Información práctica y de utilidad para personas involucradas en la administración y soporte de redes de computadoras. Deseo comentar sobre técnicas, herramientas y en general sobre lo que sucede alrededor de esta fascinante profesión, si tienes dudas o sugerencias o incluso problemas especificos que deseas resolver, no dudes en contactarme al email: lmunguia@soportederedes.com, también puedes seguir los updates y noticias de este sitio en twitter @soportederedes
29/3/07
Network Security Podcast
En base a lo anterior, he estado buscando lugares donde puedaba bajar archivos mp3, para cargarlos en la Pocket PC, o en el MP3 player (lamentablemente no puedo decir que en el ipod, pero al menos es un reproductor mp3 bastante funcional).
El día de hoy, encontre un sitio muy bueno, que puede ser de interes, para aquellos interesados en la seguridad de redes, se trata de Network Security Podcast, estos podcasts, son generados por un profesional de la seguridad (Martin McKeay), y pues se ve que se lo ha tomado en serio, una característica que es lo que más me intereso, es que en sus programas entrevista a personalidades de la seguridad, además, comenta sobre noticias y temas de actualidad.
Los podcast son de muy buena calidad, previamente experimente con podcast de algunas otras fuentes, pero la calidad no era muy buena, el contra de esto es que los archivos son grandes ya que esta codificados a 128k, el tamaño oscila entre los 30 y 40 Mb por Podcast, esa es una limitante, pero la calidad es muy buena.
Para los interesados en estar al día en el tema de la seguridad, practicar un poco la comprensión del ingles, y aprovechar bien el tiempo en los atascos de tráfico, colas etc, esta es una buena opción.
Si estas interesado en estos temas, o conoces podcast de tecnología en español o en ingles, tus comentarios son bienvenidos.
28/3/07
Wireshark University Announced
Esta universidad esta fundada por Laura Chappell, muy conocida y respetada en el ambiente de análisis de paquetes y protocolos, Gerald Combs, el autor original de Ethereal (ahora Wireshark), John Bruno, cofundador de CACE Technologies (el lugar donde ahora trabaja Gerald Combs), y Loris Degioanni, confundador de CACE y también creador original de WinPcap (componente fundamental para que Wireshark pueda capturar paquetes en Windows).
De acuerdo con el sitio, además de cursos estan trabajando en una certificación WSCNA (Wireshark Certified Network Analyst), además para mediados de este año estan planificando la publicación de una revista FIN Bit Magazine, también estan planificando entrentamiento presencial y para esto han hecho una alianza con Executrain, así que probablemente en un futuro próximo tengamos estos cursos disponibles en Guatemala (y en otros paises de centro america), al menos el caso de Guatemala aparece listado, asi que eso da alguna esperanza.
Lamentablemente a diferencia del software que es open source, los cursos no lo son, cada curso (de un total de 4) de autoestudio esta disponible a un costo de $300, pero esta disponible una muestra de uno de los cursos (estoy pensando bajarla el fin de semana ya que son 74 Mb).
Así que si te interesa incorporar esta herramienta a tu arsenal de soporte, y tu presupuesto lo permite, Wireshark University te espera.
27/3/07
Vyatta, el fin de los Routers Cisco?
Durante los ultimos 2 años, he tomado mucho interes por software y herramientas open source, especialmente orientadas a redes, pero pocas veces el descubrimiento de un paquete open source había despertado mi interes de la manera que lo ha hecho Vyatta, un Router Open Source, que pretende ser para el mundo de los routers, lo que Red Hat ha sido para Linux, o lo que Asterisk ha sido para la telefonía IP, es decir, proporcionar software open source de calidad comercial.
Dicho lo anterior, obviamente el titular de este post es sensacionalista y para todos aquellos con una buena base de equipo Cisco instalada, definitivamente no hay por que preocuparse, sin embargo, considero que este software tiene mucho potencial. Aun no tengo la oportunidad de instalarlo y probarlo, espero hacerlo en los proximos días para poder explorar sus bondades.
Porque me ha llamado tanto la atención este software?, bueno, despues de 9 años, trabajando con routers Cisco, se que uno de los mayores "issues", con estos routers al menos en mi País, es el costo, asi que la posibilidad de tener un router con muy buenos features, me parece extraordinario y como comente antes, estoy considerando seriamente la instalación y prueba de uno de estos sistemas.
En cuanto al software en si, Vyatta dispone de una versión gratuita (denominada Community Edition) para la cual no brindan soporte, y unicamente se pueden actualizar parches y fixes cada 6 meses (esta es una limitante para muchas empresas, pero creo que no tanto en nuestro medio), también hay una versión comercial proffesional y enterprise por $497 y $ 647 (suscripciçon de 1 año) que incluye soporte y actualizaciones.
Este router, soporta interfaces ethernet 10/100/1000 e interfaces T1/E1 (para enlaces WAN), soporta los protocolos de ruteo más comunes (OSPF, BGP-4, RIPV2 y rutas estaticas), incluye un Firewall y software para VPNs y NAT, es administrable via SNMP, configurable via línea de comandos o vía http, y por si fuera poco, también permite analizar el tráfico que pasa por el mediante Wireshark (si ese software del que tanto hablo :-), en resumen luce como un router muy completo.
Pero bueno, es suficiente por hoy, espero pronto tener la oportunidad de instalar este software y con toda seguridad estare comentando sobre el en el futuro.
Alguien consideraría el uso de este software en su red?, si alguien tiene comentarios, seran bienvenidos.
Windows Vista Security
Symantec ha estado analizando Windows Vista desde el 2005, y ha publicado algunos resultados, que se pueden encontrar aquí. Le di un vistazo a uno de estos documentos y estan muy interesantes y recomiendo su lectura.
Se trata de Security Implications of Windows Vista, este documento se propone mostrar de manera objetiva y balanceada, el impacto que Vista tendrá en el contexto global de amenanazas a la seguridad. En este documento se describen las mejoras que se han hecho al sistema operativo, resumidas en tres áreas específicas, mitigación de exploits genéricos, integridad del kernel e integridad del sistema y defensas en modo de usuario. Cada una de estas áreas comprende diferentes tecnologías que son descritas en el documento.
Symantec considera las mejoras en seguridad como una evolución más que revolución, derivada de trabajos hechos en sistemas operativos open source, como Linux y OpenBSD. También indica que la mayoria de mejoras estaban disponibles en el service pack 2 de Windows, aunque en muchos casos no estan habilitadas por defecto.
En el área de redes, Microsoft reescribio la pila de protocolos de seguridad, un proyecto que Symantec describe como ambicioso, ya que el desarrollo de una pila de protocolos toma muchos años para madurar y ser confiable, durante sus investigaciones con versiones beta, encontraron tres condiciones que permitian ataques de denegación de servicio, también tres ataques de red historicos fueron posibles, estas condiciones afirma Symantec que fueron corregidas en la versión final, lo cual desmuestra que se esta en un proceso de mejora, sin embargo predice que nuevas vulnerabilidades van a aparecer dado el volumen del nuevo código.
Entre las conclusiones del estudio, Symantec resalta el hecho de que pese a los esfuerzos de Seguridad, los ataques se han estado moviendo y enfocandose más en vulnerabilidades de aplicaciones web un área en la que Vista no provee mejoras en la seguridad. También se menciona el hecho que nuevas tecnologías, proveen nuevas oportunidades, pero también nuevos riesgos, los sidebars y gadgets de windows, se mencionan como nuevas tecnologías, que potencialmente pueden ser utilizadas con fines malignos.
Aplicaciones de terceros también son mencionados como punto debil del sistema operativo, ya que estas aplicaciones, pueden no tener el mismo nivel de desarrollo seguro que el softwarte desarrollado por microsoft, esto al menos a corto o medio plazo.
Finalmente, Symantec hace notar algo muy importante, Vista no constituye en si misma una solución de seguridad, es más bien la versión más segura de Windows a la fecha, por lo que los usuarios empresariales y consumidores en general, segiran enfrentando amenazas para las cuales Microsoft Windows Vista no es suficiente.
En resumen, recomiendo la lectura de este documento de 15 páginas, puede ser de gran ayuda, como introducción a las mejoras de Seguridad de Windos Vista, además de este hay otros documentos muy interesantes los cuales planeo leer en los proximos días, todos orientados a el impacto de Windows Vista en el área de seguridad.
26/3/07
Wireshark 101 - Como capturar trafico
Con este post, estoy dando inicio a lo que se podría llamar un tutorial sobre Wireshark, como he comentado en otros posts, Wireshark es un analizador de protocolos open source y es una de mis herramientas favoritas, que además es de suma utilidad para la resolución de problemas de redes.
Una vez hecha la advertencia, el primer aspecto que me gustaría tratar, es sobre como capturar tráfico, especificamente donde ubicar el wireshark para poder capturar el tráfico que se desea ver en la red, para ello estaré haciendo referencia a la siguiente figura
Opción 2 El switch es administrable pero no soporta port mirroring, o no es administrable: En este caso, la opción que tenemos es conectar un pequeño hub, como se ilustra en la figura 1b, en este caso, la idea es conectar el hub a un puerto del switch y conectar la PC, el servidor y la laptop al hub, en este caso si se podrá ver todo el tráfico ya que en un hub, el tráfico en cada puerto es visible en todos los demás puertos. Las desventajas de esto, es que el hub no funciona a full duplex, además es muy probable que la velocidad sea a 10 mientras que los puertos del switch funcionen a 100 o aún a 1000, así que si esta es una red en producción el acceso al servidor se puede ver severamente afectado para el resto de usuarios, asi que usar esta opción con mucha precaución y solo despues de haber considerado el impacto que tendrá en los usuarios.
Opción 3 Utilizar un network tap: Esta pienso que es la poción ideal, un network tap, es un dispositivo pasivo que se puede insertar en la red y permite ver el tráfico que esta pasando a través de la misma, por ser un dispositivo pasivo no interfiere en ninguna manera en la configuración, incluso en caso de falla del tap el tráfico sigue pasando por la red. Existen diferentes tipos de taps, pero en esencia la función es la misma, permitirnos visibilidad del tráfico. Aunque esta es la opción ideal, es probable que sea la más dificil de conseguir, sin embargo, si es posible, vale la pena conseguir algunos taps y tenerlos a la mano para cuando se presenten esos problemas extraños en la red, para aprender más sobre taps, y ver lo que es posible con estos, recomiendo visitar la página de algunos fabricantes, normalmente se encontraran descritas las diferentes tecnologías de taps, y como utilizarlos eficientemente, entre los fabricamentes de taps puede mencionar, Datacom Systems, Netoptics, y Network Critical.
23/3/07
Top 100 Network Security Tools
Fyodor, el autor de nmap una de las herramientas de seguridad más populares (y favorita de hackers alrededor del mundo), publica periodicamente una lista del top 100 de herramientas de seguridad, esto lo hace consultando entre los usuarios de la lista de correo nmap-hackers, de acuerdo con Fyodor, en el 2006 3,243 personas respondieron a su petición permitiendole subir el listado de herramientas a 100 (originalmente era el top 50, despúes el top 75).
El listado del top 100 se puede ver en el sitio sectools.org hay muchas herramientas interesantes en este listado y recomiendo fuertemente darle un vistazo, la herramienta más popular, es Nessus, un detector de vulnerabilidades gratuito (previamente era open source, ahora es closed source, pero disponible gratuitamente para uso sobre una red clase C).
En segundo lugar esta Wireshark/Ethereal (mi favorito), esta si es una herramienta open source, igualmente el tercer lugar que corresponde a Snort, un detector de intrusos que es el favorito de la industria en el apartado de detección de vulnerabilidaes.
La lista sigue, y vale la pena darle un vistazo, las herramientas también se pueden ver clasificadas según su utilidad, por ejemplo sniffers, wireless, escaneo de vulnerabilidades, web scanners, y otras. La mayoria de las herramientas son open source, otras son comerciales, algunas funcionan en windows, la mayoría en Linux.
Nuevamente recomiendo darle un vistazo a estas herramientas, con seguridad podrás encontrar algo de utilidad que puedas utilizar para mejorar la seguridad de tu red.
22/3/07
Vale la pena un switch administrable?
Porque invertir $1000 o más, en un switch si puedo obtener las mismas funciones en un switch de $30?
Sin embargo, la razón principal, por la que recomiendo comprar switches administrables, es porque estos me permiten (como su nombre lo indica) una mejor administración, me permiten ver que esta pasando en la red, básicamente estar tomando el pulso de la red y reaccionar mejor cuando se presentan problemas.
Un switch administrable, también permite implementar tecnologías como VLANs que ayudan a optimizar el tráfico, mejorar la seguridad, en resumen se tiene la flexibilidad para reaccionar ante el crecimiento de la red, y mejorar la confiabilidad y disponibilidad de su red.
Otra característica importante, es la posibilidad de configurar un puerto para analizar el tráfico de otros puertos, esta característica conocida como Port Mirroring (o SPAN en switches Cisco), permite hacer la copia del tráfico de un puerto en otro puerto, de esta manera se puede investigar con un analizador de protocolos algún problema específico con una PC, o un servidor, existen otras maneras de hacer esto, pero requieren la compra de equipo adicional.
Existen muchas más razones para comprar switches administrables, también existen diferencias entre una marca y otra, el mensaje que quiero dejar, es que en cuestión de switches, el costo no debe ser el parámetro más importante, y aun para una empresa pequeña, los beneficios de contar con switches administrables, hacen que la inversión valga la pena, así que con un poco de investigación, se puede armar un buen caso ante la gerencia, para que nos aprueben ese switch, que puede hacer la diferencia entre el caos continuo, o una administración más pro activa de nuestra red.
Algunos lugares, para obtener información sobre las virtudes de los switches, se puede encontrar directamente con los fabricantes, mi recomendación es empezar en:
Me interesa conocer tu opinión, en tu empresa, usan switches administrables?, es difícil convencer a la gerencia de la importancia de estos switches?, o realmente no te parece que existe algún beneficio real en un switch administrable?
Update: Dic 2016
Si te interesa aprender un poco sobre conceptos fundamentales de redes te invito al curso Fundamentos de Redes, te puedes inscribir en el siguiente link:
Curso fundamentos de redes
20/3/07
Internet Security Threat Report Volumen XI
El documento esta disponible gratuitamente en el sitio de Symantec, y no es necesario registrarse para obtenerlo, es un documento muy valioso ya que revela estadísticas sobre los ataques, vulnerabilidades y amenazas más comunes en la actualidad, y las tendencias sobre amenazas que se pueden esperar en un futuro próximo.
Además del reporte completo (104 páginas), esta disponible un resumen, con los hallazgos claves y tendencias futuras (22 páginas), también se pueden obtener los 10 reportes anteriores, que en conjunto ayudan a observar como los ataques han ido evolucionando a lo largo de los últimos años.
El documento principal, también tiene algunos anexos interesantes, uno de ellos con prácticas de seguridad recomendadas, que provee un checklist de medidas importantes a tomar para proteger la confidencialidad, integridad y disponibilidad de su información.
El reporte puede ser obtenido aquí:
http://www.symantec.com/enterprise/theme.jsp?themeid=threatreport
2/3/07
Ethereal ahora es Wireshark
Muchos de ustedes probablemente han oido hablar de Ethereal, un analizador de protocolo open source, es de hecho un software de mucha utilidad ya que incluye funcionalidad digna de un analizador comercial que costaría miles de dolares.
Sin embargo, Ethereal cambio de nombre, ahora es Wireshark, y esto desde mayo del 2006 cuando Gerald Combs, el creador original de Ethereal, cambio de trabajo y no le permitieron llevarse el nombre ethereal, el comunicado oficial lo puedes encontrar aqui.
Lo importante de esta nota, es que si usas o estas interesado en usar el ethereal, hay que cambiarse a Wireshark, y es que no es solo un cambio de nombre, las actualizaciónes del software unicamente se estan dando en wireshark, ethereal aun esta disponible, sin embargo como puede verse en su pagina web, la ultima versión disponible es la 0.99.0 mientras que Wireshark ha seguido progresando, la ultima versión es la 0.99.5 asi que si deseas mantenerte actualizado, wireshark es la unica opción.
El sitio oficial, para obtener nuevas versiones, documentación y conocer lo que sucede alrededor de wireshark, es www.wireshark.org.
Más adelante estare publicando información sobre como sacarle provecho a este software, donde ubicarlo para poder ver el trafico, como escribir filtros de captura o de despliegue, y algunos usos interesantes de este software.