administrador de una red y de un hacker o craker son muy parecidos, solo cambian sus intereses.
Para ser sinceros yo creo que el nivel de amenaza hacia nuestros centros es bajo, la información más valiosa que manejamos podrían ser los exámenes o las notas de nuestros alumnos, y cualquiera que lleve unos años en esto ya sabe lo relativa que puede llegar a ser esta información. También es cierto que se manejan datos personales, teléfonos, direcciones, y bases de datos con la estructura económica y organizativa por lo que aunque el nivel de amenaza sea bajo es obligado establecer unos mecanismos básicos de control y seguridad.
Sin embargo lo que si que es una realidad diaria en nuestras redes de datos es la utilización inadecuada de las mismas, me refiero a usuarios que nos roban nuestro valioso ancho da banda para fines ajenos a al actividad del centro o ejecutan aplicaciones potencialmente peligrosas que ponen al resto de los equipos expuestos a riesgos imprevisibles.
Pero todavía no hemos respondido a la pregunta de que nivel de seguridad necesita nuestra red... Tal como dije al principio la seguridad está directamente relacionada con las amenazas, pero tambien lo esta con el buen funcionamiento de la red, y es este último aspecto el que resulta más importante para la mayoría de nosotros que más que por la seguridad de los datos estamos preocupados por que:

• La red funcione, que los problemas puedan ser localizados y resueltos con rapidez.
• Su planteamiento y organización sea eficaz.
• Su utilización sea responsable.
• Las medidas de seguridad no resulten incómodas para los usuarios.
  

Las estructuras y técnicas de seguridad nos van a ayudar a conseguir estos objetivos, pero estas técnicas no suelen sencillas, resulta imprescindible tener conocimientos minimos acerca del funcionamiento de las redes LAN, el hardware, los sistemas operativos y sobre todo y lo que es más importante: del protocolo TCP/IP.