NETWORKING9 Ingeniera de Sistemas e Informtica -ISIN-

NETWORKINGTABLA DE CONTENIDOSPresentacin Objetivos del mdulo Introduccin UNIDAD I: INTRODUCCION AL NETWORKING CAP. I: Introduccin CAP. II: Stack de Protocolos TCP/IP CAP. III: Administracin de Direccionamiento IP UNIDAD II: ELEMENTOS DE UNA INTERNETWORK CAP. I: Red IP CAP. II: Red de Servicios UNIDAD III: CONFIGURACION DE DISPOSITIVOS CISCO CAP. I: Configuracin Basica CAP. II: Configuracion de Interfaces CAP. III: Configuracin de rutas estaticas CAP. IV: Listas de control de acceso ACL UNIDAD IV: INSTALACION Y CONFIGURACION DE SERVIDORES. CAP. I: Instalacion y configuracin de servidores de Intranet CAP. II: Instalacion y configuracin de servidores de Internet UNIDAD V: INSTALACION DE UNA CENTRAL IP CAP. I: Requisitos de hardware para instalar Asterisk CAP. II: Requisitos de librerias y paquetes adicionales CAP. III: Instalacion de Asterisk

1

NETWORKINGPRESENTACIN DEL MODULO El uso diario de computadoras, telefonos moviles y demas dispositivos tecnologicos de telecomunicacin hacen necesario de un entorno en el que todos estemos interconectados para compartir informacin, acceder a aplicaciones o por simple confort al descargar musica o ver imgenes o videos. Es por lo dicho que la conectividad y por tanto el Networking son temas relevantes para un profesional cuyo trabajo depende en gran medida de estos temas. La disciplina de los sistemas informaticos hoy no es un tema apartado de las telecomunicaciones, por el contrario los sistemas desarrollados por un Ingeniero de Sistemas Informaticos deben introducirse en la Internetwork para que sea accedido por los usuarios que estan ya sea dispersos por una ciudad, por el pais o por todo el mundo. Para acceder a los servicios y sistemas de interes se necesita tanto de la infraestructura IP como la de servicios que asi lo permitan, por ejemplo para acceder al sitio web diseado se requerira la parte IP como infraestructura basica para el transporte de paquetes de informacin y de un servidor web que permita enviar ese sitio a los clientes remotos via el protocolo http. Es sin duda una tematica que concentrara todos los apspectos necesarios para mantenernos comunicados y disfrutar de los sistemas, aplicaciones y servicios diseados por nosotros. Bienvenidos al inmenso mundo del Networking, en el que se conjugaran tematicas tan diversas y a la vez tan complementarias que nos ayudaran a entender al interaccion del ser humano con al tecnologa de telecomunicacin. No quiero terminar esta presentacion sin antes agradecer pblicamente a dos ex alumnos: Marcelo Burgos y Angel Chamba. Distinguidos profesionales que en su oportunidad fueron dirigidos por mi persona y de cuyos trabajos he extrado gran parte del material de este modulo. A ellos mi eterna gratitud por brindarme su amistad y confianza.

2

NETWORKING

OBJETIVOS DEL MODULOOBJETIVO GENERAL Capacitar al estudiante en cada uno de los topicos del Networking, utilizando para ello un enfoque meramente practico y de aprender haciendo. OBJETIVOS ESPECIFICOS 1. Introducir al estudiante en todos los conceptos necesarios para entender los diferentes topicos que incluye el Networking. 2. Capacitar al estudiante en las diferentes tecnologas de acceso y de core para proporcionar transmisin de datos o Internet, asi como tambien conocer las tecnologas sobre la red de servicios dentro de un entorno global de telecomunicaciones.

3. Configurar un switch o router cisco desde cero, para ello se empezara por lo basico, ruteo estatico, y control de trafico por listas de acceso. 4. Instalar y configurar servidores de Intranet r internet bajo plataforma Linux, o cualquier distribucin libre de Unix. Para ello se utilizara los fuentes de los programas. 5. Instalar Asterisk en un servidor de minimos requerimientos de hardware para convertirla en una central IP con o sin salida a la PSTN.

3

NETWORKING

INTRODUCCINEl Networking es la disciplina que se ocupa del estudio de la conectividad entre dispositivos de red y la prestacin de servicios a los usuarios de tal infraestructura. En la primera unidad se hace un recuento de los conocimientos basicos necesarios para abordar las tematicas del Networking como el stack de protocolos TCP/IP y el direccionamiento IP. En la segunda unidad se revisa los elementos de una internetwork, en al que se divide la misma en dos grandes campos: La Red IP y La Red de Servicios. LA primera trata de las tecnologas que permiten conecar dispositivos IP y que los usuarios accedan a la misma. La segunda, la red de servicios tarat sobre como ofrecer los mismos alos clientes, es decir, como hacerle util a la infraestructura IP. En la tercera unidad , ya enmarcada dentro de un carcter meramente practico trata sobre al configuracin de dispositivos Cisco, tematica indispensable para entender la red IP. Se detalla la configuracin basica, la configuracin de interfaces, el ruteo estatico y el control de trafico usando ACLs. En la cuarta y quinta unidades se trata a profundidad las instalacion y configuracin de servidores bajo plataforma Linux. Se divide en dos grupos: Los servidores de Intranet (Firewall, proxy, dhcp, nfs) y Los servidores de Internet (DNS, Correo, Web, FTP). Por ultimo, en la sexta unidad se aborda las centrales telefoncias IP, como complemento perfecto para la red de servicios, se trata el tema utilizando para el proposito plataforma Unix y el software Asterisk como forma de implementacion.

4

NETWORKINGUNIDAD I INTRODUCCION AL NETWORKING OBJETIVO DE LA UNIDAD Introducir al estudiante en todos los conceptos necesarios para entender los diferentes topicos que incluye el Networking. CONTENIDOS: CAPT. TEMAS I II III Introduccin Stack de protocolos TCP/IP Direccionamiento IP

HORAS DE ESTUDIO O3H00 O5H00 O7H00

I Introduccin Internet no es un nuevo tipo de red fsica, sino un conjunto de tecnologas que permiten interconectar redes muy distintas entre s. Internet no es dependiente de la mquina ni del sistema operativo utilizado, de esta manera, podemos transmitir informacin entre un servidor Unix y un ordenador que utilice Windows 98, o entre plataformas completamente distintas como Macintosh, Alpha o Intel. Es ms entre una mquina y otra generalmente existirn redes distintas: redes Ethernet, redes Token Ring e incluso enlaces va satlite, como vemos, est claro que no podemos utilizar ningn protocolo que dependa de una arquitectura en particular lo que estamos buscando es un mtodo de interconexin general que sea vlido para cualquier plataforma, sistema operativo y tipo de red. La familia de protocolos que se eligieron para permitir que Internet sea una Red de redes es TCP/IP. Ntese aqu que hablamos de familia de protocolos ya que son muchos los protocolos que la integran, aunque en ocasiones para simplificar hablemos sencillamente del protocolo TCP/IP. El protocolo TCP/IP tiene que estar a un nivel superior del tipo de red empleado y funcionar de forma transparente en cualquier tipo de red. Y a un nivel inferior de los programas de aplicacin (pginas WEB, correo electrnico) particulares de cada sistema operativo. Todo esto nos sugiere el siguiente modelo de referencia:Capa de aplicacin (HTTP, SMTP, FTP, TELNET...) Capa de transporte (UDP, TCP) Capa de red (IP) Capa de acceso a la red (Ethernet, Token Ring...) Capa fsica (cable coaxial, par trenzado...)

5

NETWORKINGEl nivel ms bajo es la capa fsica. Aqu nos referimos al medio fsico por el cual se transmite la informacin. Generalmente ser un cable aunque no se descarta cualquier otro medio de transmisin como ondas o enlaces va satlite. La capa de acceso a la red determina la manera en que las estaciones (ordenadores) envan y reciben la informacin a travs del soporte fsico proporcionado por la capa anterior. Es decir, una vez que tenemos un cable, cmo se transmite la informacin por ese cable? Cundo puede una estacin transmitir? Tiene que esperar algn turno o transmite sin ms? Cmo sabe una estacin que un mensaje es para ella?. Pues bien, son todas estas cuestiones las que resuelve esta capa. Las dos capas anteriores quedan a un nivel inferior del protocolo TCP/IP, es decir, no forman parte de este protocolo. La capa de red define la forma en que un mensaje se transmite a travs de distintos tipos de redes hasta llegar a su destino. El principal protocolo de esta capa es el IP aunque tambin se encuentran a este nivel los protocolos ARP, ICMP e IGMP. Esta capa proporciona el direccionamiento IP y determina la ruta ptima a travs de los encaminadores (routers) que debe seguir un paquete desde el origen al destino. La capa de transporte (protocolos TCP y UDP) ya no se preocupa de la ruta que siguen los mensajes hasta llegar a su destino. Sencillamente, considera que la comunicacin extremo a extremo est establecida y la utiliza. Adems aade la nocin de puertos, como veremos ms adelante. Una vez que tenemos establecida la comunicacin desde el origen al destino nos queda lo ms importante, qu podemos transmitir? La capa de aplicacin nos proporciona los distintos servicios de Internet: correo electrnico, pginas Web, FTP, TELNET. II. Stack de Protocolos TCP/IP Hay algunas discusiones sobre como encaja el modelo TCP/IP dentro del modelo OSI. Como TCP/IP y modelo OSI no estn delimitados con precisin no hay una respuesta que sea la correcta. El modelo OSI no est lo suficientemente dotado en los niveles inferiores como para detallar la autntica estratificacin en niveles, necesitara tener una capa extra (el nivel de Interred) entre los niveles de transporte y red. Protocolos especficos de un tipo concreto de red, que se sitan por encima del marco de hardware bsico, pertenecen al nivel de red, pero sin serlo. Ejemplos de estos protocolos son el ARP (Protocolo de resolucin de direcciones) y el STP (Spanning Tree Protocol). De todas formas, estos son protocolos locales, y trabajan por debajo de las capas de Interred. Cierto es que situar ambos grupos (sin mencionar los protocolos que forman parte del nivel de Interred pero se sitan por encima de los protocolos de Interred, como ICMP) todos en la misma capa puede producir confusin, pero el modelo OSI no llega a ese nivel de complejidad para ser ms til como modelo de referencia.

6

NETWORKINGEl siguiente diagrama intenta mostrar la pila TCP/IP y otros protocolos relacionados con el modelo OSI original: 7 Aplicacin 6 Presentacin 5 Sesin 4 Transporte 3 Red 2 Enlace datos ej. HTTP, DNS, SMTP, SNMP, FTP, Telnet, SSH y SCP, NFS, RTSP, Feed, Webcal ej. XDR, ASN.1, SMB, AFP ej. TLS, SSH, ISO 8327 / CCITT X.225, RPC, NetBIOS ej. TCP, UDP, RTP, SCTP, SPX ej. IP, ICMP, IGMP, X.25, CLNP, ARP, RARP, BGP, OSPF, RIP, IGRP, EIGRP, IPX, DDP de ej. Ethernet, Token Ring, PPP, HDLC, Frame Relay, RDSI, ATM, IEEE 802.11, FDDI ej. cable, radio, fibra ptica Tabla 1.1: Protocolos por capa del modelo OSI Normalmente, los tres niveles superiores del modelo OSI (Aplicacin, Presentacin y Sesin) son considerados simplemente como el nivel de aplicacin en el conjunto TCP/IP. Como TCP/IP no tiene un nivel de sesin unificado sobre el que los niveles superiores se sostengan, estas funciones son tpicamente desempeadas (o ignoradas) por las aplicaciones de usuario. La diferencia ms notable entre los modelos de TCP/IP y OSI es el nivel de Aplicacin, en TCP/IP se integran algunos niveles del modelo OSI en su nivel de Aplicacin. 2.1 Capa de Red La familia de protocolos TCP/IP fue diseada para permitir la interconexin entre distintas redes. El mejor ejemplo de interconexin de redes es Internet se trata de un conjunto de redes unidas mediante encaminadores o routers. En una red TCP/IP es posible tener, por ejemplo, servidores web y servidores de correo para uso interno. A continuacin veremos un ejemplo de interconexin de 3 redes. Cada host (ordenador) tiene una direccin fsica que viene determinada por su adaptador de red. Estas direcciones se corresponden con la capa de acceso al medio y se utilizan para comunicar dos ordenadores que pertenecen a la misma red. Para identificar globalmente un ordenador dentro de un conjunto de redes TCP/IP se utilizan las direcciones IP (capa de red). Observando una direccin IP sabremos si pertenece a nuestra propia red o a una distinta (todas las direcciones IP de la misma red comienzan con los mismos nmeros, segn veremos ms adelante).

1 Fsico

7

NETWORKINGHost A R1 B R2 C D Direccin fsica 00-60-52-0B-B7-7D 00-E0-4C-AB-9A-FF A3-BB-05-17-29-D0 00-E0-4C-33-79-AF B2-42-52-12-37-BE 00-E0-89-AB-12-92 A3-BB-08-10-DA-DB B2-AB-31-07-12-93 Direccin IP 192.168.0.10 192.168.0.1 10.10.0.1 10.10.0.7 10.10.0.2 200.3.107.1 200.3.107.73 200.3.107.200 Red Red 1 Red 2

Red 3

Tabla 1.2 Direcciones IP

Figura 1.1 Interconexin de tres redes El concepto de red est relacionado con las direcciones IP que se configuren en cada ordenador, no con el cableado. Es decir, si tenemos varias redes dentro del mismo cableado solamente los ordenadores que permanezcan a una misma red podrn comunicarse entre s. Para que los ordenadores de una red puedan comunicarse con los de otra red es necesario que existan routers que interconecten las redes. Un router no es ms que un ordenador con varias direcciones IP, una para cada red, que permita el trfico de paquetes entre sus redes.

8

NETWORKINGLa capa de red se encarga de fragmentar cada mensaje en paquetes de datos llamados datagramas IP y de enviarlos de forma independiente a travs de la red de redes. Cada datagrama IP incluye un campo con la direccin IP de destino. Esta informacin se utiliza para enrutar los datagramas a travs de las redes necesarias que los hagan llegar hasta su destino. En el ejemplo anterior, supongamos que el ordenador 200.3.107.200 (D) enva un mensaje al ordenador con 200.3.107.73 (C). Como ambas direcciones comienzan con los mismos nmeros, D sabr que ese ordenador se encuentra dentro de su propia red y el mensaje se entregar de forma directa. Sin embargo, si el ordenador 200.3.107.200 (D) tuviese que comunicarse con 10.10.0.7 (B), D advertira que el ordenador destino no pertenece a su propia red y enviara el mensaje al router R2 (es el ordenador que le da salida a otras redes). El router entregara el mensaje de forma directa porque B se encuentra dentro de una de sus redes (la Red 2). 2.2 Capa de Transporte La capa de red transfiere datagramas entre dos ordenadores a travs de la red utilizando como identificadores las direcciones IP. La capa de transporte aade la nocin de puerto para distinguir entre los muchos destinos dentro de un mismo host. No es suficiente con indicar la direccin IP del destino, adems hay que especificar la aplicacin que recoger el mensaje. Cada aplicacin que est esperando un mensaje utiliza un nmero de puerto distinto; ms concretamente, la aplicacin est a la espera de un mensaje en un puerto determinado (escuchando un puerto). Pero no slo se utilizan los puertos para la recepcin de mensajes, tambin para el envo: todos los mensajes que enve un ordenador debe hacerlo a travs de uno de sus puertos. El siguiente diagrama representa una transmisin entre el ordenador 194.35.133.5 y el 135.22.8.165. El primero utiliza su puerto 1256 y el segundo, el 80.

La capa de transporte transmite mensajes entre las aplicaciones de dos ordenadores. Por ejemplo, entre nuestro navegador de pginas web y un servidor de pginas web, o entre nuestro programa de correo electrnico y un servidor de correo. 2.2.1 Puertos Un ordenador puede estar conectado con distintos servidores a la vez; por ejemplo, con un servidor de noticias y un servidor de correo. Para distinguir las distintas conexiones dentro de un mismo ordenador se utilizan los puertos. Un puerto es un nmero de 16 bits, por lo que existen 65536 puertos en cada ordenador. Las aplicaciones utilizan estos puertos para recibir y transmitir mensajes.

9

NETWORKINGLos nmeros de puerto de las aplicaciones cliente son asignados dinmicamente y generalmente son superiores al 1024. Cuando una aplicacin cliente quiere comunicarse con un servidor, busca un nmero de puerto libre y lo utiliza. En cambio, las aplicaciones servidoras utilizan unos nmeros de puerto prefijados: son los llamados puertos well-known (bien conocidos). A continuacin se enumeran los puertos well-known (ms conocidos): Palabra clave Puerto Descripcin Reserved Reserved TCP Port Service Multiplexer Remote Job Entry Echo Discard Active Users Daytime Quote of the Day Character Generator File Transfer [Default Data] File Transfer [Control] Telnet Simple Mail Transfer Time Host Name Server Who Is Domain Name Server Bootstrap Protocol Server Trivial File Transfer Gopher Finger World Wide Web HTTP Device Control Protocol SUPDUP NIC Host Name Server ISO-TSAP Genesis Point-to-Point Trans Net Remote Telnet Service Post Office Protocol Version 2 Post Office Protocol Version 3 SUN Remote Procedure Call Authentication Service Simple File Transfer Protocol Network News Transfer Protocol Network Time Protocol

0/tcp 0/udp tcpmux 1/tcp rje 5/tcp echo 7/tcp/udp discard 9/tcp/udp systat 11/tcp/udp daytime 13/tcp/udp qotd 17/tcp/udp chargen 19/tcp/udp ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp time 37/tcp/udp nameserver 42/tcp/udp nicname 43/tcp/udp domain 53/tcp/udp bootps 67/udp/udp tftp 69/udp gopher 70/tcp finger 79/tcp www-http 80/tcp dcp 93/tcp supdup 95/tcp hostname 101/tcp iso-tsap 102/tcp gppitnp 103/tcp rtelnet pop2 pop3 sunrpc auth sftp nntp ntp 107/tcp/udp 109/tcp 110/tcp 111/tcp/udp 113/tcp 115/tcp/udp 119/tcp 123/udp

10

NETWORKINGpwdgen netbios-ns netbiosdgm netbiosssn snmp snmptrap irc 129/tcp 137/tcp/udp 138/tcp/udp Password Generator Protocol NETBIOS Name Service NETBIOS Datagram Service

139/tcp/udp NETBIOS Session Service 161/udp 162/udp 194/tcp SNMP SNMPTRAP Internet Relay Chat Protocol

Tabla 1.8 Puertos de capa transporte Los puertos tienen una memoria intermedia (buffer). De tal forma que las aplicaciones transmiten la informacin a los puertos. Aqu se va almacenando hasta que pueda enviarse por la red. Una vez que pueda transmitirse, la informacin ir llegando al puerto destino donde se ir guardando hasta que la aplicacin est preparada para recibirla. Los dos protocolos principales de la capa de transporte son UDP y TCP. El primero ofrece una transferencia de mensajes no fiable y no orientada a conexin y el segundo, una transferencia fiable y orientada a conexin. III. Direccionamiento IP

La direccin IP es el identificador de cada host dentro de la red. Cada host conectado a una red tiene una direccin IP asignada, la cual debe ser distinta a todas las dems direcciones que estn vigentes en ese momento en el conjunto de redes visibles por el host. En el caso de Internet, no puede haber dos ordenadores con 2 direcciones IP (pblicas) iguales. Pero s podramos tener dos ordenadores con la misma direccin IP siempre y cuando pertenezcan a redes independientes entre s (sin ningn camino posible que las comunique). Las direcciones IP se clasifican en: Direcciones IP pblicas. Son visibles en todo Internet. Un ordenador con una IP pblica es accesible (visible) desde cualquier otro ordenador conectado a Internet. Para conectarse a Internet es necesario tener una direccin IP pblica. Direcciones IP privadas (reservadas). Son visibles nicamente por otros hosts de su propia red o de otras redes privadas interconectadas por routers. Se utilizan en las empresas para los puestos de trabajo. Los ordenadores con direcciones IP privadas pueden salir a Internet por medio de un router (o proxy) que tenga una IP pblica. Sin embargo, desde Internet no se puede acceder a ordenadores con direcciones IP privadas (Al menos no directamente). Direcciones IP estticas (fijas). Un host que se conecte a la red con direccin IP esttica siempre lo har con una misma IP. Las direcciones IP pblicas estticas son las que utilizan los servidores

11

NETWORKINGde Internet con objeto de que estn siempre localizables por los usuarios de Internet. Estas direcciones hay que contratarlas. Direcciones IP dinmicas. Un host que se conecte a la red mediante direccin IP dinmica, cada vez lo har con una direccin IP distinta. Las direcciones IP pblicas dinmicas son las que se utilizan en las conexiones a Internet mediante un mdem. Los proveedores de Internet utilizan direcciones IP dinmicas debido a que tienen ms clientes que direcciones IP. Las direcciones IP estn formadas por 4 bytes (32 bits). Se suelen representar de la forma a.b.c.d donde cada una de estas letras es un nmero comprendido entre el 0 y el 255. Las direcciones IP tambin se pueden representar en hexadecimal, desde la 00.00.00.00 hasta la FF.FF.FF.FF o en binario, desde la 00000000.00000000.00000000.00000000 hasta la 11111111.11111111.11111111.11111111. Las tres direcciones siguientes representan a la misma mquina (podemos utilizar la calculadora cientfica de Windows para realizar las conversiones). (decimal) 128.10.2.30 (hexadecimal) 80.0A.02.1E (binario) 10000000.00001010.00000010.00011110 Cuntas direcciones IP existen? Si calculamos 2 elevado a 32 obtenemos ms de 4000 millones de direcciones distintas. Sin embargo, no todas las direcciones son vlidas para asignarlas a hosts. Las direcciones IP no se encuentran aisladas en Internet, sino que pertenecen siempre a alguna red. Todas las mquinas conectadas a una misma red se caracterizan en que los primeros bits de sus direcciones son iguales. De esta forma, las direcciones se dividen conceptualmente en dos partes: el identificador de red y el identificador de host. Dependiendo del nmero de hosts que se necesiten para cada red, las direcciones de Internet se han dividido en las clases primarias A, B y C. La clase D est formada por direcciones que identifican no a un host, sino a un grupo de ellos. Las direcciones de clase E no se pueden utilizar (estn reservadas).

Clase A B C

Rango de direcciones reservadas de redes 10.0.0.0 172.16.0.0 - 172.31.0.0 192.168.0.0 - 192.168.255.0 Tabla 1.3 Rango de Direcciones IP

12

NETWORKING0 12 34 Clase A 0 Red Clase B 1 0 Red Clase C 1 1 0 Red Clase D 1 1 1 0 grupo de multicast (multidifusin) Clase E 1 1 1 1 (direcciones reservadas: no se pueden utilizar) Tabla 1.4 Tipo de direcciones IP Direcciones IP especiales y reservadas No todas las direcciones comprendidas entre la 0.0.0.0 y la 223.255.255.255 son vlidas para un host: algunas de ellas tienen significados especiales. Las principales direcciones especiales se resumen en la siguiente tabla. Su interpretacin depende del host desde el que se utilicen. 8 host host host 16 24 3 1

Nmero Formato Rango de Nmero de Clase (r=red, direcciones de de redes hosts por h=host) redes red 16.777.214 0.0.0.0 - 127.0.0.0 A r.h.h.h 128 128.0.0.0 16.384 65.534 B r.r.h.h 191.255.0.0 192.0.0.0 2.097.152 254 C r.r.r.h 223.255.255.0 224.0.0.0 D grupo 239.255.255.255 no 240.0.0.0 E vlidas 255.255.255.255 Tabla 1.5 IPs Reservadas

Mscara de subred 255.0.0.0 255.255.0.0 255.255.255.0 -

Bits de Bits de Significado red host todos 0 Mi propio host cualquier Loopback (mi 127 valor vlido host) de host

Ejemplo 0.0.0.0 propio 127.0.0.1

Tabla 1.6 Rango de direcciones reservadas de redes

13

NETWORKINGLas direcciones de redes siguientes se encuentran reservadas para su uso en redes privadas (intranets). Una direccin IP que pertenezca a una de estas redes se dice que es una direccin IP privada. Por ejemplo, si estamos construyendo una red privada con un nmero de ordenadores no superior a 254 podemos utilizar una red reservada de clase C. Al primer ordenador le podemos asignar la direccin 192.168.23.1, al segundo 192.168.23.2 y as sucesivamente hasta la 192.168.23.254. Como estamos utilizando direcciones reservadas, tenemos la garanta de que no habr ninguna mquina conectada directamente a Internet con alguna de nuestras direcciones. De esta manera, no se producirn conflictos y desde cualquiera de nuestros ordenadores podremos acceder a la totalidad de los servidores de Internet. CASO PRCTICO.- Una empresa dispone de una lnea frame relay con direcciones pblicas contratadas desde la 194.143.17.8 hasta la 194.143.17.15 (la direccin de la red es 194.143.17.8, su direccin de broadcasting 194.143.17.15 y su mscara de red 255.255.255.248). La lnea frame relay est conectada a un router. Disear la red para: 3 servidores (de correo, web y proxy) 20 puestos de trabajo Los 20 puestos de trabajo utilizan direcciones IP privadas y salen a Internet a travs del Proxy. En la configuracin de red de cada uno de estos 20 ordenadores se indicar la direccin "192.168.1.1" en el cuadro "Puerta de enlace". La puerta de enlace (puerta de salida o gateway) es el ordenador de nuestra red que nos permite salir a otras redes. El Proxy tiene dos direcciones IP, una de la red privada y otra de la red pblica. Su misin es dar salida a Internet a la red privada, pero no permitir los accesos desde el exterior a la zona privada de la empresa. Los 3 servidores y el router utilizan direcciones IP pblicas, para que sean accesibles desde cualquier host de Internet. La puerta de enlace de Proxy, Correo y Web es 194.143.17.9 (Router). Obsrvese que la primera y ltima direccin de todas las redes son direcciones IP especiales que no se pueden utilizar para asignarlas a hosts. La primera es la direccin de la red y la ltima, la direccin de difusin o broadcasting. La mscara de subred de cada ordenador se ha indicado dentro de su red despus de una barra: PC1, PC2, ... , PC20 y Proxy (para su IP 192.168.1.1) tienen la mscara 255.255.255.0 y Router, Web, Correo y Proxy (para su IP 194.143.17.10), la mscara 255.255.255.248.

14

NETWORKING

Figura 1.2 Tres Servidores y 20 estaciones de trabajo Clculo de la direccin de difusin Ya hemos visto que el producto lgico binario (AND) de una IP y su mscara devuelve su direccin de red. Para calcular su direccin de difusin, hay que hacer la suma lgica en binario (OR) de la IP con el inverso (NOT) de su mscara. En una red de redes TCP/IP no puede haber hosts aislados: todos pertenecen a alguna red y todos tienen una direccin IP y una mscara de subred (si no se especifica se toma la mscara que corresponda a su clase). Mediante esta mscara un ordenador sabe si otro ordenador se encuentra en su misma subred o en otra distinta. Si pertenece a su misma subred, el mensaje se entregar directamente. En cambio, los hosts estn configurados en redes distintas, el mensaje se enviar a la puerta de salida o router de la red del host origen. Este router pasar el mensaje al siguiente de la cadena y as sucesivamente hasta que se alcance la red del host destino y se complete la entrega del mensaje.

15

NETWORKING

Los proveedores de Internet habitualmente disponen de una o ms redes pblicas para dar acceso a los usuarios que se conectan por mdem. El proveedor va cediendo estas direcciones pblicas a sus clientes a medida que se conectan y liberndolas segn se van desconectando (direcciones dinmicas). Supongamos que cierto ISP (proveedor de servicios de Internet) dispone de la red 63.81.0.0 con mscara 255.255.0.0. Para uso interno utiliza las direcciones que comienzan por 63.81.0 y para ofrecer acceso a Internet a sus usuarios, las direcciones comprendidas entre la 63.81.1.0 hasta la 63.81.255.254 (las direcciones 63.81.0.0 y 63.81.255.255 estn reservadas). Si un usuario conectado a la red de este ISP tiene la direccin 63.81.1.1 y quiere transferir un archivo al usuario con IP 63.81.1.2, el primero advertir que el destinatario se encuentra en su misma subred y el mensaje no saldr de la red del proveedor (no atravesar el router). Las mscaras 255.0.0.0 (clase A), 255.255.0.0 (clase B) y 255.255.255.0 (clase C) suelen ser suficientes para la mayora de las redes privadas. Sin embargo, las redes ms pequeas que podemos formar con estas mscaras son de 254 hosts y para el caso de direcciones pblicas, su contratacin tiene un coste muy alto. Por esta razn suele ser habitual dividir las redes pblicas de clase C en subredes ms pequeas. A continuacin se muestran las posibles divisiones de una red de clase C. La divisin de una red en subredes se conoce como subnetting.

16

NETWORKINGNm. Nmero de Mscara de Binario de hosts subred subredes por subred 255.255.255.0 00000000 1 254 255.255.255.128 10000000 2 126 255.255.255.192 11000000 4 255.255.255.224 11100000 8 255.255.255.240 11110000 16 255.255.255.248 11111000 32 62 30 14 6 Ejemplos de subredes (x=a.b.c por ejemplo, 192.168.1) x.0 x.0, x.128 x.0, x.64, x.128, x.192 x.0, x.32, x.64, x.96, x.128, ... x.0, x.16, x.32, x.48, x.64, ... x.0, x.8, x.16, x.24, x.32, x.40, ... x.0, x.4, x.8, x.12, x.16, x.20, ... ninguna posible ninguna posible

255.255.255.252 11111100 64 255.255.255.254 11111110 128 255.255.255.255 11111111 256

2 0 0

Tabla 1.7 - Divisin de una red en subredes (subnetting) Obsrvese que en el caso prctico que explicamos un poco ms arriba se utiliz la mscara 255.255.255.248 para crear una red pblica con 6 direcciones de hosts vlidas (la primera y ltima direccin de todas las redes se excluyen). Las mscaras con bytes distintos a 0 o 255 tambin se pueden utilizar para particionar redes de clase A o de clase B, sin embargo no suele ser lo ms habitual. Por ejemplo, la mscara 255.255.192.0 dividira una red de clase B en 4 subredes de 16382 hosts (2 elevado a 14, menos 2) cada una.

EJERCICIOS Calcular la direccin de red y direccin de broadcasting (difusin) de las mquinas con las siguientes direcciones IP y mscaras de subred (si no se especifica, se utiliza la mscara por defecto): 18.120.16.250: mscara 255.0.0.0, red 18.0.0.0, broadcasting

18.255.255.255 18.120.16.255

/

255.255.0.0:

red

18.120.0.0,

broadcasting

18.120.255.255 155.4.220.39: mscara 255.255.0.0, red 155.4.0.0, broadcasting

155.4.255.255 194.209.14.33:

mscara 255.255.255.0, broadcasting 194.209.14.255

red

194.209.14.0,

17

NETWORKING 190.33.109.133 / 255.255.255.0: red 190.33.109.0, broadcasting

190.33.109.255 Suponiendo que nuestro ordenador tiene la direccin IP 192.168.5.65 con mscara 255.255.255.0, indicar qu significan las siguientes direcciones especiales:

0.0.0.0: nuestro ordenador 0.0.0.29: 192.168.5.29 192.168.67.0: la red 192.168.67.0 255.255.255.255: broadcasting a la red 192.168.5.0 (la nuestra) 192.130.10.255: broadcasting a la red 192.130.10.0 127.0.0.1: 192.168.5.65 (loopback)

Calcular la direccin de red y direccin de broadcasting (difusin) de las mquinas con las siguientes direcciones IP y mscaras de subred: 190.33.109.133

/ 255.255.255.128: red 190.33.109.128, broadcasting 190.33.109.255 (133=10000101, 128=10000000, 127=01111111) 192.168.20.25 / 255.255.255.240: red 192.168.20.16, broadcasting 192.168.20.31 (25=00011001, 240=11110000, 16=00010000, 31=00011111) 192.168.20.25 / 255.255.255.224: red 192.168.20.0, broadcasting 192.168.20.31 (25=00011001, 224=11100000, 31=00011111) 192.168.20.25 / 255.255.255.192: red 192.168.20.0, broadcasting 192.168.20.63 (25=00011001, 192=11000000, 63=00111111) 140.190.20.10 / 255.255.192.0: red 140.190.0.0, broadcasting 140.190.63.255 (020=00010100, 192=11000000, 063=00111111) 140.190.130.10 / 255.255.192.0: red 140.190.128.0, broadcasting 140.190.191.255 (130=10000010, 192=11000000, 128=10000000, 063=00111111, 191=10111111) 140.190.220.10 / 255.255.192.0: red 140.190.192.0, broadcasting 140.190.255.255 (220=11011100, 192=11000000, 063=00111111, 255=11111111)

Viendo las direcciones IP de los hosts pblicos de una empresa observamos que todas estn comprendidas entre 194.143.17.145 y 194.143.17.158, Cul es (probablemente) su direccin de red, broadcasting y mscara? Pasamos a binario las dos direcciones. La primera tiene que estar prxima a la direccin de red y la ltima, a la direccin de broadcasting: 194.143.017.145 11000010.10001111.00010001.10010001 194.143.017.158 11000010.10001111.00010001.10011110

18

NETWORKINGPodemos suponer que la direccin de red es 194.143.17.144 y la de broadcasting, 194.143.17.159: 194.143.017.144 11000010.10001111.00010001.10010000 194.143.017.159 11000010.10001111.00010001.10011111 HOST Entonces la mscara ser: 255.255.255.240 11111111.11111111.11111111.11110000 HOST

ACTIVIDADES: Bibliografa de la Unidad 1. Savage, S.L. (1998): Insight.xla: Business Analysis Software for Microsoft Excel. Duxbury Press. 2. Gedam, S.G.; Beaudet, S.T. (2000): Monte Carlo Simulation using Excel Spreadsheet for Predicting Reliability of a Complex System. Proceedings Annual Reliability and Maintainability Symposium. 3. http://random.mat.sbg.ac.at/links/index.html Pgina web de la WWW Virtual Library dedicada a nmeros aleatorios y simulacin MC 4. http://csep1.phy.ornl.gov/mc/mc.html Libro electrnico sobre simulacin MC

CRITERIOS DE EVALUACIN: Prueba escrita Tareas de aplicacin Exposicin grupal

19

NETWORKINGUNIDAD II ELEMENTOS DE UNA INTERNETWORK OBJETIVO DE LA UNIDAD Capacitar al estudiante en las diferentes tecnologas de acceso y de core para proporcionar transmisin de datos o Internet, asi como tambien conocer las tecnologas sobre la red de servicios dentro de un entorno global de telecomunicaciones. CONTENIDOS: CAPT. I II I. Red IP 1.1 Dispositivos de Capa 2. Se distinguen dos tipos: Bridges Switches Bridges (Puentes) Union de dos segmentos fisicos homogeneos para formar un solo segmento logico. Cada segmento (puerto) cuenta con un ancho de banda dedicado. Nivel de enlace de datos. Switches En esencia son bridges con muchos puertos Contienen una matriz para transmisin de paquetes Gran capacidad de localizacion de direcciones y envio de paquetes. Los mas usados son switches capa 2, que unicamente permiten concentrar y reenviar el trafico, no realizan ruteo. Ventajas y Desventajas de los Bridges y Switches Ventajas Independencia de los niveles superiores Separacion de segementos fisicos de la red Filtraje de trafico Extensin de la LAN Faciles de instalar y mantener Desventajas Imposibilidad de conectar redes heterogeneas de forma eficiente No son escalables en redes muy grandes por no segmentar el broadcast No pueden tener mas de un camino alterno para enviar la informacin No pueden balancear la carga. Red IP Red de Servicios TEMAS HORAS DE ESTUDIO O4H00 10H00

20

NETWORKING1.2 Dispositivos de Acceso RAS (Remote Access Server) Como se aprecia en el grafico, este dispositivo de acceso permite conectarse al Internet a usuarios via Dial Up. Para esto, al marcar la PBX le contestara una central telefonica Analogica o Digital, la misma que enrutara la llamada al RAS, dispositivo que verifica la identidad del usuario y asigna la IP publica que le permitira al cliente acceder a la Internet.

CMTS (Sitema de Terminacion de red HFC) Este tipo de equipos de acceso permiten que accedan a Internet a cablemodems y mtas que se enganchan a la red HFC. Estos equipos necesitan calibrar una seal de down y up con el equipo del cliente, luego del cual este ultimo pide una direccion IP y un archivo de configuracin, el mismo que contiene la informacin sobre su ancho de banda y permisos otorgados.

21

NETWORKING

MPLS Y RED SDH

En la figura de arriba podemos observar un equipo de transporte MPLS de la marca Tellabs y nodos A111 de la red SDH, tambien equipote transporte. A estos equipos se conectan los DSLAM para permitir el acceso a los clientes mediante par de cobre y obtener velocidades en funcion de su template.

22

NETWORKING1.2 Dispositivos de Capa 3 (Backbone) Introduccin a los routers de una Wan Un router es un tipo especial de computador. Cuenta con los mismos componentes bsicos que un PC estndar de escritorio. Cuenta con una CPU, memoria, bus de sistema y distintas interfaces de entrada/salida. Sin embargo, los routers estn diseados para cumplir algunas funciones muy especficas que, en general, no realizan los computadores de escritorio. Por ejemplo, los routers conectan y permiten la comunicacin entre dos redes y determinan la mejor ruta para la transmisin de datos a travs de las redes conectadas. Al igual que los computadores, que necesitan sistemas operativos para ejecutar aplicaciones de software, los routers necesitan el software denominado Sistema operativo de internetworking (IOS) para ejecutar los archivos de configuracin. Estos archivos de configuracin contienen las instrucciones y los parmetros que controlan el flujo del trfico entrante y saliente de los routers. Especficamente, a travs de los protocolos de enrutamiento, los routers toman decisiones sobre cul es la mejor ruta para los paquetes. El archivo de configuracin especifica toda la informacin necesaria para una correcta configuracin y uso de los protocolos enrutados y de enrutamiento seleccionados, o habilitados, en el router. Este curso mostrar cmo usar los comandos IOS para crear archivos de configuracin a fin de que el router ejecute varias funciones de red esenciales. El archivo de configuracin del router puede parecer complejo a primera vista, pero, al terminar el curso, no lo parecer tanto. Los principales componentes internos del router son la memoria de acceso aleatorio (RAM), la memoria de acceso aleatorio no voltil (NVRAM), la memoria flash, la memoria de slo lectura (ROM) y las interfaces. La RAM, tambin llamada RAM dinmica (DRAM), tiene las siguientes caractersticas y funciones:

Almacena las tablas de enrutamiento. Guarda el cach ARP. Guarda el cach de conmutacin rpida. Crea el buffer de los paquetes (RAM compartida). Mantiene las colas de espera de los paquetes. Brinda una memoria temporal para el archivo de configuracin del router mientras est encendido. Pierde el contenido cuando se apaga o reinicia el router.

La NVRAM tiene las siguientes caractersticas y funciones:

Almacena el archivo de configuracin inicial. Retiene el contenido cuando se apaga o reinicia el router.

La memoria flash tiene las siguientes caractersticas y funciones:

23

NETWORKING

Guarda la imagen del sistema operativo (IOS) Permite que el software se actualice sin retirar ni reemplazar chips en el procesador. Retiene el contenido cuando se apaga o reinicia el router. Puede almacenar varias versiones del software IOS. Es un tipo de ROM programable, que se puede borrar electrnicamente (EEPROM)

La memoria de slo lectura (ROM) tiene las siguientes caractersticas y funciones:

Guarda las instrucciones para el diagnstico de la prueba al inicio (POST). Guarda el programa bootstrap y el software bsico del sistema operativo. Requiere del reemplazo de chips que se pueden conectar en el motherboard para las actualizaciones del software.

Las interfaces tienen las siguientes caractersticas y funciones:

Conectan el router a la red para permitir que las tramas entren y salgan. Pueden estar en el motherboard o en un mdulo aparte.

Funcin de un router en una Wan Se dice que una WAN opera en la capa fsica y en la capa de enlace de datos. Esto no significa que las otras cinco capas del modelo OSI no se hallen en una WAN. Simplemente significa que las caractersticas que distinguen una red WAN de una LAN, en general, se encuentran en la capa fsica y en la capa de enlace de datos. En otras palabras, los estndares y protocolos que se usan en la capa 1 y capa 2 de las WAN son diferentes a aquellas que se utilizan en las mismas capas de las LAN. La capa fsica WAN describe la interfaz entre el equipo terminal de datos (DTE) y el equipo de transmisin de datos (DCE). Normalmente el DCE es el proveedor del servicio, mientras que el DTE es el dispositivo conectado. En este modelo, los servicios ofrecidos al DTE estn disponibles a travs de un mdem o CSU/DSU. La funcin principal de un router es enrutar. El enrutamiento se produce en la capa de red, la capa 3, pero si la WAN opera en las capas 1 y 2, un router es un dispositivo LAN o un dispositivo WAN? La respuesta es ambos, como sucede tan a menudo en el campo de las redes y telecomunicaciones. Un router puede ser exclusivamente un dispositivo LAN, o puede ser exclusivamente un dispositivo WAN, pero tambin puede estar en la frontera entre una LAN y una WAN y ser un dispositivo LAN y WAN al mismo tiempo. Una de las funciones de un router en una WAN es enrutar los paquetes en la capa 3, pero esta tambin es la funcin de un router en una LAN. Por lo tanto, el enrutamiento no es estrictamente una funcin de un router en la WAN. Cuando un router usa los protocolos y los estndares de la capa de enlace de datos y fsica asociados con las WAN, opera como dispositivo WAN. Las funciones principales de un router en una WAN, por lo tanto, no yacen en el enrutamiento sino en

24

NETWORKINGproporcionar las conexiones con y entre los diversos estndares de enlace de datos y fsico WAN. Por ejemplo, un router puede tener una interfaz RDSI que usa encapsulamiento PPP y una interfaz serial que termina en una lnea TI que usa encapsulamiento de Frame Relay. El router debe ser capaz de pasar una corriente de bits desde un tipo de servicio, por ejemplo el RDSI, a otro, como el T1, y cambiar el encapsulamiento de enlace de datos de PPP a Frame Relay. Muchos de los detalles de los protocolos WAN de Capa 1 y Capa 2 se tratarn ms adelante en este curso, pero algunos de los protocolos y estndares WAN clave aparecen en la siguiente lista de referencia. Los protocolos y estndares de la capa fsica WAN:

EIA/TIA -232 EIA/TIA -449 V.24 V.35 X.21 G.703 EIA-530 RDSI T1, T3, E1 y E3 xDSL SONET (OC-3, OC-12, OC-48, OC-192)

Los protocolos y estndares de la capa de enlace de datos WAN:

Control de enlace de datos de alto nivel (HDLC) Frame Relay Protocolo punto a punto (PPP) Control de enlace de datos sncrono (SDLC) Protocolo Internet de enlace serial (SLIP) X.25 ATM LAPB LAPD LAPF

II RED DE SERVICIOS 2.1 Servicios de Intranet 2.1.1 Servicio de filtrado de paquetes y Nat (Firewall) Linux contiene herramientas avanzadas para el filtrado de paquetes de red el proceso dentro del kernel de controlar los paquetes de red al entrar, mientras se mueven y cuando salen de la red. Los kernels anteriores al 2.4 confiaban en ipchains para el filtrado de paquetes y usaban listas de reglas aplicadas a los paquetes en cada paso del proceso de filtrado. La introduccin de kernel 2.4 trajo consigo iptables (tambin llamado netfilter), lo cual es similar a ipchains pero

25

NETWORKINGexpande enormemente el mbito y el control disponible para el filtrado de paquetes de red. Filtrado de paquetes El kernel de Linux tiene incorporado la caracterstica interna de filtrar paquetes, permitiendo aceptar algunos de ellos en el sistema mientras que intercepta y para a otros. El netfilter del kernel tiene tres tablas o listas de reglas incorporadas. Son las siguientes: filter La tabla por defecto para el manejo de paquetes de red. nat NAT (acrnimo de Network Address Translation o Traduccin de direccin de red), tambin conocido como enmascaramiento de IP, es una tcnica mediante la cual las direcciones de origen y/o destino de paquetes IP son reescritas mientras pasan a travs de un dispositivo de encaminamiento (router) o muro cortafuegos. Se utiliza para permitir a mltiples anfitriones en una Red Privada con direcciones IP para Red Privada para acceder hacia una Internet utilizando una sola direccin IP pblica. mangle Usada por tipos especficos de alteracin de paquetes. Cada una de estas tablas tiene un grupo de cadenas incorporadas que corresponden a las acciones llevadas a cabo por el filtro de la red. Las cadenas internas para la tabla filtro son las siguientes: INPUT Aplica a los paquetes recibidos a travs de una interfaz de

red. OUTPUT Esta cadena sirve para paquetes enviados por medio de la misma interfaz de red que recibi los paquetes. FORWARD Esta cadena sirve para paquetes recibidos en una interfaz de red y enviados en otra. Las cadenas internas para la tabla nat son las siguientes: POSTROUTING Esta cadena altera paquetes antes de que sean

enviados por medio de una interfaz de red. PREROUTING Esta cadena altera paquetes recibidos por medio de una interfaz de red cuando llegan. OUTPUT Esta cadena altera paquetes generados localmente antes de que sean dirigidos por medio de una interfaz de red. Las cadenas internas para la tabla mangle son las siguientes: PREROUTING Esta cadena altera paquetes recibidos por medio de

una interfaz de red antes de que sean dirigidos. POSTROUTING Altera los paquetes de red cuando estos son enviados. DNAT.- (acrnimo de Destination Network Address Translation o traduccin de direccin de red de destino) es una tcnica mediante la cual se hace pblico un servicio desde una Red Privada. Es decir permite redirigir puertos hacia

26

NETWORKINGdirecciones IP de Red Privada. El uso de esta tcnica puede permitir a un usuario en Internet alcanzar un puerto en una Red Privada (dentro de una LAN) desde el exterior a travs de un encaminados (router) o muro cortafuegos donde ha sido habilitado un NAT. Cada paquete de red recibido o enviado desde un sistema Linux est sujeto a al menos una tabla. Sin embargo, un paquete puede estar sometido a mltiples reglas dentro de cada tabla antes de emerger al final de la cadena. La estructura y propsito de estas reglas puede variar, pero normalmente buscan identificar un paquete que viene de o se dirige hacia una direcccin IP en particular, o un conjunto de direcciones, cuando utiliza un determinado protocolo y servicio de red. Nota.- No utilice nombres de dominio completos en las reglas del cortafuegos que se guardan en los archivos /etc/sysconfig/iptables o /etc/sysconfig/ip6tables. En el ejemplo siguiente: iptables -A FORWARD -s example.com -i eth0 -j DROP example.com No es vlido porque el servicio iptables comienza antes de cualquier servicio DNS relacionado, lo que produce un error. Solamente las direcciones IP son vlidas para la creacin de reglas de cortafuegos. Independientemente de su destino, cuando un paquete cumple una regla en particular en una de las tablas, se les aplica un objetivo (target) o accin a ellos. Si la regla especifica un objetivo ACCEPT para un paquete que coincida, el paquete se salta el resto de las verificaciones de la regla y se permite que contine hacia su destino. Si una regla especifica un objetivo DROP, a ese paquete se le niega el acceso al sistema y no se enva nada de vuelta al servidor que envi el paquete. Si una regla especifica un objetivo QUEUE, el paquete se pasa al espacio del usuario. Si una regla especifica el objetivo opcional REJECT, el paquete es descartado, pero se enva un paquete de error al que envi el paquete. Cada cadena tiene una poltica por defecto de ACCEPT, DROP, REJECT, o QUEUE. Si ninguna de estas reglas en la cadena se aplican al paquete, entonces el paquete es tratado de acuerdo a la poltica por defecto. El comando iptables configura estas tablas, as como tambin configura nuevas tablas si es necesario. Estructura de las opciones iptables Muchos comandos iptables tienen la siguiente estructura: iptables [-t ] \ La opcin permite al usuario seleccionar una tabla diferente a la tabla predeterminada filter a usar con el comando. La opcin indica una accin especfica a realizar, tal como anexar o eliminar la regla especificada

27

NETWORKINGpor la opcin . Luego de la opcin se encuentran un par de parmetros y opciones que definen qu pasar cuando un paquete coincide con la regla. Cuando miramos la estructura de un comando iptables, es importante recordar que, al contrario que la mayora de los comandos, la longitud y complejidad de un comando iptables puede cambiar en funcin de su propsito. Un comando para borrar una regla de una cadena puede ser muy corto, mientras que un comando diseado para filtrar paquetes de una subred particular usando un conjunto de parmetros especficos y opciones puede ser mucho ms largo. Al crear comandos iptables puede ser de ayuda reconocer que algunos parmetros y opciones pueden crear la necesidad de utilizar otros parmetros y opciones para especificar ms an la peticin de la opcin anterior. Para construir una regla vlida, esto deber continuar hasta que todos los parmetros y opciones que requieran otro conjunto de opciones hayan sido satisfechos. Escriba iptables -h para ver una lista detallada de la estructura de los comandos iptables. Opciones de comandos Las opciones de comandos le dicen a iptables que realice una accin especfica. Solamente una opcin de comando se permite por comando iptables. Excepto el comando de ayuda, todos los comandos se escriben en maysculas. Los comandos de iptables son los siguientes: -A Aade la regla iptables al final de la cadena especificada. Este es

el comando utilizado para simplemente aadir una regla cuando el orden de las reglas en la cadena no importa. -C Verifica una regla en particular antes de aadirla en la cadena especificada por el usuario. Este comando puede ser de ayuda para construir reglas iptables complejas pidindole que introduzca parmetros y opciones adicionales. -D Borra una regla de una cadena en particular por nmero (como el 5 para la quinta regla de una cadena). Puede tambin teclear la regla entera e iptables borrar la regla en la cadena que corresponda. -E Renombra una cadena definida por el usuario. Esto no afecta la estructura de la tabla. -F Libera la cadena seleccionada, que borra cada regla de la cadena. Si no se especifica ninguna cadena, este comando libera cada regla de cada cadena. -h Proporciona una lista de estructuras de comandos, as como tambin un resmen rpido de parmetros de comandos y opciones. -I Inserta una regla en una cadena en un punto especificado por un valor entero definido por el usuario. Si no se especifica ningn nmero, iptables colocar el comando en el tope de la cadena. -L Lista todas las reglas de la cadena especificada tras el comando. Para ver una lista de todas las reglas en todas las cadenas en la tabla por defecto filter, no especifique ninguna cadena o tabla. De lo

28

NETWORKINGcontrario, la sintaxis siguiente deber utilizarse para listar las reglas en una cadena especfica en una tabla en particular: iptables -L -t -N Crea una nueva cadena con un nombre especificado por el

usuario. -P Configura la poltica por defecto para una cadena en particular,

de tal forma que, cuando los paquetes atraviesen la cadena completa sin cumplir ninguna regla, sern enviados a un objetivo en particular, como puedan ser ACCEPT o DROP. -R Reemplaza una regla en una cadena particular. El nmero de la regla debe ser especificado despus del nombre de la cadena. La primera regla en una cadena corresponde a la regla nmero uno. -X Borra una cadena especificada por el usuario. No se permite borrar ninguna de las cadenas predefinidas para cualquier tabla. -Z Pone ceros en los contadores de byte y de paquete en todas las cadenas de una tabla en particular. Opciones de parmetros de iptables Una vez que se especifiquen ciertos comandos iptables, incluyendo aquellos para aadir, anexar, eliminar, insertar o reemplazar reglas dentro de una cadena, se requieren parmetros para construir una regla de filtrado de paquetes. -c Resetea los contadores de una regla en particular. Este

parmetro acepta las opciones PKTS y BYTES para especificar qu contador hay que resetear. -d Configura el nombre de la mquina destino, direccin IP o red de un paquete que coincide con la regla. Cuando se coincida una red, se soportan los siguientes formatos de direcciones IP o mscaras de red: o N.N.N.N/M.M.M.M Donde N.N.N.N es el rango de direcciones IP y M.M.M.M es la mscara de la red. o N.N.N.N/M Donde N.N.N.N es el rango de direcciones IP y M es la mscara de bit. -f Aplica esta regla slo a los paquetes fragmentados. Usando la opcin ! despus de este parmetro, nicamente se harn coincidir los paquetes no fragmentados. -i Configura la interfaz de red entrante, tal como eth0 o ppp0. Con iptables, este parmetro opcional puede ser usado solamente con las cadenas INPUT y FORWARD cuando es usado con la tabla filter y la cadena PREROUTING con las tablas nat y mangle. Este parmetro tambin soporta las siguientes opciones especiales: o El caracter de exclamacin ! Invierte la directriz, es decir, se excluye de esta regla cualquier interfaz especificada. o El caracter de suma + Un caracter tipo comodn utilizado para coincidir todas las interfaces con una cadena de caracteres especificada. Por ejemplo, el parmetro -i eth+ aplicar esta regla a cualquier interfaz Ethernet pero excluir cualquier otra interfaz, tal como, ppp0.

29

NETWORKINGSi el parmetro -i se utiliza sin especificar ninguna interfaz, todas las interfaces estarn afectadas por la regla. -j Salta a un objetivo particular cuando un paquete coincide con una regla particular. Los objetivos vlidos a usar despus de la opcin -j incluyen las opciones estndar (ACCEPT, DROP, QUEUE y RETURN) as como tambin las opciones extendidas que estn disponibles a travs de los mdulos cargados por defecto con el paquete RPM de Red Hat Enterprise Linux iptables, como LOG, MARK y REJECT, entre otros. -o Configura la interfaz de red de salida para una regla y puede ser usada solamente con las cadenas OUTPUT y FORWARD en la tabla de filtro y la cadena POSTROUTING en las tablas nat y mangle. Estos parmetros de opciones son los mismos que aquellos de la interfaz de entrada (-i). -p Configura el protocolo IP para la regla, el cual puede ser icmp, tcp, udp, o all, para coincidir todos los protocolos soportados. Adems, se puede usar cualquier protocolo listado en /etc/protocols. Si esta opcin es omitida cuando se est creando una regla, la opcin all es la opcin por defecto. -s Configura la fuente para un paquete particular usando la misma sintaxis que el parmetro (-d).

Opciones de coincidencia para iptables Diferentes protocolos de red proporcionan opciones especializadas las cuales se pueden configurar para coincidir un paquete particular usando ese protocolo. Sin embargo, primero se debe especificar el protocolo en el comando iptables. Por ejemplo, -p tcp (donde es el protocolo objetivo), hace disponibles las opciones para ese protocolo especificado. Guardar reglas iptables Las reglas creadas con el comando iptables son almacenadas en memoria. Si el sistema es reiniciado antes de guardar el conjunto de reglas iptables, se perdern todas las reglas. Para que las reglas de filtrado de red persistan luego de un reinicio del sistema, estas necesitan ser guardadas. Para hacerlo, conctese como root y escriba: /sbin/service iptables save Esto ejecuta el script de inicio iptables, el cual ejecuta el programa /sbin/iptablessave y escribe la configuracin actual de iptables a /etc/sysconfig/iptables. El archivo /etc/sysconfig/iptables existente es guardado como /etc/sysconfig/iptables.save. La prxima vez que se inicie el sistema, el script de inicio de iptables volver a aplicar las reglas guardadas en /etc/sysconfig/iptables usando el comando /sbin/iptables-restore. An cuando siempre es una buena idea probar una regla de iptables antes de confirmar los cambios al archivo /etc/sysconfig/iptables, es posible copiar reglas

30

NETWORKINGiptables en este archivo desde otra versin del sistema de este archivo. Esto proporciona una forma rpida de distribuir conjuntos de reglas iptables a muchas mquinas. Scripts de control de iptables Hay dos mtodos bsicos para controlar iptables bajo Red Hat Enterprise Linux:

Herramienta de configuracin de nivel de seguridad (systemconfig-securitylevel) Una interfaz grfica para crear, activar y guardar reglas bsicas de cortafuegos. /sbin/service iptables Un comando ejecutado por el usuario root capaz de activar, desactivar y llevar a cabo otras funciones de iptables a travs de su script de inicio. Reemplace en el comando con alguna de las directivas siguientes:o start

o

o

o

o o

Si se tiene un cortafuegos o firewall (es decir, /etc/sysconfig/iptables existe), todos los iptables en ejecucin son detenidos completamente y luego arrancados usando el comando /sbin/iptables-restore. La directriz start slo funcionar si no se carga el mdulo del kernel ipchains. stop Si el cortafuegos est en ejecucin, se descartan las reglas del cortafuegos que se encuentran en memoria y todos los mdulos iptables y ayudantes son descargados. Si se cambia la directiva IPTABLES_SAVE_ON_STOP dentro del archivo de configuracin /etc/sysconfig/iptables-config de su valor por defecto a yes, se guardan las reglas actuales a /etc/sysconfig/iptables y cualquier regla existente se mover al archivo /etc/sysconfig/iptables.save. restart Si el cortafuegos est en ejecucin, las reglas del mismo que se encuentran en memoria se descartan y se vuelve a iniciar el cortafuegos si est configurado en /etc/sysconfig/iptables. La directriz restart slo funcionar si no est cargado el mdulo del kernel ipchains. Si la directiva IPTABLES_SAVE_ON_RESTART dentro del archivo de configuracin /etc/sysconfig/iptables-config se cambia de su valor por defecto a yes, las reglas actuales son guardadas a /etc/sysconfig/iptables y cualquier regla existente se mover al archivo /etc/sysconfig/iptables.save. status Imprime el estado del cortafuegos una lista de todas las reglas activas al indicador de comandos. Si no se cargan o configuran reglas del cortafuegos, tambin indica este hecho. Una lista de las reglas activas, conteniendo direcciones IP dentro de listas de reglas a menos que el valor por defecto para IPTABLES_STATUS_NUMERIC sea cambiado a no dentro del archivo de configuracin /etc/sysconfig/iptables-config. panic Descarta todas las reglas del cortafuegos. La poltica de todas las tablas configuradas est establecida a DROP. save Guarda las reglas del cortafuegos a /etc/sysconfig/iptables usando iptables-save.

31

NETWORKING2.1.2 Servicio Proxy El trmino en ingles Proxy tiene un significado muy general y al mismo tiempo ambiguo, aunque invariablemente se considera un sinnimo del concepto de Intermediario. Se suele traducir, en el sentido estricto, como delegado o apoderado (el que tiene el poder sobre otro). Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente: Cliente se conecta hacia un Servidor Intermediario (Proxy). Cliente solicita una conexin, fichero u otro recurso disponible en un servidor distinto. Servidor Intermediario (Proxy) proporciona el recurso ya sea conectndose hacia el servidor especificado o sirviendo ste desde un cach. En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propsitos.

Los Servidores Intermediarios (Proxies) generalmente se hacen trabajar simultneamente como muro cortafuegos operando en el Nivel de Red, actuando como filtro de paquetes, como en el caso de iptables, o bien operando en el Nivel de Aplicacin, controlando diversos servicios, como es el caso de TCP Wrapper. Dependiendo del contexto, el muro cortafuegos tambin se conoce como BPD o Border Protection Device o simplemente filtro de paquetes. Una aplicacin comn de los Servidores Intermediarios (Proxies) es funcionar como cach de contenido de Red (principalmente HTTP), proporcionando en la proximidad de los clientes un cach de pginas y ficheros disponibles a travs de la Red en servidores HTTP remotos, permitiendo a los clientes de la red local acceder hacia stos de forma ms rpida y confiable. Cuando se recibe una peticin para un recurso de Red especificado en un URL (Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL dentro del cach. Si ste es encontrado, el Servidor Intermediario responde al cliente proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado no estuviera disponible en el cach, el Servidor Intermediario lo traer desde servidor remoto, entregndolo al cliente que lo solicit y guardando una copia en el cach. El contenido en el cach es eliminado luego a travs de un algoritmo de expiracin de acuerdo a la antigedad, tamao e historial de respuestas a solicitudes (hits) (ejemplos: LRU, LFUDA y GDSF).

32

NETWORKINGLos Servidores Intermediarios para contenido de Red (Web Proxies) tambin pueden actuar como filtros del contenido servido, aplicando polticas de censura de acuerdo a criterios arbitrarios. 2.1.2.1 Squid.

Squid es un Servidor Intermediario (Proxy) de alto desempeo que se ha venido desarrollando desde hace varios aos y es hoy en da un muy popular y ampliamente utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix. Es muy confiable, robusto y verstil y se distribuye bajo los trminos de la Licencia Pblica General GNU (GNU/GPL). Siendo sustento lgico libre, est disponible el cdigo fuente para quien as lo requiera. Entre otras cosas, Squid puede funcionar como Servidor Intermediario (Proxy) y cach de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, cach transparente, WWCP, aceleracin HTTP, cach de consultas DNS y otras muchas ms como filtracin de contenido y control de acceso por IP y por usuario. Squid consiste de un programa principal como servidor, un programa para bsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticacin y algunas herramientas para administracin y herramientas para clientes. Al iniciar Squid da origen a un nmero configurable (5, de modo predefinido a travs del parmetro dns_children) de procesos de bsqueda en servidores DNS, cada uno de los cuales realiza una bsqueda nica en servidores DNS, reduciendo la cantidad de tiempo de espera para las bsquedas en servidores DNS. NOTA ESPECIAL: Squid no debe ser utilizado como Servidor Intermediario (Proxy) para protocolos como SMTP, POP3, TELNET, SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo distinto a HTTP, HTTPS, FTP, GOPHER y WAIS se requerir implementar obligatoriamente un enmascaramiento de IP o NAT (Network Address Translation).

Algoritmos de cach utilizados por Squid. A travs de un parmetro (cache_replacement_policy) Squid incluye soporte para los siguientes algoritmos para el cach: LRU Acrnimo de Least Recently Used, que traduce como Menos Recientemente Utilizado. En este algoritmo los objetos que no han sido accedidos en mucho tiempo son eliminados primero, manteniendo siempre en el cach a los objetos ms recientemente solicitados. sta poltica es la utilizada por Squid de modo predefinido.

33

NETWORKING LFUDA Acrnimo de Least Frequently Used with Dynamic Aging, que se traduce como Menos Frecuentemente Utilizado con Envejecimiento Dinmico. En este algoritmo los objetos ms solicitados permanecen en el cach sin importar su tamao optimizando la eficiencia (hit rate) por octetos (Bytes) a expensas de la eficiencia misma, de modo que un objeto grande que se solicite con mayor frecuencia impedir que se pueda hacer cach de objetos pequeos que se soliciten con menor frecuencia. GDSF Acrnimo de GreedyDual Size Frequency, que se traduce como Frecuencia de tamao GreedyDual (codicioso dual), que es el algoritmo sobre el cual se basa GDSF. Optimiza la eficiencia (hit rate) por objeto manteniendo en el cach los objetos pequeos ms frecuentemente solicitados de modo que hay mejores posibilidades de lograr respuesta a una solicitud (hit). Tiene una eficiencia por octetos (Bytes) menor que el algoritmo LFUDA debido a que descarta del cach objetos grandes que sean solicitado con frecuencia.

2.1.3 Servicio DHCP Muchas veces, tenemos que manejar redes TCP/IP medianamente grandes, digamos que tenemos una red con 200 mquinas; o ms extensas con 500, 1000 o ms mquinas. La gran pesadilla de los administradores es el tener una red de este tamao y que al menos cada mquina haya que darle mantenimiento al ao. Esto en una red de 500 mquinas representa casi atender 2 mquinas diariamente. Bsicamente muchas empresas dedican enormes recursos a esta labor, personal que est slo para reinstalar mquinas, ya el personal no tiene tiempo ni de pensar en soluciones. Muchas veces est en instalar thinclients que no se puedan daar y as disminuir la cantidad de soporte. En todo caso, siempre hay que recordar que la labor de un administrador es tratar de minimizar el tiempo de trabajo, no slo para dedicarse a navegar por la red y chatear sino para tener tiempo disponible para atender los problemas cuando vengan. Esto es sumamente importante. Un administrador que tenga que trabajar continuamente las 8 horas del da, realmente est teniendo o una sobrecarga o est administrando mal. Se estima que un administrador de linux debe ser capaz de manejar fcilmente un promedio

34

NETWORKINGde 10 servidores. Por supuesto depende de su capacidad.. pero si tenemos 2 servidores y no damos abasto, consideremos que algo estamos haciendo mal. Una de las funciones principales de un administrador es el definir qu direcciones IP asignar a cada mquina. Por supuesto, los servidores siempre llevan direcciones IPs fijas, pero la parte ms positiva es que normalmente en una empresa los servidores son pocos. Entindase por poco a que comparativamente contra la cantidad de estaciones de trabajo hay pocos servidores. Ahora, cmo manejamos 200 direcciones IPs para una red? Pues existe una variante muy antigua, la del lpiz y el papel, mantenemos una lista grandsima de varias pginas con todas las direcciones IPs asignadas a las diferentes mquinas de usuario. De forma tal que cuando haya que reinstalarle, sencillamente miramos en esas 10 o 20 pginas con letra chiquita el nombre de la persona y obtenemos la direccin, o mejor an, cuando tenemos que poner una nueva mquina tenemos que quitar la IP de la vieja y asignarle la IP a la nueva, cambiando el listado completo por una IP. Existe una segunda variante y es usar DHCP. DHCP viene de Dynamic Host Configuration Protocol. Es un servidor muy simple que permite asignar de forma automtica direcciones IPs a las mquinas que as lo soliciten. El DHCP es super antiguo pero por eso no deja de ser muy bueno, tiene variadsimos usos, y nosotros lo veremos para asignar direcciones IPs a una red LAN. Existen tres mtodos de asignacin en el protocolo DHCP: Asignacin manual: La asignacin utiliza una tabla con direcciones MAC (acrnimo de Media Access Control Address, que se traduce como direccin de Control de Acceso al Medio). Slo los anfitriones con una direccin MAC definida en dicha tabla recibir el IP asignada en la misma tabla. sto se hace a travs de los parmetros hardware ethernet y fixed-address. Asignacin automtica: Una direccin de IP disponible dentro de un rango determinado se asigna permanentemente al anfitrin que la requiera. Asignacin dinmica: Se determina arbitrariamente un rango de direcciones IP y cada anfitrin conectado a la red est configurado para solicitar su direccin IP al servidor cuando se inicia el dispositivo de red, utilizando un intervalo de tiempo controlable (parmetros default-leasetime y max-lease-time) de modo que las direcciones IP no son permanentes y se reutilizan de forma dinmica. 2.1.4 Servicio NFS NFS, acrnimo de Network File System, es un popular protocolo utilizado para compartir volmenes entre mquinas dentro de una red de manera transparente, ms comnmente utilizado entre sistemas basados sobre UNIX. Es til y fcil de utilizar, sin embargo no en vano es apodado cariosamente como "No File

35

NETWORKINGSecurity". NFS no utiliza un sistema de contraseas como el que tiene SAMBA, solo una lista de control de acceso determinada por direcciones IP o nombres. Es por esto que es importante que el administrador de la red local o usuario entienda que un servidor NFS puede ser un verdadero e inmenso agujero de seguridad si este no es configurado apropiadamente e implementado detrs de un contrafuego o firewall. Un Sistema de archivos de red (NFS) permite a los hosts remotos montar sistemas de archivos sobre la red e interactuar con esos sistemas de archivos como si estuvieran montados localmente. Esto permite a los administradores de sistemas consolidar los recursos en servidores centralizados en la red.

2.2

Servicios de Internet

2.2.1 Servidor de Nombres de Dominio (DNS) Nombres de Dominio Las direcciones IP son la base de la internet, sin embargo, normalmente nosotros no usamos las direcciones IP sino que nos referimos por nombres a los sitios. Estos nombres son conocidos por nombre de dominios. Los nombres de dominios se separan por niveles, estos niveles se separan por puntos, por ejemplo ecualinux.com es un dominio de segundo nivel (ecualinux . com) y .com es un dominio de primer nivel. Existen una cantidad limitada y normalizada de nombres de dominios de primer nivel. Estos son por ejemplo: .com .net .org .biz .name .info Estos dominios de primer nivel pueden ser adquiridos por quien desee y por supuesto existe control para evitar nombres repetidos. Este control se realiza a travs de la centralizacin de los dominios en registrars (registradoras autorizadas) y los dominios son manejados por verisign-grs. Existen dominios de pases que son llamados ccTLD (country code top level domains), estos dominios son manejados normalmente por entidades autorizadas dentro de cada pas. Los dominios se rigen por una convencin ISO que clasifica a los pases por un cdigo de dos letras: .ec .co .pe

36

NETWORKING.nl .de .es .us .ca .cu .fr .de Etctera. Tambin existen varios dominios con efectos restringidos: .int : dominios para organizaciones internacionales, normalmente afiliadas a la UNESCO. .mil : dominios para las instituciones militares. .edu : dominios para instituciones educativas. .gov : dominios para instituciones gubernamentales. Este manejo de dominios debe interpretarse como la bsqueda en una gua telefnica. Uno tiene un nombre y pregunta en la gua por el telfono. As mismo se hace con los dominios, uno tiene un nombre de dominio y la mquina nuestra pregunta en su "gua" por la IP de ese dominio. Los dominios son un artilugio creado para memorizar fcilmente una direccin de internet. La entidad autorizada para registrar dominios se llama Internic. Ellos realmente no registran dominios de internet sino que delegan en ciertas organizaciones llamadas registrars para realizar el registro. Internic cobra por cada dominio registrado 2USD por ao. Verisign es la empresa que mantiene una lista centralizada de todos los dominios y cobra igualmente 2USD por cada uno registrado. Esto es, cualquier precio por encima de los 4USD que nosotros paguemos por un dominio consideremos que lo estamos dando como lucro a alguien. Por supuesto, los registrars autorizados por Internic tienen gastos de mantenimiento que hacen que un dominio no cueste exactamente 4USD sino posiblemente un poquito ms. Anteriormente exista solamente una empresa registradora, esta se llama Network Solutions, ellos al tener el monopolio del registro de dominios vendan a precios exhorbitantes superando los 50USD por cada ao que se registrara un dominio. Para evitar el monopolio es que se autorizaron a operar otros registrars, que estn enlazados entre ellos a travs de verisign-grs, esto es, cuando alguien registra un dominio, el registrar primero verifica en verisign-grs si ese dominio no lo acaba de registrar alguien y sino, lo asigna a esta persona y le reporta a verisign-grs que lo registr para su cliente. Los rangos de precios de los registrars son variables, todo depende, hay registrars que cobran cerca de los 35USD/ao, otros que cobran menos de

37

NETWORKING10usd/ao por dominio. Todo depende de la fama que tengan en el mercado y de cmo vean la posibilidad de lucrar. Todo registrar autorizado debe tener un convenio con otro registrar, de forma tal que en el evento inusual de que vayan a la quiebra y tengan que cerrar, los dominios seran asignados por verisign-grs al registrar de respaldo. Esto es, si hay un registrar X y uno Y, y nosotros tenemos registrados 200 dominios con Y, y resulta que Y se va a la quiebra, no debemos preocuparnos, nuestros 200 dominios (y todos los dominios que registr Y) pasarn automticamente a ser parte de X el cual nos brindar el mismo nivel de soporte. Los dominios se pueden registrar hasta por 10 aos consecutivos y por un mnimo de 1 ao. Esto para evitar la especulacin de que alguien compre un dominio para un evento que ocurrir en agosto (por ejemplo) y en septiembre ya no quiera el dominio, no, un dominio se compra por un ao mnimo, independientemente de qu tiempo se usar. Los dominios pueden ser transferidos entre registrars, esto es, un dominio que pertenezca a network solutions (sera el que pierde el dominio, llamado: losing registrar) y lo querramos transferir a enom (el que gana el dominio, llamado: gaining registrar) seguira un proceso muy simple. Solicitamos la transferencia del dominio en el gaining registrar, este le enviar un mail a los contactos del dominio, solicitndole que aprueben comenzar la transferencia. Estas personas (los emails listados en el dominio) al aceptar esta transferencia le indicarn al gaining registrar que se comuniquen con el losing registrar. Este ltimo, en un plazo de 5 das deber liberarlo y pasar a control del registrar que gan el dominio. Las causas ms comunes del fallo de una transferencia son: El dominio expira en menos de 5 das: como el losing registrar lo puede retener por 5 das, entonces no nos dar tiempo. La persona de contacto administrativo que recibe la solicitud de transferencia a propsito o por error no aprueba el mail de transferencia El dominio se encuentra en estado (status) bloqueado.

Los dominios .com, .net, .org, .biz, .bz y algunos ms pueden ser comprados por cualquier persona natural o jurdica que est interesada dado que el dominio est disponible (no tomado). whois Bsicamente en efecto podemos determinar si un dominio existe yndonos a un registrar y preguntando por el dominio. Pero existe una forma ms directa y cmoda que es preguntando por el dominio usando la utilera whois Esta utilera la podemos instalar con el paquete jwhois Verifiquemos que lo tenemos instalado: Una vez verificado y/o instalado, podremos comenzar a preguntar por dominios. Veamos:

38

NETWORKINGwhois ecualinux.com [Querying whois.internic.net] [Redirected to whois.enom.com] [Querying whois.enom.com] [whois.enom.com] Registration Service Provided By: EcuaLinux Contact: info@ecualinux.com Visit: http://www.ecualinux.com Domain name: ecualinux.com Registrant Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Administrative Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Technical Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Billing Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Status: Locked Name Servers: dns1.name-services.com dns2.name-services.com dns3.name-services.com dns4.name-services.com dns5.name-services.com Creation date: 18 Jul 2002 10:55:42 Expiration date: 18 Jul 2006 10:55:42

39

NETWORKINGVeamos poco a poco la informacin interesante, se lee de arriba a abajo y vamos viendo diferentes detalles de un dominio como: Registrant Contact: Es el nombre del dueo, del registrante, de la persona

que registra, normalmente es alguien que tiene relacin con la empresa y en ltima instancia ser a quin se recurra para recuperar informacin perdida de un dominio o alguna otra situacin. Administrative Contact: Es el nombre del contacto administrativo, la persona que se encarga de manejar el dominio, aprobar cambios realizados, bsicamente es el administrador del dominio, puede ser alguna otra persona, pero sugiero que siempre sea el dueo (registrant) del contacto. Technical Contact: Es el nombre del contacto tcnico, bsicamente no se usa mucho. Normalmente se pone a la persona que registra el dominio (registrant). Billing Contact: Es el nombre de la persona que recibir las indicaciones de que el dominio va a expirar y los datos sobre cmo renovarlo. La informacin de renovacin tambin llegar al Admin Contact. Pero en caso de que tengamos una empresa grande con un administrador del dominio y un contador (a) siempre es bueno aqui poner al contador (a) para que sepa que no somos alarmistas, que el dominio en efecto est al expirar y deben hacer el trmite de renovacin. De los anteriormente expuestos, los ms importantes son los Registrant (dueo) y Admin (el que autoriza cambios). Y siempre debemos tener presente que un dominio nuestro o de nuestra empresa est registrado correctamente con nuestros datos y no con los de otra persona. Status: Es el estado de un dominio, bsicamente hay algunos estados pero veamos los ms importantes: o Locked: Bloqueado, indica que el dominio est activo pero que no se permiten las transferencias. Esto es para evitar que por error se aprueben las transferencias o que les vayan a robar un dominio mediante una transferencia maliciosa. Si quisiramos transferir un dominio, debemos quitarle el estado de bloqueado.o Active: Es bsicamente igual que el anterior, slo que el dominio no est

bloqueado, es decir, puede ser transferido. Este estado es el que debemos tener cuando queremos transferir un dominio. Una vez transferido podemos bloquear nuevamente un dominio. Esto es, los estados Active y Locked son mutuamente exclusivos y podemos cambiarlos a voluntad entre uno y otro. o Registrar-Hold: Este es el estado que alcanzan los dominios cuando expiran. Una vez que un dominio expira, bsicamente no puede ser usado a no ser que se le renueve. Este periodo no tiene fecha exacta pero normalmente est entre los 30 y 120 das despus de expirado un dominio. Durante este tiempo podemos renovar al dominio por el mismo costo que nos tom registrarlo la primera vez. Durante este periodo no tenemos el dominio a nuestra disposicin, es decir, no lo podemos usar mientras no paguemos la renovacin. o Redemption Period: Periodo de redempcion, es un periodo posterior al registrar-hold que indica que el registrar ha solicitado que este dominio sea borrado de las listas, dura 30 das y durante este periodo todava se puede renovar un dominio pero por un costo de alrededor de 200USD. Casi nadie saca un dominio de redempcin sobre todo por los altos costos.

40

NETWORKINGo Pending Delete: Es el periodo inmediatamente despus del de redempcin,

bsicamente indica que el dominio ya va a ser borrado. Este periodo dura 5 das y no se puede sacar un dominio que est en este estado. A los 5 das pasar a disponibilidad de cualquier interesado. Name Servers: Son los servidores de DNS que resolvern las direcciones de nuestro dominio, podemos tener entre 2 y 13 servidores de dns para cada dominio. Tipos de DNS Los DNS se clasifican en dos tipos fundamentales: 1. DNS de cach (o forward) 2. DNS de zona Los DNS de cach son aquellos que no contienen zonas, por zonas se entienden bsicamente los records que componen un dominio, al no contener zonas (dominios) ellos tienen que preguntar a otros. Estos DNS son importantsimos, son los que usamos normalmente para preguntar por dominios en internet, por ejemplo, cuando preguntamos por www.google.com no le preguntamos a los DNS que tiene listado el dominio google.com sino que le preguntamos a unos DNS definidos por el administrador de nuestra red o por nuestro proveedor. Estos son los dns de cach. Estos DNS a su vez, verificarn con los root servers, cules son los DNS que google tiene listado para su dominio google.com y entonces acudirn prestos a preguntarle a uno de esos DNS sobre el sitio www.google.com. Por supuesto, si uno de esos DNS estuviera cado, nuestro DNS de cach ya tiene una lista de los DNS de google y por lo tanto le proceder a preguntar a otro y a otro, hasta alcanzar la respuesta. Los DNS de cach tienen una peculiaridad, es que no usan disco, bsicamente ellos almacenan toda la informacin que vamos preguntando, con el objetivo de que si la preguntamos de nuevo, ellos no tengan que salir a buscarla, sino que inmediatamente la obtienen de su cach. Es por eso que se llaman DNS de cach. Tienden a usar memoria, pero realmente no consumen demasiada, porque los tamaos de las respuestas son pequeos. Por supuesto un proveedor de internet debe tener al menos dos DNS de cach los que seguramente s consumirn memoria pues almacenarn records de muchos miles de usuarios. Pero normalmente con menos de 1GB de memoria basta. Los records cacheados son refrescados cada vez que el tiempo de vida de los records se cumplen, este valor se llama TTL. Un TTL adecuado puede ser 2 horas (7200segundos) pero algunas personas gustan de usar un da (86400segundos). El problema de un TTL de un da es que si decidimos cambiar de IP, no podremos hacerlo rpidamente pues algunos DNS de cach tendrn una respuesta cacheada por un da y durar un da el cambio de IP.

41

NETWORKINGEs por esto ltimo que algunos proveedores dicen que el cambio de DNS toma 24 horas o ms, es porque el TTL puede ser alto y al estar cacheado por cientos o miles de DNS alrededor del mundo, estos no volvern a preguntar por ese record en un da ya que considerarn vlida una respuesta mientras el TTL no sea cero. Records de un DNS Las respuestas de los DNS se definen segn un concepto que se llama records. Cada record se refiere a una propiedad de una zona (dominio) y tiene diferentes valores. Por ejemplo, los records ms conocidos son: SOA : Start Of Authority, define los valores comunes e iniciales para una zona determinada. Estos valores son un nmero de identificacin, el nombre del contacto para esa zona y algunos valores por defecto como el tiempo de vida de los records, de la zona, etc. A : Es quiz el record ms usado, y el ms fcil de entender, definitivamente

define dado un nombre, su direccin IP. Es bsicamente el concepto fundamental de los DNS. Cuando preguntas por www.google.com realmente ests preguntando por el record A de www de la zona google.com y nos devolver una direccin IP (o varias) que se correspondan con www.google.com CNAME : Es un concepto que indica un alias, una forma de referirte a un

dominio. Bsicamente podemos decir que mail.andinatel.com es un CNAME que apunta a www. andinatel.com. Esto genera dos bsquedas, una bsqueda preguntar por mail.andinatel.com y obtendr no una direccin IP, sino obtendr un apuntador, algo que le dir: mira, busca en www. andinatel.com y entonces tendramos que preguntar de nuevo por el record A de www. andinatel.com para obtener la IP. Es como un enlace directo, una forma de referirte a un sitio web o record de muchas formas. Es recomendable definir un record A por cada record que querramos y no estarlos enlazando mediante CNAMES. MX : Es el segundo ms importante despus del A. Significa Mail Exchange,

intercambiador de mails. Es el record al que los sistemas de mensajera se referirn al encontrar la necesidad de enviar un mail. Los records MX se componen de dos respuestas: El record A del servidor de mensajera y un peso o prioridad. Esta prioridad existe ya que algunos sistemas de mensajera no tienen un slo servidor de mensajera sino varios, y se les pone prioridad para indicarle a los sistemas remotos cual ser el servidor prioritario, el principal, ese servidor ser el que menos valor tenga. El que un servidor tenga peso 10 no significa que el mensaje llegar ms lento o ms rpido. Sencillamente este peso permitir a los servidores remotos ordenar los potenciales servidores y tratar de enviar los mails en ese orden. Es un concepto que se usa poco, pero vale la pena conocerlo. Verifiquemos ahora algunos servidores, para realizar preguntas sobre DNS podemos hacerlo con el comando: nslookup

42

NETWORKINGPor defecto nslookup abre y cualquier pregunta que hagamos la hace en records A. Si lo ejecutamos sencillamente como nslookup, l se intentar conectar al primer servidor DNS que tengamos definido en /etc/resolv.conf. Si quisiramos hacerle preguntas especficas a un determinado servidor de DNS podramos hacerlo con: nslookup - IPDELSERVIDORAPREGUNTAR Esto sirve a veces cuando tenemos duda de que un servidor no funciona y queremos verificarlo a l, o queremos verificar contra otro. Comencemos, usemos el nslookup para preguntar por algunos records A, se ver as: nslookup >P www.elcomercio.com Server: 127.0.0.1 r Address: 127.0.0.1#53 e Non-authoritative answer: g Name: www.elcomercio.com u Address: 69.65.159.179 n t por www.elcomercio.com El servidor al que se le hizo la pregunta fu 127.0.0.1 (mi propia mquina). La respuesta que se obtuvo fu no autoritativa, esto es, la respuesta no estaba en el DNS nuestro (127.0.0.1 en mi caso) sino que estaba en un DNS externo. Nuestro nslookup mand a nuestro servidor de DNS (127.0.0.1) a buscar a internet, ste pregunt a los rootservers sobre los DNS de elcomercio.com y le pregunt a uno de los DNS de elcomercio.com sobre el record A llamado: www La respuesta fu que www.elcomercio.com (record A www, de la zona elcomercio.com) es: 69.65.159.179 Normalmente cualquier aplicacin que pregunte por un record A, usar esta IP para dirigirse hacia el sitio del dominio en cuestin. Preguntemos algo ms: www.ecualinux.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: www.ecualinux.com Address: 209.172.33.209

43

NETWORKINGLo mismo de elcomercio.com, preguntar a 127.0.0.1 (nuestro servidor) sobre ecualinux.com y nuestro servidor dir que no tiene la zona en su control y por lo tanto la respuesta sali a buscarla (non-authoritative), y que la respuesta que encontr fue: 209.172.33.209 para el record A www de la zona ecualinux.com Preguntemos ahora sobre un record MX, lo primero que hay que cambiar es el tipo de A hacia MX [root@linuxcasa ~]# nslookup > set type=mx > ecualinux.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: ecualinux.com mail exchanger = 10 mail.ecualinux.com. Authoritative answers can be found from: ecualinux.com nameserver = dns4.name-services.com. ecualinux.com nameserver = dns5.name-services.com. ecualinux.com nameserver = dns1.name-services.com. ecualinux.com nameserver = dns2.name-services.com. ecualinux.com nameserver = dns3.name-services.com. dns1.name-services.com internet address = 69.25.142.1 dns2.name-services.com internet address = 216.52.184.230 dns3.name-services.com internet address = 63.251.92.193 dns4.name-services.com internet address = 64.74.96.242 dns5.name-services.com internet address = 212.118.243.118 set type=mx cambiar las preguntas a tipo MX. Los records MX se preguntan para los dominios, solo para LOS DOMINIOS, por lo tanto cuando pregunten por un record mx no se pondr www ni mail, slo pongan el nombre del dominio. La respuesta bsicamente dice que para la zona ecualinux.com el mail exchanger tiene un peso 10 y es el record A: mail.ecualinux.com. Esto es, tengo un slo servidor de mensajera para mi dominio que tiene un peso 10 y es mail.ecualinux.com. El segundo paso que hara un sistema de mensajera es averiguar el record A de mail.ecualinux.com para poderse conectar a enviar el correo. El que tenga el peso 10 no significa que el correo llegar ms lento que si tuviera el peso 0 o 5, sencillamente es un valor que permitira ordenar los MX en caso de haber ms de uno. Hay una razn, y es que los pesos van de 0 a 255 Si se tiene 0 como peso y un da tengo una necesidad imperiosa de insertar un nuevo servidor MX delante del servidor actual tendra que primero cambiar el peso de este servidor actual hacia otro valor pues no puedo poner nada menor a 0. Es por esto que un valor como 5 o 10 sera bueno, pues en caso de emergencia podemos poner uno o varios valores delante.

44

NETWORKINGAhora, ya sabemos que existen records A, SOA, CNAME, MX, etc. Dnde podemos definir estos records? Para eso tenemos que trabajar lo que son los DNS de zona. Estos DNS son los que contienen informacin especfica sobre una zona. Cuando uno compra un dominio, bsicamente le define los DNS de zona que manejarn este dominio, una vez comprado el dominio, tenemos que inmediatamente crear en esos DNS definidos por nosotros las zonas del dominio. Los DNS de zona se dividen en dos tipos:

DNS mster (maestro, principal) DNS esclavo (slave, secundario)

Los DNS de un mismo dominio, deben mantener la informacin sincronizada entre ellos para que las respuestas sean consistentemente las mismas independientemente de a cual de los DNS de un dominio le preguntemos. Cmo se mantiene la informacin sincronizada? Bsicamente, dados los DNS que tenemos para un dominio (supongamos que tendremos dos) definimos un DNS como maestro o mster, de ser posible que sea el que mejor conectividad tenga y al segundo (en general a todos los otros) le definimos como esclavo para la zona. Esclavo significa que este DNS no lo tendremos que configurar, cualquier cambio que hagamos en el mster, enseguida se reflejar de forma automtica en el esclavo. El esclavo siempre estar atento a cualquier cambio en su DNS principal, de ocurrir, l replicara esta informacin en su base de datos. De esta forma no tenemos inconsistencias, si algo est mal en nuestro DNS primario igual de mal estar en los esclavos. Si algo cambiamos o corregimos en el master, enseguida los esclavos lo cambiarn o corregirn. As nos ahorramos tener que cambiar todos y cada uno de los DNS de un dominio y con slo cambiar el mster sabremos que los esclavos tomarn los datos. 2.2.2 Servidor Web (HTTP) Conceptos genera