domingo, enero 26, 2014

CCENT y los nuevos examenes CCNA Parte II

Conforme a lo ofrecido en el artículo anterior, en esta oportunidad continuamos con la revisión de los nuevos exámenes CCNA, específicamente en lo relativo a la certificación CCNA R&S que es por mucho las más popular en nuestro medio, aunque las especializaciones CCNA también son relevantes y merecen la pena ser consideradas como opción de carrera.

Nuevamente menciono que existen dos caminos para obtener la certificación CCNA R&S, la opción de 2 exámenes (100-101 y 200-101) o 1 solo examen (200-120) en el articulo anterior explique detenidamente los nuevos contenidos del examen 100-101 o ICND1 V2.0, el propósito ahora será describir los cambios realizados en ICND2 V2.0 que se ven reflejados en el examen 200-101.

Leer Mas...

domingo, enero 19, 2014

CCENT y los nuevos exámenes CCNA

En Marzo de 2013 Cisco anuncio cambios a su certificación CCNA, este es un overhaul mayor a una certificación que no había sufrido cambios tan significativos desde el 2007.

El propósito de este post es describir brevemente estos cambios, enfocado principalmente a la certificación CCENT que ahora adquiere mayor relevancia y en breve explicaré por qué.

El cambio anunciado por Cisco afecta directamente los dos exámenes tradicionales para obtener la certificación CCNA, los exámenes ICND1 e ICND2 han sido actualizados a la versión 2.0 (la versión vigente era la 1.1), como consecuencia, los números de examen han cambiado, pero no es lo único, de hecho a mi parecer, el cambio más importante es que ahora la certificación CCNET actúa como pre-requisito para algunas certificaciones para las que antes se requería la certificación CCNA Routing & Switching, para entender mejor el alcance de este cambio, veamos el diagrama siguiente:

Leer Mas...

jueves, enero 09, 2014

3 Años después

Mi ultimo post, parece que no fue muy acertado, el I'm back de hace mas de 3 años se quedo en intención.

Así que ahora, mejor no prometo nada en cuanto a frecuencia y cantidad de posts, de momento si alguien esta de regreso al blog podrá notar un cambio en la foto (si, ya no podía mantener una foto del 2006, el tiempo pasa, hay que aceptarlo :-) y espero que pronto puedan ver algo mas sustancioso, como nuevos posts siempre relacionados con esta profesión.

Lo unico que puedo adelantar, es que estos últimos prácticamente 4 años que he estado alejado del blog, me han dejado muchas experiencias que espero compartir, el año pasado logre certificarme CCNP   y aunque en el blog no he estado activo, si sigo involucrado de lleno en el mundo de las redes.

Así que ademas de actualizar mi foto, y dar este pequeño saludo, únicamente me queda agradecer a los lectores que a pesar de no encontrar nuevos contenidos de cuando en cuando se dan una vuelta por este blog, tengo toda la intención que este año no se queden con las manos vacías en cuanto a contenidos!


Leer Mas...

lunes, septiembre 13, 2010

I'm Back

Despues de una ausencia de mas de un año, estoy de regreso en el mundo del blog! el tiempo siempre ha sido mi mayor enemigo, sin embargo, he llegado a la conclusion de que si espero a tener el tiempo para dedicarlo al blog, nunca volvere a publicar un solo post, asi que aunque ahora estoy mas ocupado que nunca, algun momento encontrare para escribir algo con el objetivo siempre que sea practico y de utilidad para todos los estimados colegas en el mundo de las redes y telecomunicaciones.

De tiempo en tiempo recibo invitaciones a participar en redes sociales, me disculpo publicamente porque he declinado de estas invitaciones, la realidad es que a la fecha no cuento con perfil en facebook ni en otras redes sociales. Lo que si tengo y que por cierto actualize hoy, es un perfil en Linked-in, tampoco le he dedicado tiempo, pero quiero empezar a hacerlo. Asi que si el contenido de este blog te a sido util y has considerado invitarme a facebook, o alguna red social, te invito a que establezcamos contacto a través de Linked In.

Esto es todo por hoy (el tiempo, siempre el tiempo), espero volver a la regularidad en la publicacion de blogs, por lo pronto, estoy de regreso!!!

Leer Mas...

domingo, agosto 30, 2009

Como obtener la certificación CCNA - Parte II

Hace 2 años, publique un post con este titulo, mucho tiempo ha pasado desde entonces, y hace algunas semanas tome el examen de certificación CCNA actual con objetivo de recertificarme, así que decidi revisar esta entrada y actualizarla luego de haber tenido la experiencia de hacer el examen recientemente.

Una de las políticas de Cisco con relación a las certificaciones es estarlas revisando constantemente y agregar o quitar temas, por ejemplo, cuando hice mi primer examen de certificación en el 2001, habia muchos temas que no formaban parte del examen, por ejemplo el protocolo de ruteo OSPF era considerado un tema de CCNP, ahora aun es parte de un curso de CCNP, pero también se evaluan los conectpos fundamentales de OSPF en el examen de CCNA.

Este post esta basado en el examen de certificación actual (CCNA 640-802), aunque es importante hacer la observación que ahora existe la posibilidad de rendir dos examenes separados, el 640-822 (ICND1) el cual además permite obtener la certificación CCENT (Cisco Certified Entry Network Technician), y luego hacer el examen 640-816 (ICND2) y obtener la certificación CCNA.

Ahora concentrandonos en la opción de un solo examen (CCNA 640-802) mi primer consejo no tiene que ver con que material estudiar, o que cursos recibir, lo primero pienso es evaluar sus prioridades y decidir si esta certificación vale la pena de acuerdo a sus metas y prioridades a corto y mediano plazo, si hay cosas más importantes en estos momentos en su carrera, en sus planes de futuro, creo que hay que concentrarse en esas otras metas y ya habrá tiempo en el futuro de replantearse la certificación y si sus objetivos lo ameritan, entonces concentrase de lleno en esto.

Menciono lo anterior porque en realidad esta certificación requiere de un compromiso serio y apartar tiempo que normalmente se dedicaria a otras cosas para estudiar, practicar y prepararse a conciencia para el examen, si tienes otros objetivos de momento, será muy dificil concentrarse y dedicarle el tiempo requerido a la preparación de la certificación.

En cuanto a la preparación en si, creo que una de las vías más accesibles y recomendables es estudiar en una Academia Cisco, actualmente el programa Cisco Networking Academy ofrece dos opciones, CCNA Discovery y CCNA Exploration, el enfoque de ambos no es solo en el examen de certificación sino que es también una excelente preparación para adquirir las experiencias y conocimientos requeridos en la vidad real, es decir estos cursos no solo lo preparan para el examen de certificación sino también para un trabajo en el área de Redes.

Una razón importante para considerar el estudio en una Academia Cisco, es porque para rendir el examen y aprobarlo, se requieren no solo conocimientos teóricos, sino también conocimientos prácticos, los cursos de la academia incluye laboratorios claves y un simulador muy util que permite adquirir la experiencia práctica en configuracion y resolución de problemas en equipos Cisco.

Al aprobar cualquiera de los dos cursos mencionados anteriormente (Discovery o Exploration), se esta un paso más cerca de la certificación, sin embargo mi opinion personal es que aun falta un poco más, creo que vale la pena complementar el estudio con la guía oficial de preparación para la certificación, ahora disponible en Español me parece un excelente recurso para complementar y dominar los temas necesarios para rendir con exito el examen de certificación.

A diferencia de hace algunos años, ahora es muy factible preparar y rendir el examen en español, tanto los cursos Discovery y Exploration estan disponibles totalmente en español y como comente en el parrafo anterior las guias de certificación también estan disponibles en español, el examen es posible también hacerlo en español, asi que eso es un factor importante a considerar.

Para los que estan más familiarizados con los temas del examen en idioma Ingles, rendir el examen en este idioma tiene el beneficio de 30 minutos adicionales que son muy muy valiosos que pueden hacer la diferencia entre aprobar y fallar el examen.

Asi que resumiendos mis consejos en este tema 2 años despues los resumo asi:

1. Decidir si la certificación vale la pena y establecerla como una prioridad para poderle dedicar el tiempo y los recursos necesarios para la preparación.
2. Iniciar la preparación inscribiendose en una Academia Cisco de su localidad en cualquiera de los dos curriculums, Discovery y Exploration, en cualquier academia les pueden dar más información sobre las dos opciones, para que decidan que les conviene más.
3. Comprar las guias de certificación para preparación final antes del examen.

A continuación algunos links que pueden ser de utilidad.

Cisco Networking Academy - Sitio oficial de las academias Cisco, desde aqui pueden encontrar información sobre los curriculums o localizar una academia cercana a su localidad.

Guías para la certificación - Como mencione, ahora estas guías estan disponibles en Español.


Cisco Learning Network - Sitio oficial de Cisco, con material util para complementar la preparación del examen.

Si estas interesado en la certificación Cisco, mantente pendiente, ya que tengo pensado publicar otro post con detalles más especificos que pueden ser de utilidad a las personas que ya se estan preparando y tienen el examen a la vista en unas pocas semanas, adicionalmente te invito a compartir tus experiencias ya sea con el examen o con la preparación del examen que pueden ser de utilidad para otros.

Leer Mas...

jueves, septiembre 04, 2008

NetworkMiner - Analizador de trafico de red

Agradezco a los lectores que se tomaron el tiempo de responder a la encuesta anterior, luego de una cerrada votacion, un voto de ultima hora favorecio que este post sea relacionado con herramientas de soporte, asi que para agradecer a estos amables lectores, este post esta relacionado con una herramienta relativamente nueva, pero que definitivamente es una excelente adicion al arsenal de soporte, espero que este post sea de utilidad.

NetworkMiner es un analizador pasivo de trafico de red, como Wireshark puede capturar trafico, pero su enfoque y su mayor potencial no es tanto la captura sino más bien al análisis, especificamente al análisis forense del tráfico de red, a que me refiero con esto, quedara más claro luego que veamos ejemplos prácticos del uso de esta herramienta. Por lo pronto y a manera de introducción y motivación para continuar leyendo este post, puedo decirte que es un excelente complemento de Wireshark, esta basado en Windows y es Open Source por lo que no hay nada que te impida bajarla y ejecutarla en tu red. Sin más, entramos en materia...

A continuación se enumeran algunas caracteristicas de este software:

  • Permite la identificación de sistemas operativos y alguna información adicional sobre los hosts que detecta (OS Fingerprinting)
  • Reconstrucción de archivos - Supongamos que tenemos un archivo capturado en wireshark (con extensión pcap) al abrirlo en NetworkMiner, reconstruira los archivos que se encuentren presentes en la captura.
  • Extracción de imagenes - Como en el caso anterior, si tenemos una captura y la abrimos en NetworkMiner, reconstruira todas las imagenes presente que hay en la captura.
  • Identificación de credenciales - Identificara usuarios y passwords dentro de una captura.
Las anteriores son algunas de las caracteristicas más sobresalientes, aunque hay algunas más que no se discuten en este post, puede que te parezca que lo anterior no tiene mucha utilidad, espero con algunos ejemplos prácticos demostrar que no es asi, manos a la obra.

Para instalar el software unicamente lo baje del sitio, venia en un archivo .zip, luego de descomprimirlo, en el directorio que se crea, se ejecuta NetworkMiner.exe, y entramos a la interface principal, en la figura abajo, se muestra la pantalla principal en el momento en que se esta abriendo un archivo pcap (capturado previamente con Wireshark), como comente anteriormente, la parte de captura no es el principal fuerte de este software, de hecho no me funciono en Windows Vista, si vas a usar este software, quizas sea buena idea hacer las capturas con Wireshark en el formato pcap.



En Wireshark bajo el menu statistics, es posible observar una lista de los hosts detectados en una captura (llamados Endpoints), en NetworkMiner también, pero con mayor riqueza de información gracias a sus caracteristicas de identificación de sistemas operativos, por ejemplo en la figura abajo, muestra un host detectado, pero no solo muestra la dirección IP, sino también nos informa que esta PC esta ejecutando Windows, que el puerto 80 esta a la escucha y además que esta ejecutando el servidor web apache, esto nos puede ser de utilidad entre otras cosas, para detectar PCs o servicios no autorizados en nuestra red.



En el post Nanspy Worm en mi Laptop, describi el uso de Wireshark para detectar y eliminar un gusano, un aspecto clave en ese análisis fue detectar la presencia de algunos archivos que habían sido transferidos a ma laptop, con NetworkMiner es posible ver que archivos han sido transferidos, esto desde la pestaña Files, en ella muestra todos los archivos que han sido transferidos en una captura dada, a continuacion se muestra una captura en la que se detectaron algunos archivos sospechosos.


NetworkMiner también permite reconstruir las imagenes que detecta en una captura, supongamos que por ejemplo has hecho una captura en wireshark del tráfico de tu conexión a internet, en la pestaña images mostrara que imagenes han estado viendo los usuarios de la red, podrias descubrir contenido no permitido.



Para terminar con los ejemplos prácticos, NetworkMiner también es capaz de detectar credenciales que han sido utilizadas, si durante una captura, un usario establecio una conexión a telnet a un router, en la pestaña credentials, veras el usuario y password que se uso y te daras cuenta que es de suma importancia utilizar métodos más seguros para conectarte a tus equipos de red (como SSH, aunque ese, es otro tema).

Espero que con los ejemplos anteriores, este más que claro que este software tiene mucho potencial, hay algunas otras características que no se han discutido acá, y por ser este un software open source en constante evolución, con toda seguridad en el futuro tendrá aun cosas más interesantes que mostrar, por lo pronto es importante mantenerlo en perspectiva, no es un sustituto de Wireshark, a mi modo de ver, es un excelente complemento para facilitar el análisis forense del tráfico de tu red.

Finalmente, no esta de más mencionar que estos son mis primeros pasos con esta herramienta, en realidad la descubri hace unos poco días, asi que no ofrezco dar soporte, si en algo puedo ayudar con gusto, pero apenas estoy conociendo esta herramienta. Favor también tomar en cuenta la advertencia del siguiente parrafo.

Advertencia: Asegurate de contar con el permiso para análizar el trafico de tu red, la información que despliega NetworkMiner puede ser reveladora y atentar contra políticas de privacidad, asi que no utilices esta herramienta indiscriminadamente.

Leer Mas...

jueves, agosto 21, 2008

Nueva Encuesta

Este es otro micropost, para solicitar retroalimentacion de los lectores, ya seas usuario nuevo, o regular de este blog, nuevamente he tenido el tiempo limitado para poder dedicarlo al blog, pero se que algunos usuarios han encontrado informacion de utilidad y no pienso abandonar este esfuerzo.

Es por esto que estoy solicitando el apoyo para llenar la encuesta de la izquierda, indicando que tema te interesaria para un nuevo post, mi tiempo es limitado y me gustaria enfocarlo en lo que genere mas interes. Agradezco de antemano esta retroalimentacion y de paso pido disculpas a algunos lectores a los que no he respondido sus mails o comentarios, si todavia tienes algun tema que te interesa resolver, favor deja nuevamente tu comentario o enviame un correo a lmunguia@soportederedes.com

Leer Mas...

jueves, mayo 01, 2008

Nanspy Worm analizado con Wireshark

Los lectores mas fieles del blog recordaran que en septiembre del 2007, mi laptop fue infectada por el gusano Nanspy, un usuario me pidio colocar algunas pantallas del proceso de deteccion del gusano utilizando Wireshark y eso es lo que ha motivado este post, el cual ademas de ilustrar los pasos que me permitieron detectar la presencia de actividad anomala en mi laptop, tambien permite ver al Wireshark en accion y el uso de Follow TCP Stream una de las funciones muy utiles para en analisis de capturas en Wireshark.

Como se describe en el post original a finales de Agosto del 2007 empeze a obsever un comportamiento extraño en mi laptop (actividad en la tarjeta de red sin tener ninguna conexion a internet abierta), lo que me motivo a ejecutar Wireshark, tratando de encontrar las causas de este comportamiento extraño, practicamente con solo iniciar la captura pude darme cuenta que algo anomalo estaba ocurriendo, ya que se observo el siguiente trafico. Nota: con un click sobre la figura puedes verla en tamaño normal

Lo que se observa en la figura anterior, es el tipico comportamiento de un gusano tratando de encontrar victimas para infectar, la ip 192.168.0.148 es la direccion de la laptop y esta intentando establecer conexion con otros host que pertenecen al mismo rango (asumiendo que la mascara es 255.255.0.0), como se puede observar en la columna info, la laptop esta enviando paquetes con el bit SYN activado, en TCP es la primera accion para establecer contacto con el host de destino, algo mas que se observa en esta figura es que estos intentos son hacia el puerto 135, por la configuracion de mi red, ninguna de estas direcciones era alcanzable, de haberlo sido, se podria haber observado los siguientes pasos del gusano para tratar de infectar a otros hosts. Si esta hubiera sido una red corporativa, la probabilidad de infectar otros hosts hubiera sido muy alta, digo, si infecto a una maquina es muy probable que haya muchas maquinas mas vulnerables en la red. Habiendo visto esto, sabia que la maquina estaba infectada, en un tiempo posterior realize una nueva captura, pero esta vez con la intencion de ver el comportamiento desde el momento que se iniciaba la pc, para ello encendi la maquina sin conexion a la red, ejecute Wireshark y luego conecte el cable de red, de esta manera pude capturar lo que ocurria desde el inicio, vale recordar que esta pc ya estaba infectada, es decir lo que aqui esta ilustrado es el comportamiento de la maquina infectada no el proceso de infeccion. A continuacion se muestra la siguiente captura.


En esta captura se pueden observar al gusano en accion, los paquetes 3, 6 y 7 corresponden al TCP Hand-shake entre la laptop y la direccion 87.118.110.78 (en adelante la direccion sospechosa), es el procedimiento normal de cualquier conexion TCP, no voy a entrar en detalle ya que no es el proposito de este post, en el paquete 7 la conexion ya esta establecida y a continuacion en el 8 se observa algo inquietante, la laptop hace una peticion http HEAD y en el paquete 13 se observa la peticion http GET, esta tratando de obtener de la direccion sospechosa el archivo gate.exe, esto no suena nada bien, para observar con mayor detalle selecciono el paquete trece y a continuacion en el menu de Wireshark selecciono Analyze Follow TCP Stream, con este comando se despliega la data que finalmente es observable por la capa de aplicacion de la pila TCP/IP en un stream en particular, en este caso estoy interesado precisamente en observar que paso con esta peticion GET (y de paso tener mas detalles de la misma), el resultado del Follow TCP Stream se observa a continuacion


Lo que puedo deducir de este seguimiento es que la laptop esta tratando de bajar una actualizacion del archivo gate.exe ya que se trata de un GET condicional, otra pista se observa en la cuarta linea donde se ve User-Agent: mmsvc32.exe, finalmente observo que mi maquina ya tiene instalado este archivo, porque la respuesta al GET fue un HTTP/1.1 304 Not Modified, que es gate.exe y mmsvc32.exe, en estos momentos no tengo ni idea, hay que seguir investigando. Bajando un poco mas en el archivo de captura, encuentro otros GET sospechosos, a continuacion esta la figura que muestra el resultado de ejecutar nuevamente Follow TCP Stream sobre los paquetes que muestran nuevas peticiones GET.


Aqui se observa algo muy similar, nuevamente la laptop reviso para ver si hay alguna actualizacion de los archivos bbot.exe y psvc.exe, nuevamente aparece la linea mmsvc32.exe, como en el caso anterior, los archivos ya existen en la pec porque la respuesta es 304 Not Modified. Poco despues de estas interacciones, la laptop inicia nuevamente un SYN Scan, solo que esta vez ya no es es sobre un rango de direcciones locales sino un rango de direcciones publicas, mmm, este gusano en realidad esta tratando de propagarse, a continuacion la figura de estos intentos (afortunadamente fallidos) de infectar otro rango de direcciones


Ahora cuento con informacion suficiente para investigar que esta pasando, una busqueda de bbot.exe en google, me lleva hasta una pagina que me permite concluir que se trata de Nanspy, en la documentacion encontrada se hace referencia a mmsvc32.exe (mm, donde habia oido de este archivo?, por supuesto, lo vi en Wireshark), mi maquina esta infectada!. Esta fue la forma como utilize Wireshark para encontrar que estaba pasando con mi maquina, tal vez no sea la mejor manera, pero me sirvio, si observas un escaneo SYN como el de la figura reciente, investiga mas a fondo, lo mas seguro es que un gusano infecto tu PC.

Leer Mas...

jueves, marzo 13, 2008

Las funciones básicas de un switch

El artículo más leído de este blog, es el de Vale la pena un switch administrable? Algunos lectores están interesados en saber las diferencias entre un switch administrable y otro que no lo es, las diferencias de precio son importantes y por eso surge la curiosidad, que ventajas tiene uno sobre el otro? Otros lectores ya cuentan con un switch administrable, pero no saben que hacer con él, como aprovechar esas características que costaron muchos dólares de más.

No es posible describir en un solo post todo lo que es posible hacer con un switch administrable, por lo que en el futuro espero dedicar al menos un post al mes para describir con más detalle algunas características de los switches, con ejemplos prácticos de implementación, por lo pronto quiero empezar con los fundamentos, en realidad como funciona un switch?, Esto nos ayudará a sentar las bases para más adelante discutir prestaciones más avanzadas de los switches.

Un Switch es un dispositivo de red que funciona en la capa 2 del modelo OSI, para los lectores que no están familiarizados con el modelo OSI, los invito a leer la definición de la wikipedia, para los propósitos de este post lo importante es saber que la capa 2 tiene que ver con la dirección física de la tarjeta de red, esto es la dirección MAC, que es un número único asignado por el fabricante a la tarjeta de red, cada fabricante tiene su propio rango de direcciones MAC, lo que asegura que no se repitan, en la práctica es posible modificarlo mediante software, pero en lo que respecta al proceso de fabricación, si es un número único asignado a cada tarjeta de red.

De paso también menciono que hay switches de capa 3 e incluso de capa 4, pero aun estos switches más avanzados, deben cumplir con las funciones de un switch capa 2, que es las que explicaremos en este post.

Un switch debe realizar tres tareas básicas, las cuales se describen a continuación.

1. Aprender direcciones (address learning)

Todo switch tiene una tabla de direcciones MAC con el puerto asociado, cuando el switch se enciende por primera vez, esta tabla esta vacía, ahora con relación a la figura 1, supongamos que A, desea comunicarse con B, para esto, A tiene preparado un frame, en el que entre otras cosas, esta expresadas los direcciones de origen y destino. El siwtch recibe este paquete y toma nota de la dirección de origen y la anota en la tabla de direcciones MAC, esto es la línea 1 de la tabla MAC ilustrada en la figura 1. Inicialmente el switch no conoce donde esta ubicado B, por lo que reenvia el frame a través de todos los puertos excepto en el puerto donde lo recibió, de esta manera B recibe el frame y lo responde nuevamente con un paquete que tiene como origen la dirección MAC de B, por lo que de esta manera, el switch ahora puede determinar donde esta ubicado B y agrega la segunda línea de la pequeña tabla MAC ilustrada en la figura 1. Para la siguiente comunicación entre A y B, el switch conoce la ubicación exacta de ambos y reenvia los frames directamente entre A y B.




2. Reenviar y Filtrar

Cuando el switch recibe un frame, examina el destino y busca en la tabla el puerto de salida y lo envía únicamente a través de este puerto, esta es la función de filtro, limita el envió del frame al puerto específico en el que se encuentra el destino. Por otra parte, como ya vimos al inicio, si la tabla MAC aun no tiene la información el paquete es reenviado a todos los puertos excepto al puerto en el que se recibió el paquete originalmente, lo mismo pasa cuando ocurre un broadcast (en breves palabras, un broadcast es un frame cuya dirección de destino es todos los del segmento) es decir, cuando una PC envía un frame de broadcast, este es recibido por todas las PCs en el mismo segmento de red, en el caso de los broadcast, el switch los reenvia por todos los puertos, excepto en el puerto que lo recibió originalmente.

3. Evitar Loops

Una tercera función básica e importante de un switch es evitar loops (uso el ingles, porque me parece más apropiado que bucle, o lazo). Para entender que es un loop, y lo dañino que es para cualquier red, observemos la situación ilustrada en la figura 2. Supongamos que por conveniencia alguien decide que desea tener dos enlaces a un mismo switch, de tal forma que si uno falla el otro funcione, o supongamos que alguien inadvertidamente ve un cable colgando y con la mejor de las intenciones decide conectarlo al switch sin percatarse que ese mismo cable ya estaba conectado en otro puerto del mismo switch, lo que ocurre a continuación es desastroso.


Imaginemos que la PC envía un broadcast, este es recibido por el switch 01 y reenviado a todos los puertos excepto el puerto F0/3 (porque por ahí fue recibido originalmente), el switch 02 recibe uno de los broadcast en el puerto F0/1 y lo reenvia a todos los demás puertos excepto por supuesto el puerto F0/1, el problema es que el broadcast también llego por el puerto F0/2 y reenviado a todos los puertos, así que el resultado es que tanto en F0/1 como en F0/2 del switch 02, tendremos nuevamente un paquete de broadcast enviado al switch 01 que nuevamente repite la acción y de esta forma tenemos un loop infinito, en la práctica lo que ocurre es que esto deja inutilizada la red, ya que los recursos en el switch están totalmente consumidos enviando y recibiendo broadcast. He vivido experiencias de estas y créanme que no es nada agradable.

Por lo anterior, un switch debe proveer de mecanismos que eviten la formación de estos loops, y la solución es el Spanning Tree Protocol o STP, este protocolo evita la formación de loops en los switches

De las tres características antes mencionadas, las primeras dos están presentes en cualquier switch sea o no administrable, sin embargo, la tercera, la posibilidad de evitar loops únicamente esta disponible en switches administrables, no solo eso, usualmente requieren poca o ninguna configuración, por lo que a mi entender, este simple hecho es una buena razón para utilizar switches administrables.

Una de las preguntas que me han hecho algunos lectores es la siguiente, acabo de comprar un switch administrable, que debo configurarle para que mi red funcione? en principio nada, el switch tan pronto se conecte a la energía eléctrica y tenga PCs conectadas en sus puertos intentando comunicarse unas con otras, empezara a construir su tabla de direcciones, reenviara y filtrara frames y también evitara loops, por supuesto en el caso de los switches administrables.

También una palabra de advertencia, el hecho de tener algunos switches administrables no evitara la formación de loops en los switches no administrables, he visto redes de miles de dólares venirse abajo porque alguien conecta en algún punto de la red, un switch no administrable e inadvertidamente forma un loop. Por supuesto, la presencia de switches administrables permitirá diagnosticar y resolver el problema de manera más rápida.

Ahora, supongo que no invertiste miles de dólares, para que tu switch aprenda direcciones, reenvie/filtre frames y evite loops, por supuesto que deseas hacer muchas cosas más con tu switch, te invito a dejar un comentario con tus inquietudes, experiencias y espero más adelante estar publicando otros artículos para que puedas desquitar cada dólar de tu inversión.

Leer Mas...

viernes, marzo 07, 2008

El comando netstat en Windows

Netstat es una herramienta disponible desde la línea de comando de la mayoría de sistemas operativos importantes (Windows, Linux, Unix, etc), es otra de esas herramientas disponibles gratuitamente, pero a mi parecer bastante subutilizada. Entre otras cosas, esta herramienta permite dar un vistazo a las conexiones que tiene establecida la PC, también permite ver algunas estadísticas de red y la tabla de ruteo (esto ultimo también esta disponible con el comando route print)

En este post me voy a concentrar en la versión para Windows, particularmente en XP, puedo suponer que las mismas opciones también aplicarían a Windows Vista, pero de momento no tengo como comprobarlo. Ahora, sin más preámbulos, veamos algunos usos prácticos de este comando.

Para utilizar esta herramienta, únicamente tienes que abrir una línea de comando y escribir netstat al presionar enter, se desplegara un listado de conexiones activas en tu PC, como puede verse en la siguiente figura, la primera columna muestra el protocolo (puede ser tcp o udp), la siguiente muestra la dirección local junto con el puerto local, a continuación esta la dirección y puerto remoto y finalmente se muestra el estado de la conexión, en la figura puede verse que hay conexiones establecidas y otras en estado TIME_WAIT, esto indica que son conexiones tcp que ya se están cerrando. Esta información se captura en un instante de tiempo (constante se están creando y cerrando conexiones, así que aquí viene el primer tip, si deseas que la lista se este refrescando cada x tiempo, puedes agregar el numero de segundos de intervalo al final del comando, por ejm. netstat 10 refrescara la estadística cada 10 segundos.


Si el uso anterior fuera el único de este comando, sería interesante, pero quedaría en deuda, la clave esta en usar las opciones, si deseas verlas basta con escribir el comando netstat help, hay varias opciones y te animo a experimentarlas, se pueden utilizar solas o combinadas, en lo particular me resultan útiles algunas opciones especificas que describo a continuación.

Utilizando el comando con las opciones a (que despliega todas las conexiones y puertos que están abiertos, es decir esperando conexiones o en listening state) y o que despliega el PID del proceso que esta utilizando la conexión, el comando sería netstat -ao y el resultado puede verse en la siguiente figura.


Saber que puertos están abiertos es importante ya que permite detectar algunos procesos que no deberían estar en este estado, esto puede ayudar a descubrir spywares en tu PC, o protocolos que están corriendo y no deberían, por ejemplo en la figura anterior observo que el puerto 1025 en mi PC esta en estado LISTENING, la pregunta obvia es que programa o servicio esta abriendo el puerto 1025?, aquí es donde entra la opción o del comando, ya que muestra el PID (process ID),que en este caso en particular es esl 120, sabiendo este número, podemos utilizar el comando tasklist, que muestra el servicio o programa que esta abriendo este puerto, en la siguiente figura puede verse el resultado del comando tasklist, ahí observo que el programa asociado al proceso 120 es alg.exe nunca he oído hablar de alg.exe así que esto me genera curiosidad después de investigar un poco en internet, me doy cuenta que es un proceso normal de Windows utilizado por Internet Connection Sharing, uff, menos mal, sin embargo, utilizando esta misma lógica, se pueden encontrar programas maliciosos en tu PC (en mi caso, el siguiente paso sería abrir Wireshark y capturar tráfico para tener aun más detalles de lo que esta pasando).


La otra opción que puede resultar muy útil de este comando, es la opción de ver estadísticas de la conexión, el comando sería netstat -es que desglosa las estadísticas por protocolo, un análisis de estas estadísticas puede revelar problemas de cableado, o con la interface (por ejemplo si se observa un número alto de errores), o también ayudar a aislar mejor la causa del problema, te animo a experimentar con esta opción y ver que estadísticas te pueden resultar útiles.

Finalmente un consejo, es una buen práctica utilizar regularmente este comando en tu PC, si lo haces cuando todo esta funcionando bien, puedes identificar que procesos son normales, que puertos están abiertos, etc, esto te puede servir de base, en el futuro, si tu PC empieza a dar problemas, un rápido vistazo con netstat -ao puede ayudarte a identificar la raíz del problema, no digo que es un método infalible pero vale la pena considerarlo.

Leer Mas...
Creative Commons License
Esta obra está bajo una licencia de Creative Commons.