NFS (Network File System), es un protocolo de capa de aplicación que nos proporciona un método rápido y eficaz de compartir archivos y espacio entre distintos ordenadores de una red que soporte este sistema. Nos permite compartir carpetas entre diferentes sistemas operativos con diferentes sistemas de archivos. Esto es posible gracias a que NFS nos provee de una capa abstracta del sistema de ficheros real, permitiéndonos montarlo en otros sistemas remotamente.

Este sistema de compartición es útil y fácil de usar pero es apodado como “No file Security”. Esto es debido a que no usa un sistema de contraseñas, sólo una lista de control de acceso determinada por direcciones IP o nombres de máquina.

Configurando el Servidor de NFS.

Antes de poder usar NFS, como servidor o cliente, debemos asegurarnos de que nuestro núcleo tenga incluido el soporte NFS compilado. Para poder comprobarlo hacemos:

$ cat /proc/filesystems

En una de las líneas nos deberá de aparecer NFS. Una vez comprobado que nuestro núcleo soporta NFS deberemos instalar portmap y el paquete nfs (nfs-utils). Portmap nos permitirá realizar conexiones RPC al servidor y será el encargado de permitir o no el acceso al servidor a los equipos que especifiquemos. Para comprobar si está instalado en debian :

$ ps aux |grep portmap

Para comprobar si tenemos instaldo lo necesario en en un red-hat podemos hacer:

$ rpm -q nfs-utils portmap

Si detectamos que nos falta algún paquete deberemos proceder a instalarlo.

- Debian: # aptitude install nfs-kernel-server portmap

- En red-hat: # rpm -Uvh paquete.rpm

Una vez instalado , pasamos a levantar los servicios:

Debian :

# /etc/init.d/portmap start
# /etc/init.d/nfs-common start
# /etc/init.d/nfs-kernel-server start

Red Hat:

# Service portmap start
# Service nfs start

Podemos realizar una consulta a portmap para comprobar que esta funcionando correctamente y que servicios tiene corriendo:

$ rpcinfo -p

Para parar o reiniciar los servicios bastará con usar las opciones stop/restart respectivamente.

Una vez arrancados los servicios podemos empezar a compartir, para ello deberemos editar el archivo     /etc/exports.
Para compartir una carpeta deberemos seguir la siguiente notación:

1. Directorio que deseamos compartir.
2. El cliente puede ser un nombre  ó IP hosts , grupo de red NIS, red o subred (192.168.0.0/255.255.0.0) (192.168.0.0/16), patrones (*,?), etc..
3. Permisos que le estamos dando al cliente autorizado. Por ejemplo ro/rw. Permitimos o no que se realicen modificaciones en el directorio exportado desde el cliente.
   no_access (Podemos dar acceso al directorio principal, pero a lo mejor no queremos que toquen otros subdirectorios, para ello hay que añadir este parámetro en cada línea de los subdirectorios que no se quiera permitir ver).
4. Aqui podemos encontrar varias opciones:
   • Async/sync. Provoca que todas las escrituras a disco sean síncronas, y por tanto ofrece mayor seguridad ante caídas del sistema.
   • Secure/insecure. Hace que las peticiones de conexión tengan que provenir obligatoriamente de un puerto inferior a 1024.
   • No_root_squash. Normalmente cuando el usario, de la máquina cliente, que hace una petición para montar una partición es el root, sus permisos sobre la partición montada serán de usuario nobody. Si añadimos esta opción, sus permitiremos que el usuario root de la máquina cliente también tenga acceso root a la máquina servidor.
   • Root_squash. Especifica justamente lo contrario que el anterior, que se mapeen los uid de root a nobody.
   • All_squash. Especifica que se mapeen los uid de cualquier usuario a nobody.
   • Anouid y anondig. Especifica los uid y gid que queremos que figuren en la peticiones anónimas.

Ejemplos:

/var/tmp     *(ro,sync)

/var/tmp     192.168.1.1(rw,sync)

/var/tmp     *.local_domain(ro,insecure,all_sqush)

Una vez modificado el archivo deberemos reiniciar el servicio NFS o ejecutar ejecutar exportfs -ra. Para comprobar que directorios están siendo exportados bastara con ejecutar:  exportfs.

Podemos hacer otra serie de comprobaciones como las siguientes:

• Clientes que están conectados a nuestro servidor NFS: $ cat /var/lib/nfs/rmtab.

• Que puertos se están utilizando: $ rpcinfo (Normalmente 32771, 111, 2049 ).

• En Red Hat podemos ver en que niveles correrá el servidor NFS mediante : # chkconfig –list nfs y modificarlo mediante #chkconfig –level 12345 on/off nfs.

Securizando el servidor NFS.

Para configurar el nivel de seguridad deberemos editar los ficheros /etc/hosts.allow y /etc/hosts.deny. En estos ficheros deberemos especificar que direcciones IP o rango de direcciones IP pueden acceder a los servicios y quienes no pueden hacerlo. La documentación de NFS recomienda las siguientes entradas:

portmap: ALL

lockd: ALL

mountd:ALL

rquotad: ALL

statd: ALL

En el archivo /etc/hosts.allow daremos permisos a los usuarios o rangos que queramos, por ejemplo:

portmap:192.168.1.0/255.255.255.0

lockd:192.168.1.0/255.255.255.0

mountd:192.168.1.0/255.255.255.0

rquotad:192.168.1.0/255.255.255.0

statd:192.168.1.0/255.255.255.0

Para que todos estos cambios hagan efecto deberemos reiniciar los servicios que hayamos alterado.

Configuración del Cliente.

Ahora pasemos a explicar un poco la parte del cliente. Si no lo esta, iniciamos el cliente:

# etc/init.d/nfs-common start

Creamos una carpeta donde vamos a montar la carpeta del servidor remote: $mkdir /media/servidor_remoto.
Montamos la carpeta que queremos con la siguiente sintaxis: # mount fileserver:/ruta_remota /ruta_local.

Con esto ya deberíamos poder accede a la carpeta remota. Si queremos que está carpeta se nos monte por defecto al arrancar el ordenador podemos incluir la ruta de montaje en el fstab.

Fileserver:/ruta_remota  /ruta_local  nfs  rsize=8192,wsize=8192, timeo=14, intr.

• Nsize y wsize. Especifican el tamaño de datagrama usado por los clientes de NFS en las peticiones de lectura y escritura respec- tivamente. El tamaño predeterminado depende de la versión del núcleo, pero normalmente es de 1024 bytes.

• timeo. Es el tiempo que el cliente de NFS espera para la respuesta de una petición.

• Para el último parámetro tenemos 3 opciones:
  • Hard. Marca este volumen como montado físicamente. Es el valor predeterminado.
  • Soft. Monta lógicamente el controlador.
  • Intr. Permite una señal para interrumpir una llamada a NFS. Útil para abortar cuando el servidor no responde.

Usualmente el demonio rpc.mount rastrea que directorios han sido montados por que anfitriones. Esta información puede mostrarse usando la orden showmount.

Si creamos un grupo, lo único que perseguiremos es la posibilidad de compartir recursos en la red, que estará formada por un número reducido de ordenadores. Cada ordenador del grupo se encarga,por lo tanto, de realizar el control de acceso a los recursos que comparten.

Si optamos por una red cliente/servidor, nos tropezaremos con el concepto de dominio. Un dominio se trata de una forma de agrupación de ordenadores cuyo objetivo fundamental es que la seguridad de la red este centralizada en uno o más servidores. En ocasiones,la red es demasiado grande para crear sólo un dominio, por lo que aparecen múltiples dominios, cada uno de ellos con servidores que controlan los recursos de su dominio.

Un oredenador en el que se ejecute Windows 2003 puede desempeñar tres funciones distintas en una red:

- Controlador de dominio.Es un servidor que se encarga de la seguridad de un dominio, es decir, administra toda la información correspondiente a usuarios y recursos de su dominio. Todo dominio necesita almenos un controlador.

- Servidor miembro. Es un equipo en el que se ejecuta Windows 2003 y pertenece al dominio, pero que no actúa como controlador de dominio. Puede realizar funciones de servidor de aplicaciones, de impresión, etc..

- Servidor independiente. Es cuando un servidor se incorpora a un grupo en lugar de a un dominio.

Para configurar la función que va a hacer nuestro equipo en la red podemos utilizar la herramienta “Administre su servidor” ubicada dentro de las herramientas administrativas o mediante Ejecutar>dcpromo.exe.

Los requisitos para la instalación del Directorio Activo son:

- Microsoft Windows Server 2003 Standar Edition, Enterprise Edition o Datacenter Edition.

- 250 Megabytes de espacio de disco. 200 MB para la base de datos de Active directory y 50 MB para los logs de transacciones del directorio activo.

- Una partición o un volumen con formato NTFS. La partición NTFS se requiere para la carpeta SYSVOL.

- Privilegios necesarios para crear el dominio.

- TCP/IP instalado.

Hecha la presentación pasemos a configurar el equipo como controlador de dominio:

1. Herramientas administrativas >> Administre su servidor y pulsamos agregar o quitar función

2. Leemos las indicaciones que nos aparecen y pulsamos siguiente. Tras realizar una comprobación de la configuración actual de la red, se nos proporcionan dos opciones: Realizar la configuración típica de un controlador de dominio o añadir una función personalizada al servidor. La primera opción configura automáticamente los servicios necesarios para que nuestro equipo actúe como controlador de dominio. El servicio obligatorio para desempeñar esta función es “active Directory”, ya que es la base de datos donde se guarda toda la información del dominio. Adicionalmente, se necesitará el servicio DNS.

3. Nosotros elegiremos la casilla “Configuración personalizada” y continuamos.

4. Entonces nos aparecerá la lista de servicios que podremos instalar. En este caso seleccionaremos “Active Directory”.

5. Después de un par de siguientes nos da la opción de crear un dominio nuevo o añadir un controlador adicional a un dominio existente. Nosotros vamos a crear un dominio nuevo por lo que escogeremos esta opción y seguiremos adelante. El servidor DNS tiene que estar disponible en la red para poder utilizar Active Directory. Podremos tener un servidor DNS distinto al controlador de dominio o agregar estas funciones al mismo servidor.

6. Activamos la casilla no, solo instalar y configurar DNS en este equipo.

7. Llegado este punto deberemos indicar el nombre del dominio que estamos creando. Tenemos tres posibilidades a la hora de nombrar un dominio: utilizar el mismo nombre que el dominio que tenemos registrado en Internet, utilizar un subdominio de éste o utilizar un nombre distinto para el dominio de Windows. En nuestro caso el nombre de dominio será: “prueba.local”. Si en la red tenemos equipos con sistemas operativos antiguos, no van a reconocer el nombre del dominio tal como lo hemos escrito. Por lo tanto deberemos recurrir a su nombre Netbios, que en este caso es PRUEBA.

8. Nos crea la base de datos de los logs de Active directory. La localización por defecto es ” %Systemroot \Ntds “.

9. Crea la carpeta compartida del volumen del sistema. Esta estructura se replica para todos los controladores de dominio. Contiene las siguientes carpetas: La carpeta compartida SYSVOL que contiene la información de las políticas de grupo y la carpeta compartida Net Logon, que contienen los logon scripts para computadoras el las que no esta instalado Windows 2003 Server. El lugar por defecto será: ” %Systemroot \SYSVOL “.

10. Nos aparecerá un error de diagnostico del servicio DNS. Elegiremos la última opción: “Corregir el problema más adelante”.

11. En el siguiente pasa deberemos introducir la contraseña del usuario Administrador que se utilizará en el caso que necesitamos restaurar el directorio. En este punto debemos tener un par de cosas claras:

    1. Al instalar el sistema operativo, se crea el usuario Administrador del equipo (Administrador local) y se establece su contraseña.
    2. Al crear el dominio, se crea la cuenta Administrador del dominio, cuya contraseña coincide con la del administrador local.

    3. Además, se permite modificar la contraseña del administrador local, ya que será la que se utilice en el caso de que sea necesario restaurar el dominio. Esto es lógico, ya que, al restaurar el dominio, no puede estar funcionando el servicio Active directory, por lo que sólo podemos usar la cuenta del administrador local.

12. Por fin llegado el último paso, el asistente nos mostrará un resumen de la configuración que hemos establecido en los pasos anteriores. Si alguna cosa no es correcta, este será el momento de corregirla.

Si toda va bien el controlador de dominio estará instalado. Para comprobarlo podemos ir a “Mis sitios de red” y observar que nos aparece el dominio que hemos creado y que el único equipo que de momento tenemos es el servidor.

Aquí os dejo un vídeo demostrativo que espero que os sirva de guía.

1. Pertenece a la familia de protocolos de vector distancia los cuales buscan el camino más corto determinando la dirección y la distancia a cualquier enlace. Estos algoritmos de enrutamiento basados en vectores, pasan copias periódicas de una tabla de enrutamiento de un router a otro y acumulan vectores distancia.

2. La métrica empleada es el número de saltos que hay entre el router origen y destino. Una red directamente conectada tendrá un coste igual a 1.

3. Para el intercambio de información emplean datagramas UDP.

4. El Puerto reservado para este protocolo es el 520.

5. Emplea el algoritmo de Bellman-Ford distribuido. Para más información podéis visitar esta página: http://www.it.uc3m.es/~prometeo/rsc/apuntes/encamina/encamina.html

6. Las rutas tienen un tiempo de vida de 180 segundos. Si pasado este tiempo, no se han recibido mensajes que confirmen que esa ruta está activa, se borra. Estos 180 segundos, corresponden a 6 intercambios de información.

7. RIP no es capaz de detectar rutas circulares, por lo que necesita limitar el tamaño de la red a 15 saltos. Cuando la métrica de un destino alcanza el valor de 16, se considera como infinito y el destino es eliminado de la tabla (inalcanzable).

Pasada esta pequeña introducción pasemos al ejemplo completo. La estructura del ejemplo es la de siempre:

La configuración de los diferentes dispositivos sería la siguiente:

Configuración de los switch A:

>enable
#configure
Enter configuration commands, one per line. End with CNTL/Z
(config)#ip addres 192.168.1.253 255.255.255.0
(config)#enable secret cisco
(config)#exit
#

Configuración de los switch B:

>enable
#configure
Enter configuration commands, one per line. End with CNTL/Z
(config)#ip addres 192.168.2.253 255.255.255.0
(config)#enable secret cisco
(config)#exit
#

Configuración del Router A:

// Entramos en el modo configuración:
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
//Pasamos a configurar el interfaz fastethernet.
Router(config)#interface f0/1
Router(config-if)#ip address 192.168.1.254 255.255.255.0
Router(config-if)#no shutdown
14:39:15 %LINK-3-UPDOWN: Interface Fastethernet0/1, changed state to up
14:39:15 %LINEPROTO-5-UPDOWN: Line protocol on Interface Fastethernet0/1, changed state to up
Router(config-if)#exit
//Pasamos a configurar el interfaz Serial. Cambia un poco la configuración entrando en juego varios parámetros nuevos. Por un lado “clock rate” y por otro Bandwidth”. Hay que resaltar que estos parámetros solo se deben configurar en el router que haga de DCE.
Router(config)#interface s0/0
Router(config-if)#no shutdown
14:39:33 %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
<14:39:33 %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#clock rate 9600
Router(config-if)#bandwidth 56000
Router(config-if)#exit
//Guardamos la configuración.
Router#copy running-config startup-config
Building configuration…
[OK]
Router#

La configuración del router B es igual que la del A pero cambiando las IPs correspondientes. Con esto tendríamos configurados todos los equipos pero nos quedaría configurar las rutas dinámicas para ello deberemos usar los siguiente comandos:

# configure terminal
(config)# router rip //Entramos en el modo configuración de protocolo dinámico.
(config-router)#? (algunos de los comandos)

Router configuration commands:

auto-summary Para restaurar la conducta por default de sumarización automática de rutas de subredes en rutas a nivel de red, usamos el comandos de configuración de enrutamiento auto-summary. Para deshabilitar esta función debemos utilizar el prefijo no a este comando.

default-information Control distribution of default information

default-metric Cambia la métrica de las rutas.

distance Define la distancia administrativa.

distribute-list Filter networks in routing updates

exit Sale del modo de configuración.

neighbor Especifica los routers vecinos.

network Defina las redes directamente conectadas.

output-delay Interpacket delay for RIP updates

passive-interface Impedir actualizaciones.

timers Ajustar el tiempo de actualización.

version Selecciona la versión de protocolo.

Para poder concluir nuestro ejemplo deberemos añadir las siguientes líneas a la configuración:

Router A:

(config)#router rip
(config-router)# version 2
(config-router)# network 192.168.1.0
(config-router)# network 10.0.0.0

Router B:

(config)#router rip
(config-router)# version 2
(config-router)# network 192.168.2.0
(config-router)# network 10.0.0.0

Para comprobar que todo va bien, podemos usar “show ip route” y por supuesto el comando ping. Por lo tanto para configurar este protocolo de enrutamiento bastará con anunciar las redes a las que estamos directamente conectados.

Ahora sería interesante que probaseis a hacer el ejemplo con tres routers si tenéis alguna duda preguntar.

1. Un circuito de datos que es poco fiable y deja de funcionar constantemente. En estas circunstancias, un protocolo de enrutamiento dinámico podrá producir demasiada inestabilidad, mientras que las rutas estáticas no.

2. Existe una sola conexión con un solo ISP. En lugar de conocer todas las rutas globales de Internet, se utiliza una sola ruta estática.

3. Se puede acceder a una red a través de una conexión de acceso telefónico. Dicha red no puede proporcionar las actualizaciones constantes que requieren un protocolo de enrutamiento dinámico.

4. Un cliente o cualquier otra red vinculada no desean intercambiar información de enrutamiento dinámico. Se puede utilizar una ruta estática para proporcionar información a cerca de la disponibilidad de dicha red.

Para resolver algunos de los problemas que presenta el enrutamiento estático aparecen los protocolos de enrutamiento dinámico que presentan las siguientes características:

• Escalables y adaptables.
• Originan sobrecargas en la red.
• Presentan recuperación frente a fallas.

Por lo tanto los protocolos de enrutamiento dinámico son usados por los enrutadores para descubrir automáticamente nuevas rutas permitiendo a los administradores dejar que la red se regule de una forma automática, pero al precio de un mayor consumo de ancho de banda y potencia del procesador en tareas de adquisición y mantenimiento de información de enrutamiento.

Antes de meternos de lleno en la explicación debemos aclarar brevemente una serie de conceptos que nos pueden ser útiles.

Convergencia: Es el objetivo principal de todos los protocolos de enrutamiento. Cuando un conjunto de enrutadores converge significa que todos sus elementos se han puesto de acuerdo y reflejan la situación real del entorno de red donde se encuentran. La velocidad con la que los protocolos convergen después de un cambio es una buena medida de la eficacia del protocolo de enrutamiento.

Distancia administrativa y métrica: Es una medida de la confianza otorgada a cada fuente de información de enrutamiento Cada protocolo de enrutamiento lleva asociado una distancia administrativa. Los valores más bajos significan una mayor fiabilidad. Un enrutador puede ejecutar varios protocolos de enrutamiento a la vez, obteniendo información de una red por varias fuentes. En estos casos usará la ruta que provenga de la fuente con menor distancia administrativa de los protocolos de enrutamiento.

Sistema autonomo (SA): Es un conjunto de enrutadores, generalmente administrados por una entidad común, que intercambian información de enrutamiento mediante un protocolo de enrutamiento común. Los sistemas autónomos poseen un identificador numérico de 16 bits.

Se puede realizar una primera clasificación de los protocolos de enrutamiento en función de si actúan dentro de un sistema autónomo(IGP) o exteriores que conectan sistemas autónomos (EGP).

Los protolocolos internos (IGP, Interior Gateway Protocol) permiten el intercambio de información dentro de un sistema autónomo. Ejemplos de protocolos internos son RIP (Routing Information Protocol), RIPv2 (RIP version 2), IGRP (Iter-Gateway Routing Protocol), EIGRP (Enhanced IGRP) y OSPF (Open Shortest Path First).

Los protocolos externos (EGP, Exterior Gateway Protocol) interconectan sistemas autónomos. Un ejemplo de protocolo de enrutamiento de este tipo es el BGP (Border Gateway Protocol, Protocolo de Pasarela de frontera).

También pueden clasificarse los protocolos de enrutamiento dinámico en función del algoritmo utilizado para llevar a cavo el enrutamiento. Existen tres grandes categorias:

- Protocolos de vector distancia.

Buscan el camino más corto determinando la dirección y la distancia a cualquier enlace. Estos algoritmos de enrutamiento basados en vectores, pasan copias periódicas de una tabla de enrutamiento de un router a otro y acumulan vectores distancia. Las actualizaciones regulares entre routers comunican los cambios en la topología..

Este algoritmo genera un número, denominado métrica de ruta, para cada ruta existente a través de la red. Normalmente cuanto menor es este valor, mejor es la ruta. Las métricas pueden calcularse basándose en una sola o en múltiples características de la ruta. Las métricas usadas habitualmente por los routers son:

- Numero de saltos: Número de routers por los que pasará un paquete.
- Pulsos: Retraso en un enlace de datos usando pulsos de reloj de PC.
- Coste: Valor arbitrario, basado generalmente en el ancho de banda, el coste económico u otra medida.
- Ancho de banda: Capacidad de datos de un enlace.
- Retraso: Cantidad de actividad existente en un recurso de red, como un router o un enlace.
- Carga: Cantidad de actividad existente en un recurso de red, como un router o un enlace.
- Fiabilidad: Se refiere al valor de errores de bits de cada enlace de red.
- MTU: Unidad máxima de transmisión. Longitud máxima de trama en octetos que puede ser aceptada por todos los enlaces de la ruta.

RIP,RIPv2,IGRP, son protocolos característicos de vector distancia.

- Protocolos de estado de enlace.

Los protocolos de estado de enlace crean tablas de enrutamiento basándose en una base de datos de la topología. Esta base de datos se elabora a partir de paquetes de estado de enlace que se pasan entre todos los routers para describir el estado de una red. Utiliza paquetes de estado de enlace (LSP), una base de datos topológica, el algoritpo SPF, el árbol SPF resultante y por último, una tabla de enrutamiento con las rutas y puertos de cada red.

Sus principales características son las siguientes:

1. Solo envían actualizaciones cuando hay cambios de topología por lo que las actualizaciones son menos frecuentes que en los protocolos por vector distancia.
2. Las redes que ejecutan protocolos de enrutamiento por estado de enlace pueden ser segmentadas en distintas áreas jerárquicamente organizadas, limitando así el alcance de los cambios de rutas.
3. Las redes que se ejecutan protocolos de enrutamiento por estado de enlace soportan direccionamiento sin clase.

El protocolo característico es es OSPF.

- Protocolos híbridos.

Son algoritmos que toman las características más sobresalientes del vector de distancia y la del estado de enlace. Estos protocolos utilizan la métrica de los protocolos vector distancia como métrica, sin embargo utilizan en las actualizaciones de los cambios de topología bases de datos de topología, al igual que los protocolos de estado del enlace. ejemplos característicos de protocolos híbridos son BGP y EIGRP.

Terminaremos esta breve introducción con dos tablas: una comparativa entre vector distancia y estado de enlace y otra tabla con los protocolos que iremos explicando en sucesivos posts.

Vector Distancia	Estado de enlace
Vista de la topología de la red desde la perspectiva del vecino	Consigue una vista común de toda la topología de la red
Añade vectores de distancias de router a router	Calcula la ruta más corta hasta otros routers
Frecuentes actualizaciones periódicas, convergencia lenta	Actualizaciones activadas por eventos, convergencia rápida
Pasa copias de la tabla de enrutamiento a los routes vecinos	Pasa las actualizaciones de enrutamiento de estado del enlace a los otros routers

(*) Comparativa entre vector distancia y estado de enlace.

CARCT.	RIP	OSPF	IGRP	EIGRP
Tipo	Vector-Dist.	Estado-enlace	Vector-Dist	Vector-Dist.
Tiempo de converg.	Lento	Rápido	Lento	Rápido
Soporta VLSM	No	Si	No	Si
Consumo de A. B.	Alto	Bajo	Alto	Bajo
Consumo de recursos	Bajo	Alto	Bajo	Bajo
Mejor escalamiento	No	Si	Si	Si
De libre uso o propietario	Libre Uso	Libre Uso	Propietario	Propietario

(*) Comparativa entre protocolos.

La función básica de un router es encaminar la información hacia su destino. para hacerlo necesitan tener información acerca de las rutas existentes para alcanzar los distintos destinos. Esta información puede configurarse estáticamente o dinámicamente. La forma estática nos permite controlar las rutas tomadas por los paquetes pero deja de ser práctico cuando nos encontramos con redes grandes. La velocidad de cambio de estas redes hace inviable la reprogramación manual.

Nosotros podemos comprobar la tabla de rutas del router mediante, show ip route. Si probamos obtendremos algo como esto:

Router>show ip route
Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O- OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, * – candidate default
U – per-user static route, o – ODR, P – periodic downloaded static route
T – traffic engineered route

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, Serial0/0
C 192.168.2.0/24 is directly connected, FastEthernet0/0
S 192.168.1.0 [1/0] via 10.0.0.1
Router>

Si nos fijamos en la tabla de rutas podemos ver como las rutas configuradas estáticamente están designadas por “S” y las redes conectadas directamente por “C”.

Bueno hecha la pequeña introducción pasemos a la configuración de los dispositivos.

Configuración de los switch A:

>enable
#configure
Enter configuration commands, one per line. End with CNTL/Z
(config)#ip addres 192.168.1.253 255.255.255.0
(config)#enable secret cisco
(config)#exit
#

Configuración de los switch B:

>enable
#configure
Enter configuration commands, one per line. End with CNTL/Z
(config)#ip addres 192.168.2.253 255.255.255.0
(config)#enable secret cisco
(config)#exit
#

Configuración del Router A:

// Entramos en el modo configuración:
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
//Pasamos a configurar el interfaz fastethernet.
Router(config)#interface f0/1
Router(config-if)#ip address 192.168.1.254 255.255.255.0

Router(config-if)#no shutdown
14:39:15 %LINK-3-UPDOWN: Interface Fastethernet0/1, changed state to up
14:39:15 %LINEPROTO-5-UPDOWN: Line protocol on Interface Fastethernet0/1, changed state to up

Router(config-if)#exit
//Pasamos a configurar el interfaz Serial. Cambia un poco la configuración entrando en juego varios parámetros nuevos. Por un lado “clock rate” y por otro Bandwidth”. Hay que resaltar que estos parámetros solo se deben configurar en el router que haga de DCE.
Router(config)#interface s0/0

Router(config-if)#no shutdown
14:39:33 %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
14:39:33 %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#clock rate 9600
Router(config-if)#bandwidth 56000
Router(config-if)#exit

//Guardamos la configuración.
Router#copy running-config startup-config
Building configuration…
[OK]
Router#

La configuración del router B es igual que la del A pero cambiando las IPs correspondientes. Con esto tendríamos configurados todos los equipos pero nos quedaría configurar las rutas estáticas para ello deberemos usar el siguiente comando:

# ip route red [mascara] interfaz/dirección {peso}

Cuando se refiere a interfaz/dirección debemos especificar interfaz de salida hacia la red deseada o interfaz de próximo salto del router.En nuestro caso deberemos ejecutar las siguientes instrucciones:

Router A:

#ip route 192.168.2.0 255.255.255.0 10.0.0.2
#ip route 192.168.2.0 255.255.255.0 s0

Router B:

#ip route 192.168.1.0 255.255.255.0 10.0.0.1
#ip route 192.168.1.0 255.255.255.0 s0

Para comprobar que todo va bien, podemos usar “show ip route” y por supuesto el comando ping.

Con esto acabamos el próximo día rutas dinámicas.

Hecha la pequeña aclaración pasemos al primer ejemplo. Consta de una estructura sencilla compuesto por un router 2600 y dos switch 1900. Por lo tanto podremos aprender a configurar los interfaces del router pero todavía no nos meteremos con las configuraciones de enrutamiento. El esquema del primer ejemplo e el siguiente:

Para no liarnos mucho comenzaremos con las configuraciones. Las de los equipos son obvias asi que no le voy a dedicar mucho tiempo, tal vez habría que indicar que la puerta de enlace es el interfaz del router que pertenece a su red. Para configurar los switchs deberemos seguir los siguientes pasos:

 

>enable

#configure

Enter configuration commands, one per line. End with CNTL/Z

(config)#hostname madrid

madrid(config)#ip address 192.168.2.253 255.255.255.0

madrid(config)#enable secret cisco

madrid(config)#exit

madrid#

Bastará cambiar los datos apropiados para cada uno de ellos (IP, Nombre). Una vez configurados los switchs pasamos a configurar el router, la configuración en este ejemplo es muy sencilla. Primero deberemos ir hasta el modo interface y configurar cada uno de ellos de la misma forma que configuramos un switch con la salvedad de que en el router los interfaces estan desactivados (caídos) y deberemos activarlos (levantarlos) mediante el comando no shutdown. Para terminar la configuración del router no deberemos olvidarnos copiar la configuración que hemos hecho que se encuentra en el running-config en el archivo de inicio startup-config. Los pasos a seguir para la configuración son los siguientes:

Router Con0 is now available

Press RETURN to get started!

Router>enable

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z

Router(config)#interface f0/0

Router(config-if)#ip address 192.168.2.254 255.255.255.0

Router(config-if)#no shutdown

12:02:21 %LINK-3-UPDOWN: Interface Fastethernet0/0, changed state to up

12:02:21 %LINEPROTO-5-UPDOWN: Line protocol on Interface Fastethernet0/0, changed state to up

Router(config-if)#exit

Router(config)#interface f0/1

Router(config-if)#ip address 192.168.1.254 255.255.255.0

Router(config-if)#no shutdown

12:03:09 %LINK-3-UPDOWN: Interface Fastethernet0/1, changed state to up

12:03:09 %LINEPROTO-5-UPDOWN: Line protocol on Interface Fastethernet0/1, changed state to up

Router(config-if)#exit

Router(config)#exit

Router#copy running-config startup-config

Destination filename [startup-config]?

Building configuration…

[OK]

Router#

Por lo tanto resumiendo un poco, la configuración del router consta de los siguientes pasos:

• Entramos en modo configuración.

• Entramos en el modo configuración del interfaz que queremos configurar.

• Le damos una IP mediante “ip address” y levantamos el puerto con “no shutdown“.

• Despues de configurar todos los interfaces copiamos la configuración en el archivo startup-config mediante copy running-config to startup-config.

• Comprobamos la configuración mediante “show running-config” ó “show interface” .

Bueno esto es todo por hoy.

Al conectarnos al Switch vía puerto serial o vía telnet nos aparecerá la siguiente pantalla, en la que podremos elegir configurarlo por menús o desde línea de comandos. Nosotros elegiremos la segunda.

Catalyst 1900 Management Console
Copyright (c) Cisco Systems, Inc. 1993-1999
All rights reserved.
Enterprise Edition Software
Ethernet Address: 00-30-80-C7-BE-C0

PCA Number: 73-3122-04
PCA Serial Number: FAB033723WJ
Model Number: WS-C1912-A
System Serial Number: FAB0338S10A
Power Supply S/N: APQ032404SA
PCB Serial Number: FAB033723WJ,73-3122-04
————————————————-

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus
[K] Command Line

Enter Selection:

Pulsamos K y apareceremos en la línea de comandos.

Modos de la línea de comandos.

Existen tres modos: invitado(>), usuario privilegiado(#) y modo configuración((config)#). Representan los niveles de privilegios para llevar a cabo la configuración del Switch. En el modo que aparecemos por defecto es obviamente el de invitado. Los comando para pasar de un modo a otro son los siguientes:

Dependiendo en que modo estemos podremos usar unos comandos u otros. Para ver que comandos podemos utilizar dentro del modo en el que nos encontramos bastara con utilizar “?” en la línea de comandos.Por ejemplo estos serán los comandos que podremos usar desde el modo invitado.

>?

Exec commands:

De entre estos comandos se encuentra uno muy importante, “show”. Con este comando podremos mostrar desde la versión del sistema hasta la configuración. Podemos probar con los siguientes modificadores:

• >show ip (Muestra la configuración IP).
• >show version (Muestra la versión del sistema).
• >show history (Muestra la lista de comandos utilizados).

Para saber los modificadores de cada uno de los comandos bastará con utilizar otra vez “?” de la siguiente forma:

#show ?

Nos aparecerá una lista de los posibles modificadores.

Ya tenemos una idea general asi que vamos a pasar a lo importante y empecemos a configurar el Switch, para hacerlo vamos a seguir los siguientes pasos:

1. Le daremos un nombre.
2. Le daremos una IP.
3. Le daremos una contraseña al mode enable para que automáticamente se active el servicio de terminal.

Para realizar esta configuración nos bastará con seguir los siguientes pasos:

Con esto ya habremos hecho la configuración básica del switch. Otro día pasamos a otras configuraciones.

Los diagramas de Kiviatt son unos gráficos circulares en cuyos ejes radiales se representan diferentes indices de prestaciones. Las intersecciones entre los radios y la circunferencia representan los valores máximos que pueden alcanzar las variables representadas en los mismos. Aunque en principio, el número de ejes que puede tener un gráfico de este tipo es arbitrario y depende de los datos que se van a representar, se suelen seguir unos convenios de representación. El más conocido es la versión de Kent.

Diagrama de Kent-Kiviatt:

1. Se selecciona un número par de variables que hay que estudiar, frecuentemente ocho, la mitad de ellas deben ser buenos índices de prestaciones y la otra mitad malos.
2. Se divide el círculo en tantos sectores como variables hay que representar.
3. Se enumeran los semiejes secuencialmente, normalmente en sentido horario, comenzando por el semieje vertical superior.
4. Se asocian los buenos indices de prestaciones a los semiejes impares y los malos a los pares.

Ejemplo de construcción de un gráfico Ken-Kiviatt.

Se consideran las siguientes variables:

1. CPU ocupada o activa.(CPU)
2. Sólo CPU ocupada. (CPU*NCH)
3. Solapamiento de CPU y canal.(CPU * CH)
4. Sólo canal ocupado sin solape en la CPU. (NCPU * CH)
5. Cualquier canal ocupado. (CH)
6. CPU en estado de espera. (NCPU)
7. CPU atendiendo a programas de usuario. (CPU usuario)
8. CPU en estado supervisor. (CPU supervisor)

(*) Diagrama Ken-Kiviatt

Teniendo en cuenta estas variables pueden aparecer diversas formas características. A continuación explicamos las formas más comunes.

(A) Estrella de Kiviat. Se corresponde a una situación ideal en la que todas las variables están compensadas.

(B) Vela de Barco. Corresponde a sistemas limitados por la CPU, es decir sistemas con mucha demanda de CPU y poca utilización de los canales.

(C) Cuña. Corresponde a sistemas limitados por la E/S. Poseen una elevada utilización de los recursos de E/S y baja de la CPU

(D) Flecha de E/S. Sistemas limitados por la E/S que además tienen una elevada utilización de la CPU.

(E) Thrshing. Sistema saturado por la paginación.

Por lo tanto estos gráficos nos pueden servir para presentar de una forma visual las características de rendimiento de un equipo. Podemos utilizar Systemometer, que es un programa que nos va dibujando los diferentes gráficos de Kiviatt de nuestro ordenador.

Fuentes:

• Apuntes Uned “Diseño y evaluación de configuraciones”
• Libro: Evaluación y explotación de sistemas informáticos.
• “http://www.iftix.com/systemometer/” para bajar la versión gratuita del programa.

La idea es que podemos asociar un archivo1 a un archivo2 sin modificar archivo2 pero conteniendo al archivo1. Ya se que parece un poco lio pero enseguida vereis lo que tratamos de hacer.

Lo primero que deberemos hacer es comprobar que tenemos instalado nuestro sistema Operativo en una partición NTFS, para ello podemos usar el método que queraís. Uno sencillo puede ser chkdsk.

C:\>chkdsk

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\vmartinez>chkdsk
El tipo del sistema de archivos es NTFS.

Advertencia: parámetro /F no especificado.
Ejecutando CHKDSK en modo de sólo lectura.

Una vez comprobado que tenemos sistema de ficheros NTFS pasemos a ver como funciona el método.

- Creamos un fichero de texto en el que escribiremos fichero1.

C:\>echo fichero1 > fichero1.txt

- Creamos un fichero de texto en el que escribiremos fichero2.

C\:>echo fichero2 > fichero2.txt.

- Fijaros bien en los pesos de los archivos. Normalmente unos 20-30 bytes.

– Utilizamos el método de la siguiente forma:

C:\>type fichero2.txt > fichero1.txt:oculto

- Ahora eliminamos el fichero2.txt ( “del fichero2.txt”) y comprobamos que se ha borrado (“dir”). Y comprobamos que fichero1.txt sigue pesando igual que antes. Lo abrimos con el editor y sigue poniendo lo mismo “fichero1″.

- Llegado este momento vamos a recuperar nuestro fichero2.txt. Aunque el sistema operativo nos indique que ya no existe sigue estando ahí.

C:\> more > fichero1.txt:oculto

Y comprobamos sorprendidos “fichero2″. Hemos recuperado el otro fichero aunque el S.O. se empeñe en decir que no existe.

Realmente lo que ha pasado es que hemos asociado el contenido del archivo fichero2.txt al archivo fichero1.txt mediante “stream”. Cuando hacemos esto el contenido del archivo asociado queda oculto dentro del fichero1.txt. Por más increible que parezca este archivo sería capaz de pasar un test byte a byte o un test de crc, o un test de antivirus(Algunos antivirus ya los detectan) porque no ha sido modificado.

Con este método podemos realizar cosas como estas:

• Sobre el mismo fichero de antes vamos a ocultar un video cualquiera:
  

• C:\> video.avi > fichero1.txt:oculto2.avi

  C:\>start .\fichero1.txt:oculto2.avi

Como veis podemos crear varios enlaces a un mismo fichero sin ningún tipo de problema.

• Sobre el mismo fichero de antes vamos a ocultar un ejecutable (*.exe).

C:\> type ejecutable.exe > fichero1.txt:ejecutable.exe

C:\> start .\fichero1.txt:ejecutable.exe

• Ejecución de scripts.
  

• C:\> Echo MsgBox “Hola mundo” > hola.txt:hola.vbs

  C:\> Start .\hola.txt:hola.vbs

  Nos aparecerá una venta con Hola mundo.

A partir de aqui podeís probar vosotros mismos todas las posibilidades que tiene este método.

Que Windows no sea capaz de ver estos archivos no quiere decir que no haya programas que sean capaces. Una herramienta que se puede utilizar es LADS. que la podemos obtener en http://www.heysoft.de. Para utilizarlo basta con copiar el archivo lads.exe dentro del directorio que queramos examinar y ejecutarlo.

C:\Documents and Settings\vmartinez>C:\DOCUME~1\VMARTI~1\CONFIG~1\Temp\Rar$DR00.
469\lads.exe

LADS – Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\Documents and Settings\vmartinez\

size ADS in file
———- ———————————
22 C:\Documents and Settings\vmartinez\hola.txt:hola.vbs
22 bytes in 1 ADS listed

Podemos obtener la ayuda del programa de la siguiente forma:

C:\Documents and Settings\vmartinez>C:\DOCUME~1\VMARTI~1\CONFIG~1\Temp\Rar$DR00.
469\lads.exe /?

LADS – Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Usage: LADS [Directory] [/S] [/D] [/A] [/Xname]
Directory: directory to scan, current if ommitted
/S include Subdirectories
/D Debug LADS
/V Verbose error reports
/A give a summary of All bytes used in the scanned directories
(All files and directories are considered as uncompressed
and all security decriptions are skipped
for calculating this number!)
/Xname eXclude any ADS “name”
/Pfile read Parameters from “file”

 

En caso de poder arrancar el ordenador desde dispositivos alternativos al raíz, el primer objetivo sera el archivo de passwords. En Windows buscaremos el archivo SAM que es el archivo de Log en el que se encuentran los datos y las contraseñas de todas las sesiones. En principio es un archivo de sistema que no se puede abrir, por lo que deberemos usar diferentes técnicas para volcarlo. En Linux buscaremos los archivos “passwd” y “shadow” que es donde se encuentran los usuarios y contraseñas. Las ubicaciones de estos archivos son las siguientes:

• C:\windows\system32\config\Sam en Windows NT/2K/XP.
• C:\windows\repair\sam. en Windows NT/2K/XP [+expand] .
• /etc/passwd ó /etc/shadow en Linux.

Por lo tanto si podemos arrancar desde un cd o disquete existen muchas herramientas para cambiar la contraseña. Ojo! cambiar la contraseña, que no es lo mismo que conseguir la contraseña. Una lista de las herramientas que podemos utilizar es la siguiente:

• Trinux. [www.trinux.org].
• ERD Commander.
• CIA Commander.
• ntfsdospro.

Estas herramientas funcionan más o menos de la misma forma. Arrancamos el ordenador desde el cd y seguimos los pasos. ERD Commander es una suite completa que nos permite hacer muchas cosas, entre las cuales nos permite cambiar contraseñas de usuarios. Es un entorno Windows con ventanas asi que no creo que haya ningún problema en usarlo.

Trinux, en cambio, es una mini distribución linux y apareceremos en un entorno de linea de comandos, pero sin ningún tipo de dificultad.

Ejemplo de uso de CIA Commander.

• Arrancamos desde el disquete y nos aparecerá una pantalla como la siguiente:

• Seleccionamos “User manager” y nos aparecerá una pantalla con los usuarios que ha encontrado. Solo tendremos que ir seleccionándolos y nos dira si tienen contraseña o no. Para cambiarla sólo tendremos que pulsar “F3″ y nos aparecerá un pequeño cuadro de diálogo para escribir la nueva contraseña. Con lo que habremos cumplido nuestro objetivo de sobreescribir la contraseña.

Obteniendo las contraseñas.

Como siempre existen métodos, un poco más elaborados, que nos permiten obtener la contraseña original y no sobreescribirla. Para ello usaremos dos herramientas:

• Pwdump.
• Jhon the ripper.

Pwdump nos permitirá extraer las passwords dinámicamente de la LSA [Local Security Authority], del registro. Para hacer esto simplemente hacemos:

C:\> pwdump.exe > claves.txt

Con lo que redirigimos las claves a un archivo que podemos leer y editar. El archivo se parecerá a algo como esto:

C:\> more claves.txt.

Administrador:500:c16bbd4cc3e06f85eb7e087d5f3aaf47:569ertgc7f3bcgfhfswrg546545589ffa012:::
Asistente de ayuda:1000:cbffaf481c09908133d6a743dd2b332e:ec02da0d2f7039c890e9ee575d5f75bc:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:7836502367e0a931943e430d51bd8fbb:::
vmartinez:1003:aad3b435b51659875453b435b51404ee:31d54689pokae931b73c59d7e0c089c0:::
__vmware_user__:1005:aad3b435b51404eeaad3b435b51404ee:2563987pa887c0005b906e86f7a8f246:::

Ahora solo nos quedará descifrar las claves. Para ello usaremos Jhon the Ripper. Este es un programa de ataque a contraseñas que puede usar diccionario, diccionario con reglas, fuerza bruta y fuerza restringida. Otro día explicaré más a fondo como funciona este programa. Hoy lo usaremos mediante fuerza bruta y con los parámetros por defecto.

C:\>jhon-386.exe claves.txt

Ya sólo nos quedará esperar a que el ataque tenga efecto. Ya sabeis que esto dependerá de la longitud de la contraseña, Por lo que puede llegar a tardar muchas horas. Pero bueno finalmente tendremos la contraseña buscada y sin que tengamos que cambiarla, cosa de la que el usuario se enteraría…