24 de marzo de 2007

Administración de tráfico de broadcast excesivo con switches Cisco

El tráfico de broadcast es un elemento necesario en el funcionamiento de los protocolos que operan en nuestra red, a la vez que un problema por el consumo innecesario de ancho de banda y recursos. Limitar las consecuencias de un excesivo tráfico de broadcast en nuestra red es una de las tareas permanentes del Administrador de la red.

¿Qué es el broadcast?
El broadcast es un componente natural de las redes TCP/IP y particularmente las redes Ethernet. Distinguimos 3 tipos básicos de comunicaciones:

  • Unicast - Comunicación de una terminal origen a una terminal destino.
  • Multicast - Comunicación de una terminal origen a un grupo de terminales destino.
  • Broadcast - Comunicación de una terminal origen a TODAS las terminales de un dominio de broadcast (red, subred o VLAN).

Un paquete broadcast a nivel de capa de red, es un paquete cuya dirección de destino es 255.255.255.255. Si se trata de una red o subred específica el paquete puede tener como dirección destino la dirección reservada de subred correpondiente, por ejemplo: 172.16.1.255/24.

Los paquetes de broadcast se encapsulan a nivel de capa de enlace de datos con una dirección MAC reservada que es FFFF.FFFF.FFFF. Los switches LAN cuando reciben una trama con una dirección broadcast de destino inundan esa trama a todas sus bocas salvo la boca a través de la cual han recibido la trama.

Hay múltiples protocolos que automatizan operaciones de la red que utilizan en algunos de sus procesos direcciones de broadcast. Es el caso, por ejemplo, de los protocolos ARP y DHCP.

Limitando el broadcast de la red
El broadcast es un riesgo permanente en nuestra red, ¿porqué?

  • Porque inunda la red utilizando ancho de banda innecesariamente.
  • Porque insume recursos de los dispositivos que deben procesar este broadcast.
  • Porque insume recursos de las terminales y servidores que reciben el broadcast y deben analizarlo.

Adicionalmente, problemas de configuración o fallos de los dispositivos o de las terminales pueden provocar la presencia de montos muy importantes de broadcast en la red que quitan recursos para el procesamiento del tráfico de datos o la operación regular de la red, bajando de modo notable su performance.

El primer recurso para limitar el impacto negativo del tráfico de broadcast es limitar el tamaño de los dominios de broadcast (el conjunto de nodos que reciben un paquete de broadcast). Para esto, las herramientas tradicionales son:

  • Dividir la red en subredes.
  • Implementar dispositivos de capa 3 para la comunicación entre subredes.
  • Dividir la red en VLANs.

Cuando implementamos switching de capa 2, el único recurso disponible para limitar la difusión de broadcast es la implementación de VLANs, ya que por definición los switches LAN no filtran el broadcast y lo inundan a toda la red. Sin embargo, cuando implementamos switches Cisco se puede limitar el monto de ancho de banda que se utilizará para tráfico de broadcast implementando supresión de broadcast.

Supresión de broadcast con Cisco IOS
Los switches Cisco IOS brindan un feature que permite con facilidad limitar la porción de ancho de banda que puede ser ocupada por tráfico de broadcast en cada puerto del switch. Esta función está deshabilitada por defecto. Esta función permite adicionalmente definir el modo en que cada puerto debe manejar el tráfico de broadcast que recibe: se puede descartar el tráfico de broadcast excedente por un tiempo limitado o hasta que el tráfico de broadcast que llega disminuya.

Un ejemplo de cómo configurar esta función en un switch Catalyst 2950:

Switch(config)#interface fastethernet 0/10
Switch(config-if)#storm-control broadcast level 50
Switch(config-if)#storm-control action trap

El primer comando es el único requerido. En esa línea se define el tráfico que se desea limitar (también se puede utilizar para limitar tráfico de multicast o de unicast) y hasta qué nivel se tolera el mismo.

La segunda línea indica la acción que se desea tomar. Si la opción buscada es que el puerto sea inhabilitado completamente, el comando será: storm-control action shutdown. Si no se especifica nada, por defecto, el comando descarta el tráfico de broadcast. También se puede solicitar que envíe un aviso de SNMP a una estación de management.

El estado de los puertos respectos de esta función de descarte de tráfico broadcast puede ser verificado con el correspondiente comando show:

Swtich#show storm-control broadcast
Interface Filter State Trap State. Upper....Lower....Current
--------- ------------ ----------. ------...-----....-------
Fa0/1.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/2.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/3.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/4.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/5.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/6.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/7.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/8.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/9.... inactive....inactive.....100.00%..100.00%....N/A
Fa0/10....Forwarding..Below rising..50.00%...50.00%..0.00%

Fa0/11....inactive....inactive.....100.00%..100.00%....N/A
Fa0/12....inactive....inactive.....100.00%..100.00%....N/A

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta
.

23 de marzo de 2007

IEEE aprobó el segundo borrador del estándar 802.11n

La IEEE acaba de aprobar el segundo borrador del estándar IEEE 802.11n para el desarrollo de redes wireless LAN de alta velocidad (también llamado Intensi-Fi): IEEE 802.11n draft 2.0.

Esto significa esencialmente que el estándar está definido en su mayor parte, que a partir de este momento se harán cambios menores al texto existente, y lo que es más importante: la mayor parte de las características y funciones están ya claramente definidos lo que permite asegurar la compatibilidad hacia adelante de los equipos fabricados basándose en este nuevo draft.

El estándar debe aún recorrer un largo camino para que sea una norma definitiva: se espera que hacia fines del presente año esté listo el texto del tercer borrador, de modo que pueda ser aprobado a principios del año 2008, con la perspectiva de que el texto final del estándar sea publicado en abril de 2009.

La mayor parte de los técnicos y empresarios del área están seriamente preocupados por los tiempos que demanda la elaboración y aprobación definitiva de los estándares y la certificación del equipamiento correspondiente, un proceso que no adecua sus tiempos al ritmo que ha tomado la implementación y difusión de las nuevas tecnologías. Muchas compañías ya están comercializando equipamiento "802.11n" o de alta velocidad basándose en el primer borrador, lo que no asegura la compatibilidad con el estándar final.

Por suerte, con la aprobación de este segundo borrador, los dispositivos desarrollados en base a este nuevo documento mantendrán compatibilidad con el estándar definitivo, si bien no se puede asegurar compatibilidad hacia atrás.


¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

18 de marzo de 2007

Principios Básicos de Networking versión 3.1

¡¡¡Ya está disponible la nueva versión de
Principios Básicos de Networking!!!



Principios Básicos de Networking ha sido el primer título de la serie de textos sobre networking que estoy publicando. Cuando se publicó la versión 3.0 en el año 2005 me comprometí a mantener los materiales actualizados: este es el primer fruto de ese compromiso.
Este weblog ha sido una herramienta importantísima para mantener ese ritmo de actualización.
Ahora, muchos de los artículos que en su momento publiqué en este blog, a los que agregé otros materiales que por su complejidad y extensión no podían ser publicados en este formato, se han incorporado en esta versión 3.1 que marca 2 características de este proceso:

  • El compromiso por mantener materiales de estudio y trabajo actualizados según el estado del arte.
  • El dinamismo de este proceso de intercambio que hemos establecido a través de la combinación de un elemento tradicional como el libro impreso, con una herramienta de última generación como son los weblogs.
Principios Básicos de Networking no es solamente un manual de networking totalmente pensado y elaborado en castellano. Es un manual con un ritmo de actualización único en su género, considerando aún manuales en inglés.

Fecha de publicación: 20 de marzo de 2007.
Autor: Oscar A. Gerometta
CCAI/CCNA
He sido Regional Instructor CCNA/CCNP - SuperInstructor SC - IT Essentials.
He sido el primer Instructor certificado CCAI/CCNA de la Región.
He sido Miembro del Instructional Review Board de Cisco Networking Academy.
He formado a más de 300 Instructores CCNA, y 800 Alumnos de Cisco Networking Academy program.
Actualmente me desempeño como consultor independiente en temas de networking, capacitación y e-learning.

Texto:
Este manual ha sido el primero que he desarrollando como resultado de mi experiencia de años de actividad en capacitación de administradores de red, para responder a las necesidades de información de quienes trabajan en esta áreas.
Se trata de una versión renovada, en la que además de incorporar nuevos instrumentos de trabajo y reordenar el contenido, he incorporado mucho contenido nuevo: procedimientos, diagramas de flujo, tips y trips de configuración, capturas de comandos, etc. Además todo el texto ha sido revisado y los anexos enriquecidos con información adicional.

Sin ser una guía de estudio para el examen de certificación, cubre todos los objetivos del examen CCNA 640-801, y agrega muchos temas conexos y adicionales.

Contenidos:
  • Principios de Networking
  • Protocolo IP
  • Configuración y administración de entornos Cisco IOS
  • Enrutamiento IP
  • Administración de Cisco IOS y archivos de configuración
  • Tecnologías de conmutación LAN
  • VLANs
  • Consideraciones en torno a algunos protocolos
  • Administración del tráfico de la red
  • Tecnologías y protocolos WAN
  • Anexo 1: Comandos IOS para monitoreo
  • Anexo 2: Tecnología wireless
  • Anexo 2: Glosario de siglas y términos
  • Anexo 4: Unidades
  • Anexo 5: Estándares
Total: 427 páginas

Este manual es ahora de acceso libre
a través de la Biblioteca Virtual EduBooks.
ingrese aquí.

Oscar Gerometta.

17 de marzo de 2007

Herramientas de Cisco IOS para prevenir IP spoofing

En nuestros días, las cuestiones de seguridad informática, y particularmente de seguridad en la red, son un tópico frecuente y obligatorio. Uno de los tantos posibles riesgos o ataque a los que una red se encuentra expuesta, son los ataques por IP address spoofing.

Durante un ataque de spoofing, cuando se trata de un ataque externo, el atacante reemplaza la dirección IP de los paquetes que recibimos por una que lo hace aparecer como parte de nuestra red interna. Para evitar esta situación, hay algunas medidas preventivas a considerar en cuya implementación encontramos funciones importantes de Cisco IOS que podemos implementar.

Una medida a tomar: bloquear direcciones IP
El primer paso en este punto es bloquear el posible acceso a nuestra red de paquetes originados en direcciones IP que no se consideran legítimas.

Es frecuente que quienes desean ocultar su identidad utilicen con este propósito direcciones IP privadas (RFC 1918) u otro tipo de direcciones IP reservadas o especiales. La siguiente es entonces una lista de redes que deben ser filtradas con este propósito, ya que nunca debiéramos recibir en nuestra red un paquete cuya dirección de origen fuera una de las siguientes:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 127.0.0.0/8
  • 224.0.0.0/3
  • 169.254.0.0./16

Todas estas direcciones corresponden a redes que no debieran ser enrutadas sobre Internet, o utilizadas para generar tráfico sobre Internet, por lo que no debieran llegar hasta nuestro dispositivo de borde. Podemos asegurar casi con total certeza que todo tráfico con una dirección de origen perteneciente a alguna de estas redes es un tráfico que conlleva un cierto grado riesgo para la seguridad de nuestra red.

A estas direcciones debemos agregar direcciones pertenecientes a la red interna de nuestra empresa. Si nuestra red interna utiliza direccionamiento privado, estas direcciones ya están incluídas en la lista anterior. Si utilizamos un rango de direcciones públicas, entonces deberemos agregar ese rango de direcciones a la lista que presenté más arriba.

Con este conocimiento básico presente, hay un grupo de herramientas de Cisco IOS que pueden ser entonces útiles para segurizar nuestra red.

Implementación de Listas de Acceso (ACL)
Un modo sencillo de prevenir este tipo de accesos es filtrar estas direcciones en el punto de acceso del tráfico desde Internet (por supuesto que en este sentido es muy importante contar con un único punto de acceso de toda la red a Internet).

El filtro que generemos deberá filtrar cualquier tráfico que tenga como origen cualquiera de las dirección comprendidas dentro del rango de redes que definimos antes. En términos más precisos: hay que crear una ACL que deniegue o descarte todo el tráfico entrante que se origine en cualquier dirección IP comprendida en el rango ya definido. Por ejemplo:

Router#configure terminal
Router(config)#ip access-list extended antispoof
Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any
Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any
Router(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)#deny ip 169.254.0.0 0.0.255.255 any
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface serial0/0
Router(config-if)#ip access-group antispoof in

El RFC 2267 define la conveniencia de que los service providers (ISP) utilicen filtros como este en sus redes.

Tengamos presente que este filtro no protege de todo acceso ilegítimo ni mucho menos, por lo que es muy importante que sea complementado con la presencia de un firewall statefull por dentro que verifique la legitimidad del tráfico que ingresa y proteja la red interna.

Hay que tener presente que esto es sólo una porción de lo que debiera ser una estrategia de seguridad global de toda la red.

Implementación de reverse path forwarding
Otro método para proteger la red de este tipo de ataques es la implementación de RPF (Reverse Path Forwarding), también conocido como "ip verify"
.

RPF opera como si fuera parte de una solución anti-spam. En una solución anti-spam se toman los correos electrónicos entrantes y se copia la dirección de correo de origen; con esta información se hace un lookup hacia el servidor que envía ese mensaje para verificar que la dirección realmente existe. Si la dirección no existe el servidor de correo elimina el mensaje porque no hay modo de responder al mismo y por lo tanto es muy probable que se trate de un spam.

RPF realiza un proceso semejante a ese con los paquetes IP que recibe. Toma la dirección IP de origen de un paquete recibido desde Internet y hace un lookup para revisar si el router tiene una ruta en su tabla de enrutamiento que le permita responder a ese paquete. Si no hay una ruta en la tabla de enrutamiento que permita una respuesta a la IP de origen entonces considera que el paquete es spoofing y descarta el paquete.

Un ejemplo de cómo configurar RPF en nuestro router es el siguiente:

Router(config)#ip cef
Router(config)#interface serial 0/0
Router(config-if)#ip verify unicast reverse-path

Nótese que la activación de esta función requiere que previamente se haya habilitado Cisco Express Forwarding (CEF). También hay que tener presente que activando esta función sólo se recibirá tráfico de redes hacia las cuales haya una ruta en nuestra tabla de enrutamiento.

Estos 2 tips no constituyen ni por cerca una implementación de seguridad. Son sólo un par de recursos disponibles a tener en cuenta e implementar sólo si se adecuan a políticas de tráfico, enrutamiento y seguridad de la red previamente definidas.

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

14 de marzo de 2007

Wireless: Algo sobre los estándares vigentes



Hay varias líneas o conceptos que están impregnando las redes contemporáneas: la convergencia de voz, video y datos, la seguridad, la movilidad.

Los accesos wireless, que hace apenas unos años parecían una sofisticación, son hoy una realidad presente en todos los estamentos: desde las redes hogareñas hasta grandes desarrollos corporativos. Muchos de los dispositivos que se ofrecen en el mercado, como cáramaras IP, PDAs o notebooks, ya vienen equipados con clientes wireless.

Es por lo tanto muy importante conocer cuáles son los estándares aprobados, cuáles son los alcances de cada uno, y cuáles son las posibilidades futuras.

Wireless en todas las categorías de la red
Hoy la implementación de enlaces inalámbricos es posible en redes de todas las dimensiones, aunque ciertamente en cada caso juegan tecnologías y estándares diferentes:
  • PAN - Personal Area Network
    Una categoría muy particular de red, pero cada día más presente de la mano del confort y las prestaciones personales, son la redes de alcance personal.
    Bluetooth ............... IEEE 802.15.3
    UltraWideBand ....... IEEE 802.15.4a
    Ancho de Banda: desde 1 Mbps hasta 1Gbps
    Alcance: Corto
    Aplicaciones: conexiones peer-to-peer o dispositivo-a-dispositivo.

  • LAN - Local Area Network
    Es quizás el ámbito de implementación más buscado en este momento.
    IR ......................... IrDA
    Wi-Fi ............... .... IEEE 802.11a, b, g
    Ancho de Banda: de 11 a 54 Mbps
    Alcance: Medio
    Aplicaciones: redes hogareñas a corporativas.

  • MAN - Metropolitan Area Network
    Wi-Fi ................... IEEE 802.11
    Wi-Max ............... IEEE 802.16
    MBWA ................ IEEE 802.20
    Ancho de Banda: entre 10 y 100 Mbps
    Alcance: Medio - Largo
    Aplicaciones: acceso de última milla.

  • WAN - Wide Area Network
    GSM
    CDMA
    Ancho de Banda: entre 10Kbps y 2 Mbps
    Alcance: Largo
    Aplicaciones: Dispositivos de datos móviles.
802.11 Wi-Fi
Para el desarrollo de los estándares wireless LAN, la IEEE ha establecido un área específica que se identifica como 802.11. Esta área tiene la responsabilidad de definir los estándare wireless LAN, no solamente los que se conocen como Wi-Fi

Entre los estándares más conocidos de este grupo, están los IEEE 802.11a, b y g. Sin embargo hay muchos otros que también influyen en el diseño y operación de las redes WLAN que se implementan en la actualidad, de allí que considero importante hacer un listado de los principales estándares producidos o en desarrollo por este grupo:

  • 802.11a - Wi-Fi de 54Mbps en una frecuencia de 5GHz.

  • 802.11b - Wi-Fi de 11Mbps en una frecuencia de 2.4GHz.

  • 802.11d - Roaming a través de diferentes países.

  • 802.11e - Especificaciones de QoS para tráfico multimedia en redes wireless.

  • 802.11g - Wi-Fi de 54Mbps en una frecuencia de 2.4GHz.

  • 802.11h - Dinamic Frequency Selection (DFS) y Transmit Power Control (TPC).

  • 802.11i - Seguridad avanzada para redes wireless (802.1x, EAP, MIC. TKIP, AES).

  • 802.11j - Extensión de la capa física y MAC 802.11a para permitir su operación en la banda de 4.9 y 5 GHz en Japón.

  • 802.11k - Radio Resource Measurement (RRM).

  • 802.11n - Intensi-Fi para conexiones wireless de alta velocidad.

  • 802.11p - Wireless Access and Vehicular Environment (WAVE).

  • 802.11r - Fast BSS Transition (Fast Roaming).

  • 802.11s - Redes wireless en malla (mesh).

  • 802.11t - Wireless Performance Prediction.

  • 802.11u - Wireless Internetworking with External Networks (WIEN).

  • 802.11v - Wireless Network Management.
Lo más utilizado
De todos los estándare que enumeré antes, de la mano de la disponibilidad de redes públicas y su presencia ya instalada en dispositivos móviles, los sistemas Wi-Fi son los más popularizados. Es por esto que considero importante revisar con un poco más de precisión los estándares IEEE 802.11 a,b y g.

  • IEEE 802.11b
    Fecha de ratificación: ......1999
    Rango de frecuencia: ...... 2.402 a 2.483 GHz
    Ancho de Banda: ........... 1, 2, 5.5, 11 Mbps
    Throughput máximo:........6.8 Mbps
    Canales:.........................11 a 14 según cada país
    Canales no sobrepuestos: 3 (1, 6 y 11)
    Utiliza DSSS (Direct Sequence Spread Spectrum)
    Cisco recomienda un máximo de 25 clientes/celda.

  • IEEE 802.11a
    Fecha de ratificación: ...... 1999
    Rango de frecuencia: ...... 5.15 a 5.35 y 5.47 a 4.725 GHz
    Ancho de Banda: ............ 6, 9, 12, 18, 24, 36, 48, 54 Mbps
    Throughput máximo:.........32 Mbps
    Canales:......................... 12 a 23 según cada país
    Canales no sobrepuestos: 8 en interiores
    .......................................4 en exteriores
    Utiliza OFDM (Orthogonal Frecuency Division Multiplexing
    Implementa DFS y TMC para mejorar la performance.
    Cisco recomienda un máximo de 15 clientes/celda.
  • IEEE 802.11g
    Fecha de ratificación: ...... 2003
    Rango de frecuencia: ...... 2.402 a 2.483 GHz
    Ancho de Banda: ............6, 9, 12, 18, 24, 36, 48, 54 Mbps
    Throughput máximo:........32 Mbps
    Canales:.........................11 a 14 según cada país
    Canales no sobrepuestos: 3 (1, 6 y 11)
    Utiliza DSSS (Direct Sequence Spread Spectrum) para compatibilidad con 802.11b
    OFDM para alcanzar 54 Mbps de ancho de banda.
    Si bien un AP 802.11g pueda dar servicio simultáneamente a clientes 802.11b y 802.11g, esto afecta su performance.
    Cisco recomienda un máximo de 20 clientes/celda.
Enlaces de referencia

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta