23 de diciembre de 2006

5 puntos que se deben tener en cuenta

El mundo del networking, es un ámbito técnico. Pero no es únicamente técnico. Lo es también empresarial, comercial. Y en este sentido estamos sometidos a las reglas de las áreas de comercialización de cada una de las empresas.

En este sentido, muchas veces el lenguaje comercial genera confusiones y nos arrastra de la base técnica, induciéndonos a un error.

Un router es siempre un router. Pero, como dispositivo, ¿es lo mismo lo que se ofrece como router de banda ancha que un router Cisco 1800? Si fuera así, entonces, ¿porqué la diferencia de precios?

Los switches LAN FastEthernet muestran grandes diferencias de precios, en nuestro medio, desde los u$s 30, hasta los 1200. ¿Son lo mismo? ¿En qué está la diferencia? ¿Sencillamente en la marca y nada más?

Es por esto que creo bueno cada tanto volver a los conceptos sencillos, vistos en sí mismos. Esto nos permite recuperar la precisión del lenguaje, y apreciar adecuadamente la naturaleza de nuestra tarea.

.1. Hay diferencias entre un router hogareño y un router enterprise.
No es extraño encontrarnos con que al momento de realizar implementaciones en estudios profesionales o pequeñas y medianas empresas, se proponga el uso de dispositivos de baja gama tipo D-Link, Netgear o Linksys para brindar conectividad. Por cierto que se encuentran configuraciones por demás interesantes en este tipo de equipos.

Sin embargo, hay que tener en cuenta que así como sería un exceso pensar en utilizar un router Cisco 1800 para administrar la conexión de banda ancha de mi casa, es un error pensar primariamente en dispositivos diseñados para el entorno hogareño para implementaciones de tipo empresario.

Este tipo de dispositivos carecen de muchos de los features de administración que pueden ser necesarios (aún cuando en muchos casos son administrables), carecen de features avanzados para diagnóstico y resolución de fallos, tienen recursos de seguridad muy limitados, y los protocolos y módulos que permiten implementar están limitados a su objetivo primario que es el entorno hogareño, o de oficina hogareña.

Es posible que en algún caso solamente se trate de un administrar un acceso de banda ancha que debe dar servicios a un conjunto reducido de terminales. Sin embargo, si este punto de acceso requiere de features de seguridad robustos, de administración avanzada, recursos de calidad de servicio y escalabilidad, la mejor respuesta no será un dispositivo de linea hogareña, sino enterprise.

.2. Tener siempre presente la diferencia entre un router y un switch.
Este punto puede parecer muy básico, pero si prestamos atención al modo en que hablamos y a muchos trabajos que se publican, nos daremos cuenta que no lo es tanto.

Un router es un dispositivo que opera principalmente conmutando tráfico a nivel de la capa 3 del modelo OSI. Es un dispositivo diseñado específicamente para conectar la red LAN a la WAN o a Internet según corresponda. Su capacidad es consecuencia primariamente de su sistema operativo (Cisco IOS en el caso de los dispositivos Cisco), y las prestaciones que ofrece dependen esencialmente de la versión de sistema operativo que corre.

Un switch en cambio, es un dispositivo dotado de un hardware radicalmente diferente, que está diseñado para el desarrollo de tareas específicas (circuitos ASICs). Estas características de hardware son las que le dan una capacidad de procesamiento mayor que la de los routers, si bien paralelamente tienen menor flexibilidad en su configuración.

Inicialmente cuando se hablaba de switch se hacía referencia a dispositivos LAN que operan en la capa 2 del modelo OSI, conmutando tramas. En la actualidad hay también switches multilayer o switches layer 3, que sobre la misma base (un hardware específico), pueden operar además en la capa 3 del modelo OSI. En todos los casos, estos switches son dispositivos LAN que pueden conmutar a nivel de capa 2 o capa 3 según el caso.

.3. Comprender cómo es el flujo de tráfico de una red.
Muchas veces al revisar el reporte de dificultades de un usuario se tiende a revisar en primer lugar la configuración de los dispositivos.

En realidad es imprescindible partir de una adecuada comprensión del flujo de tráfico de nuestra red. En muchas ocasiones los problemas del usuario final no son provocados directamente por la infraestructura sino por dificultades que surgen de la interacción entre la infraestructura de red y el modo de operación de TCP y los protocolos de capa superior.

En este sentido es esencial el monitoreo del tráfico de la red, la captura de tráfico, el análisis de las transacciones TCP de esas capturas, etc.

Por esto, al momento de diagnosticar la causa de un reporte del usuario es preciso evaluar en primer lugar si se trata de un problema de infraestructura o de flujo del tráfico de la red.

.4. Tener presente lo que un firewall puede, y no puede hacer.
Si bien hoy es frecuente que el término "firewall" esté incorporado en el lenguaje de los usuarios de la red, es más frecuente aún que sólo se tenga una vaga idea de lo que realmente hace un firewall (incluidos algunos Administradores, desafortunadamente).

Hay diferente tipos de firewall:

  • Firewalls de software.
    Tales como el firewall de Windows, o el ZoneAlarm.
  • Firewalls de hardware:
    Es el caso de Cisco ASA o Checkpoint.

En términos generales, los firewall de software son adecuados para usuarios finales, tales como terminales de uso hogareño o personal; los firewall de hardware son el recurso adecuado para redes corporativas.

Por otra parte, el firewall es un dispositivo de seguridad prácticamente imprescindible para la segurización de las redes de la mayor parte de las organizaciones actuales. Pero un firewall por sí sólo (aún adecuadamente configurado) no es una garantía de que la red esté segurizada adecuadamente. Por ejemplo, un firewall no protege por sí solo de ataques de phishing o virus distribuidos a través del correo electrónico.

.5. Nunca olvidar las bases del direccionamiento IP.
Es un hecho que la mayoría de los usuarios no tienen una comprensión adecuada de los principios básicos del direccionamiento IP.

Ante todo, hay que tener presentes los términos básicos:

  • Dirección IP - Todo dispositivo, con más precisión todo puerto, debe tener asignada una dirección IP que la identifica unívocamente en la red.
  • Máscara de subred - Le indica al dispositivo qué porción de la dirección IP define la red y cuál el ID del nodo. Es la que le permite identificar si la dirección IP de destino de un paquete es una dirección local o no. Todos los puertos de una subred deben tener asignada la mísma máscara de subred.
  • Default gateway - Se utiliza para poder establecer conexiones con dispositivos remotos. Cuando el dispositivo determina que un paquete tiene como destino un nodo que pertenece a otra red o subred (lo hace utilizando la dirección IP de destino y su propia máscara de subred), entonces el paquete debe ser enviado al default gateway para su enrutamiento hacia la red remota.
    Una red que no se comunica con otras redes, no necesita de un default gateway.

¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

5 comentarios:

  1. Oscar, una consulta: Como defines un proxy y un firewall?, que características tienen y en que escenarios deben implementarse.
    Por ejemplo en mi LAN los usuarios mucho consumen mi ancho de banda, bajando videos y usando la Internet para cosas ajenas a su labor diaria. He pensado implementar un proxy server, y restringir eso. Es correcta la apreciación?. Que me recomiendas tu?.
    Saludos Cordiales.

    ResponderEliminar
  2. Hola amigo:
    Realmente podrías usar un proxy para canalizar todo el tráfico http, https,ftp, y/o socks, pero te quedarían un monton de protocolos sin proteger por lo cual yo adoptaria una solución mixta, Proxy + Firewall. Con el proxy puedes restringir tráfico a determinadas web, o usando reglas de palabras clave ("sexo", "bombas", ...) y con el Firewall no dejar pasar determinados protocolos o tráfico a determinados puertos.
    Un saludo

    ResponderEliminar
  3. la Verdad , es que me gusta mucho ste Blog llevo 2 horas leyendo la diversidad de temas que expone, y en verdad es de mucha gran Ayuda, Sigue adelante.

    ResponderEliminar
  4. Muy bueno el ocntenido y muy claro

    ResponderEliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.