99035871-Captura-trafico

7/30/2019 99035871-Captura-trafico

1/37

PRCTICA SOBRECAPTURA Y ANLISIS DE TRFICO CON ETHEREAL

Prof. Vincenzo Mendillo

Junio 2006

Objetivo

Familiarizarse con el uso de sniffers y analizadores de trficocomo Ethereal para capturar y estudiar los datos que circulanpor las redes, a fin de detectar problemas causados por fallas ocongestin, y adems entender mejor cmo funcionan losprotocolos de comunicacin.

Nota: Se recomienda leer adicionalmente el anexo Descripcinde los protocolos TCP/IPal final de esta gua para realizar bien

esta prctica.

Seccin A: Introduccin

Existe una gran variedad de herramientas que permiten capturarlos datos que viajan por las redes de comunicacin yposteriormente analizarlos. Se les conoce como: analizadores deprotocolos, analizadores de redes, analizadores de trfico,sniffers. Ellos son muy tiles para los ingenieros, tcnicos yadministradores de redes, ya que por medio del monitoreopermiten encontrar y solucionar variados y complejosproblemas. Tambin son una excelente ayuda didctica para

entender cmo funcionan los protocolos de las redes modernas.Pero representan un arma peligrosa en mano de personas malintencionadas porque pueden capturar datos confidenciales (ej.contraseas) que no estn encriptadas.

Algunos de los productos comerciales ms conocidos son:Agilent Advisor (www.agilent.com), Sniffer Pro (www.nai.com),Iris (www.eeye.com).

Ethereal (www.ethereal.com), es una herramienta rpida,simple y gratuita, al contrario de los anteriores, que son comer-ciales. Requiere un driver especial llamado WinPcap paracapturar los paquetes.

Tcpdump es una herramienta para ambiente Linux muyverstil, especialmente utilizada en tareas de seguridad

informtica (por ejemplo, en la evaluacin de la seguridad deuna red) as como en el anlisis del funcionamiento de las redes.Le versin para Windows es conocida como WinDump.

Libpcap es una biblioteca de funciones para aplicaciones querequieran captura de paquetes, colocando la tarjeta de red enmodo promiscuo. Se trata de una librera utilizada por una grancantidad de productos: Tcpdump, Ethereal, Snort (sistema dedeteccin de intrusos) y muchos otros programas.

En la carpeta Captura del CD-ROM se encuentran varias delas herramientas antes mencionados.

En esencia, los analizadores de protocolos capturan almacenan los datos que viajan por la red. De esta forma, ltcnicos y administradores responsables de una red disponen una ventana para ver lo que est ocurriendo en la mismpermitindoles solucionar problemas de fallas y congestinestudiar y modelar el comportamiento de la red mediante visin del trfico que circula.

Si bien existen analizadores de redes en hardware (comAgilent Advisor) con la interfaz adecuada para distinttecnologas (ATM, SDH, Frame Relay, etc.), la mayora de l

analizadores de red son productos de software que utilizan tarjeta de interfaz de la red (NIC, esto es Network InterfaCard) para capturar indiscriminadamente todo el trfiEthernet que circula por el hub (concentrador de cableado) vez de solamente el trfico enviado especficamente a emquina. Tenga en cuenta que el hub acta como un repetidorel trfico que llega a un puerto, es transmitido a todos los dempuertos. Si se utiliza una laptop, sta se puede fcilmenconectar al segmento de red que se quiere analizar.

Normalmente una tarjeta Ethernet descartara cualqutrfico que no vaya dirigido a ella o a la direccin de difusin la red, por lo que el analizador deber hacer que la tarjeta enten un estado especial denominado modo promiscuo. Una vque la tarjeta se encuentra en ese modo, el analizador puecapturar y analizar cualquier trfico que pase por el segmen

local Ethernet. Esto limita de algn modo el alcance de analizador, puesto que no ser capaz de capturar el trfiexterno al dominio local de la red (es decir, ms all de lrouters, switches u otros dispositivos de segmentacin). obvio que un analizador hbilmente situado en el backbo(columna vertebral) de la red, en un enlace interred, o en otpunto de agregacin de la red, podr capturar un volumen mayde trfico que otro colocado en un segmento aislado de EthernPor ejemplo, muchas redes tienen un router en la perifeconectado por un lado a Internet y por el otro a un switch quinterconecta las PCs. En este caso un buen sitio es colocar


2/37

-2-

analizador entre el router y el switch. Tenga en cuenta que unswitch acta como un bridge y el trfico que llega a un puerto,es transmitido slo al puerto donde est la mquina de destino.

Los switches a veces permiten configurar un puerto (mirror)al cual se puede redirigir el trfico de cualquier otro puerto. Otraforma es utilizar un mini hub de 3 puertos, conectando all elswitch, el router y el analizador.

Como sucede con la mayora de los recursos a disposicin delos administradores de redes, su uso se ha subvertido pararealizar tareas en provecho de los intrusos y curiosos. Imagnesela enorme cantidad de datos importantes que pasan a travs de

una red. Estos datos incluyen el nombre de usuario y sucontrasea, mensajes de correo electrnico confidenciales,transferencia de archivos con datos financieros, etc. En unmomento u otro, si esta informacin se enva a travs de unared, se convierte en bits y bytes que son visibles para alguienque emplee un analizador en algn punto de la ruta de los datos.

Una red Ethernet compartida mediante un hub entonces esextremadamente vulnerable ante un analizador, puesto que eneste tipo de redes todo el trfico se transmite a todas lasmquinas conectadas al hub. Una red Ethernet conmutada(mediante un LAN switch) esencialmente sita a cada mquinaen su propio dominio de colisin, de forma que solamente eltrfico broadcast y el trfico destinado a esa mquina especfica

alcanza la NIC. Una ventaja adicional para considerar al pasarsea una red conmutada es su mejor desempeo, al reducir lacongestin. El costo de un LAN switch es ya comparable alcosto de un hub tradicional, por lo que ya no existe ningunaexcusa para seguir adquiriendo tecnologa Ethernet compartida.

En todo caso los switches no eliminan completamente elriesgo de escucha. En efecto, existen nuevos analizadores comoEttercap (http://ettercap.sourceforge.net) que utilizan la tcnicadeARP poisoningpara alterar las tablas del switch a fin de queenve las tramas a la direccin Ethernet donde se encuentra lamquina espa, adems de enviarlas a la mquina legtima. Asque para mxima seguridad, el uso de switches deberacomplementarse con la encriptacin.

Los sniffers clandestinos son un peligro serio y existen dostcnicas bsicas para detectarlos: una basada en host y otrabasada en la red. La tcnica ms directa basada en host consisteen determinar si la tarjeta de red de esa mquina estfuncionando en modo promiscuo. En Unix, los sniffers aparecenen la lista de procesos y tienden a crear, con el tiempo, grandesarchivos de registro, as que sencillos scripts que utilicen loscomandosps, lsofy grep pueden sacar a la luz alguna actividadsospechosa de tipo sniffer. Los intrusos ms inteligentes casisiempre disfrazan el proceso de sus sniffers e intentan esconderen un directorio oculto los archivos de registro que crean, por loque estas tcnicas no son siempre efectivas.

Existen distintas tcnicas para detectar la presencia sniffers en una red. Por ejemplo, si mediante un agente SNMinstalado en una PC sospechosa se chequean las estadsticas los paquetes IP recibidos y se ven que son anormales, se puepensar que en esa PC est activo un sniffer.

Tambin se dispone de herramientas especializadas, tacomoPromiScan,AntiSniffy Neped, las cuales se encuentran la carpeta Captura del CD-ROM.

Seccin B: Ethereal

Ethereal (www.ethereal.com), es una analizador de protocolrpido, simple y gratuito, al contrario de Iris, Agilent AdvisorSniffer Pro, que son productos comerciales.

Tethereal es la versin TTY (cnsola) de Ethereal, es deque no posee la interfaz grfica, por lo cual es mucho meficiente y no carga tanto el PC. Permite mostrar en la pantalos datos que se capturan o vaciarlos (dump) a un archivo pasu posterior anlisis con Ethereal u otro analizador protocolos.

1. Instale Etherealcorriendo Setup desde la carpeta CapturaEthereal del CD-ROM. Durante la instalacin de Etheretambin se instala WinPcap, que es el driver que permcapturar trfico en vivo bajo Windows.

2. Copie la carpeta Captura | Muestras del CD-ROM a carpeta de disco duro donde se instal el programa. Tambicopie all el archivo User-guide.pdf.

3. Ejecute Ethereal mediante Inicio | Programas | EthereLuego desde la barra de opciones seleccioneFile | Open para aabrir un archivo de muestra de datos capturados ubicado encarpetaMuestras. Puede empezar con Mail.cap, que contiene

inicio de una sesin POP3 de correo electrnico.

4. La pantalla de Ethereal muestra 3 cuadros (panes). El supericontiene una lista de las tramas capturadas con un resumen de contenido.

El cuadro superior muestra en cada fila una tramcapturada, con un resumen de sus caractersticas (direcci


3/37

-3-

de origen y destino, tamao, tiempo, etc.). Haciendo clicsobre una trama, se muestran sus detalles en los otros 2cuadros. Escoja la trama 7 y note cmo se revelaclaramente la contrasea (abc123) de inicio de la sesinPOP.

El cuadro del medio muestra ms detalles de una trama quese haya seleccionado, a nivel de las diferentes capas de losprotocolos (Frame, Ethernet, IP, TCP, POP). Ntese que elorden de las capas de los protocolos es de acuerdo a su

posicin secuencial en la trama, esto es Frame. Serecomienda consultar el documento Descripcin de los

protocolos TCP/IPal final de esta gua para entender mejoresta informacin.

El cuadro inferior muestra el contenido de los campos delprotocolo, en formato hexadecimal y ASCII.

5. Consulte la ayuda en lnea (Help) a fin de entender mejor lospasos que siguen. Para ms informacin consulte User-guide.pdf(en la carpeta de instalacin o en el CD-ROM) y Ethereal

Manualdesde Inicio | Programas | Ethereal.

6. En el men seleccione View | Expand All, para as expandir la

estructura de los protocolos y as observar mejor todos losdetalles.

7. En el men seleccione Analyze | Follow TCP Stream, a fin dereconstruir la sesin TCP completa.

8. En el men bajo Statistics se puede obtener una impresionantecantidad de informacin sobre el trfico capturado. Empiecepor seleccionarFlow Graph.

9. Luego seleccione General flow y analice la informacindesplegada.

10. Repita la experiencia seleccionando TCP flow en vez General flow.

11. En el men seleccione View | Time Display Formatpara aabrir la opcin Time of Day ( o Date and Time of Day) y podvisualizar el tiempo absoluto de la captura en vez del tiemprelativo (Seconds Since Beginning of Capture).

12. Mediante File | Open abra otro archivo de muestra de datcapturados en la carpeta Muestras. Por ejemplo, Telnet.ccontiene el inicio de una sesin Telnet. Ntese que con protocolo Telnet no es fcil averiguar la contrasea, ya que caletra que se pulsa es enviada como un paquete individual. Sembargo, seleccionando la trama 3 y utilizandoAnalyze | FolloTCP Stream, puede reconstruir la sesin TCP completa y ver contrasea (cisco) u otros datos.

13. Bajo Statistics | Flow Graph, analice las informacidesplegada con General flow y con TCP flow.

14 Como otro ejemplo de captura de contrasea, cargue archivoFTP.cap, que contiene los datos de inicio de una sesiFTP. Aqu la contrasea se muestra claramente en la trama 9, que ella es enviada completa en un solo paquete cuando se pul

Enter(al contrario de Telnet).


4/37

-4-

Nota: En caso de que no aparezca nada, utilice Clear paraeliminar cualquier filtro.

15. el men seleccione Analyze | Follow TCP Stream, a fin dereconstruir la sesin TCP completa.

16. Bajo Statistics | Flow Graph, analice las informacindesplegada con General flow y con TCP flow.

17. Pruebe a aplicar un filtro a los datos capturados. Laexpresin para el filtro se escribe en la casilla superior de lapantalla (Filter) y deben usarse minsculas. Como ejemplo,introduzca ftp contains PASS y pulse Apply. Ver solamentelos paquetes FTP que contienen los characteres PASS. Limpie elfiltro y pruebe con tcp contains PASS

18. Introduzca un filtro ftp y pulse Apply. Ver solamente lospaquetes FTP. Si en cambio pone un filtro:ip.src==207.46.133.140, ver solamente los paquetes queprovienen de esa direccin IP. Los siguientes son otros ejemplosde filtros:

tcp.port==21ip.addr==207.46.133.140ip.addr!=207.46.133.140ip.addr==207.46.133.140 or ip.addr==192.1.1.1ip.addr==207.46.133.140 and tcp.flags.synip.addr==207.46.133.140 and not tcp.port==80frame.pkt_len greater thanlt, < less thange, >= greater than or equal tole,


5/37

-5-

Statistics en el men de Ethereal proporciona valiosainformacin para este fin.

21. Para capturar trfico en vivo, es necesario que est instaladoel driver WinPcap. Para chequear si est o no est instalado,desde Windows y mediante Inicio | Configuracin | Panel deControl | Agregar o quitar programas vea si en la lista apareceWinPcap.

22. En caso negativo, ejecute WinPCap.exe desde la carpetaCaptura \ WinPcap del CD-ROM. Luego cierre Ethereal yvuelva a iniciarlo.

23. Elimine cualquier filtro y seleccione Capture | Interfaces.Aqu seleccione la interfaz a utilizar (ej. Ethernet) pulsando

Prepare.

Nota: Si la interfaz Ethernet no se puede seleccionar, significaque probablemente no est instalado correctamente el driverWinPcap y tiene que volver a instalarlo.

24. A continuacin se abre una ventana que permite definir lasopciones de la captura. Active la opcin Update lists of packetsin real time, ya que de otro modo los datos se envan a un buffery slo se ven al parar la captura (esto sera conveniente si haymucho trfico y entonces la PC podra sobrecargarse).

25. Tambin active Automatic scrolling in live capture y Hidecapture info dialog.

26. Si desactiva la opcin Capture packets in promiscous mode,solamente capturar las tramas Ethernet que salen o entran a su

mquina. Nota: Si est usando una tarjeta inalmbrica paWLAN que no soporta el modo promiscuo, quizs tenga qdesactivar esta opcin para capturar el trfico.

27. Si activa Limit each packet to 68 bytes, solamente vacapturar el inicio de las tramas, es decir los encabezados, ya qlos datos del usuario a menudo no son relevantes padiagnosticar problemas. Adems as se reduce la carga sobEthereal.

28. Si desactiva las opciones Name Resolution, no se traducdirecciones numricas (MAC, IP, puertos) a nombres (pejemplo, interrogando el DNS). De esta forma el despliegue pantalla es mucho ms rpido y hay menos posibilidad de que pierdan algunas tramas.

29. Finalmente pulse Start y si hay trfico, debera empezarllenarse la pantalla de datos capturados en tiempo real. Si no htrfico, conctese a un sitio Web o actualice una pgina WePuede parar la captura mediante Capture | Stop.

30. Utilice la opcin Statistics en el men de Ethereal pa

obtener informacin valiosa para este fin.

31. Analice los datos capturados y determine si su PC encuentra conectada a un switch o a un hub (concentradoAydese tambin usando Statistics en el men de EthereRazone su conclusin.

32. Como ejemplo de uso de filtros, conctese http://www.cantv.net, active la captura y en la casilla para entra revisar el correo, introduzca un nombre (ej. vmendillo) y ucontrasea cualquiera. Luego ponga el siguiente filtro tcontains vmendillo y pulse Apply. Ver solamente lpaquetes TCP que contienen esa palabra y al lado tambin vela contrasea.

33. A menudo es ms conveniente un filtro de precaptura qun filtro de postcaptura, ya que se evita que se acumulen datirrelevantes en la pantalla y sobre todo en el buffer. Para tal fdesde el men de Ethereal seleccione Capture | Interfaces. Aqescoja la interfaz a utilizar (ej. Ethernet) pulsando Prepare.

34. Oprima la tecla Capture Filterpara as pasar a seleccionarcrear un filtro nuevo.

35. En la ventana que se abre, aparece una listas de filtros ypredeterminados. Si usted pulsa New puede crear su propfiltro, pero por ahora seleccione el filtro cuyo nombre es address 192.168.0.1, tal como se muestra en la figura. Este es filtro para capturar slo los paquetes IP de una determinamquina, por ejemplo de su PC.


6/37

-6-

36. Pulse OK y ahora note que al lado de la tecla Capture filteraparece la regla de ese filtro, es decirhost 192.168.0.1.

37. Edite la direccin IP poniendo en su lugar la direccin IP desu propia mquina (ej. 200.109.164.23), que la puede averiguar(por ejemplo), ejecutandoIPconfig.

38. Experimente con el funcionamiento de este filtro y con otrosfiltros de precaptura. Tome en cuenta que su forma es distinta delos filtros de postcaptura y se basa en la sntaxis del conocidoprograma en Unix llamado tcpdump, cuya versin paraWindows se llama Windump y se encuentra en la carpeta del

mismo nombre del CD-ROM (incluyendo la documentacin).Un filtro de captura tiene la forma de una serie de

expresionesprimitivas unidas mediante las conjunciones and/ory opcionalmente precedidas pornot:

[not] primitive [and|or [not] primitive ...]

Una primitiva es una expresin como la siguiente, que permitefiltrar el trfico de un host por direccin IP o por nombre:

[src|dst] host

Las palabras opcionales src|dst permiten especificar queestamos interesados slo en el trfico de la fuente o del destino.Por ejemplo, el siguiente filtro nos permite ver slo la respuestasa un ping a www.cantv.net

src host www.cantv.net

La siguiente expresin permite filtrar paquetes que vayan ovengan de la red 10.20.30:

net 10.20.30

La siguiente expresin permite filtrar por puertos TCP o UDP:

[tcp|udp] [src|dst] port

Por ejemplo, capturar todo el trfico http, excepto el del ho10.0.0.5

tcp port 80 and not host 10.0.0.5

La siguiente expresin permite filtrar por tamao del paquete:

less|greater

La siguiente expresin permite filtrar por direcciones Ethernet

ether [src|dst] host

La siguiente expresin permite filtrar por tipo de protocolos qencapsula Ethernet o IP:

ip|ether proto

La siguiente expresin permite filtrar paquetes tipo broadcastmulticast:

ether|ip broadcast|multicast

La siguiente expresin permite filtrar el inicio y el final de usesin TCP (bandera SYN o FIN activada):

tcp[13] & 3 != 0

Note que la parte tcp[13] se refiere al byte 13 en la cabeceTCP y con ese valor se hace un AND 3 para as filtrar sprimeros 2 bits (que corresponden a las banderas SYN y FIN).

La siguiente expresin permite filtrar paquetes ping que no se(ICMP tipo 8 para solicitud y ICMP tipo 0 para respuesta):

icmp[0] != 8 and icmp[0] != 0

Un mensaje type = 8 es unEcho Requesty un mensaje type =es unEcho Reply.


7/37

-7-

39. En esta ltima experiencia con Ethereal se va observar lafragmentacin de los datagramas IP. Para ello se utilizar elcomando ping para generar mensajes ICMP echo de peticin(request), con un tamao suficientemente grande y Ethereal paracapturar el trfico generado y poder analizarlo.

Enve un solo mensaje ICMP de tamao 10000 bytes a unadireccin externa (ej. 200.44.32.12). Ciertos ataques denegacin de servicio (DoS) se hacen con mensajes ICMP detamao grande. Analice el trfico capturado y determine cuntas

tramas Ethernet han sido enviadas para completar la transmisinde un solo mensaje ICMP y cuntos bytes de informacin viajanen cada una de las tramas (los datos enviados deben sumar10000 bytes). Averigue el MTU (Maximum Transfer Unit) de lainterfaz de red por la que se han enviado los mensajes ICMP. EnEthernet la MTU es de 1500 bytes. Tiene alguna relacin elMTU con la fragmentacin observada en el punto anterior?

40. Al terminar esta parte de la prctica, se puede eventualmentedesinstalar Ethereal mediante Inicio | Programas | Ethereal |Unistall.

41. WinPcap se desinstala mediante Inicio | Configuracin |

Panel de Control | Agregar o quitarprogramas.

Seccin C: Tethereal (Opcional)

Tethereal es la versin TTY (cnsola) de Ethereal, es decir queno tiene la interfaz grfica, por lo cual es mucho ms eficiente yno carga tanto la PC. Permite mostrar en la pantalla los datosque se capturan o vaciarlos (dump) a un archivo para suposterior anlisis con Ethereal u otro analizador de trfico.

1. Para probar Tethereal, cierre Ethereal y desde una ventana de

comandos y mediante cd o DOShere, cmbiese a la carpetadonde instal Ethereal y ejecute Tethereal D para as ver lalista de las distintas interfaces disponibles. En Tethereal.htmlseexplica el uso de este programa.

2. Si su PC tiene varias interfaces (por ejemplo PPPMAC ySISNIC), ejecute Tethereal -V i seguido por el nombre de lainterfaz donde desea capturar.

3. Genere trfico y vea si aparecen los datos capturados en lapantalla. Para parar la captura, pulse Control C.

4. Para enviar los datos a un archivo en vez que a la pantalla,

agregue al comando anterior la opcin w seguido por elnombre del archivo (ej. Captura1.cap). Note que ahora semuestra slo un nmero, el cual indica la cantidad de tramascapturas.

5. Pare la captura mediante Control C y vea los datosalmacenados en el archivo anterior mediante Ethereal.

Seccin D: Ethereal bajo Linux (Opcional)

Para esta parte se debe disponer de una PC de buenprestaciones que corra Knoppix como mquina real o mquivirtual. En este ltimo caso asegrese de que asignar al men160 MB a la mquina virtual, ya que de otro modo no podoperar con Knoppix en modo grfico.

1. Ejecute Ethereal mediante desde K menu | Internet | Ethere

Se le va a pedir la contrasea de root, por lo que desde uconsola debe ejecutar sudo passwd root para crear econtrasea (ej. abc123).

2. Seleccione Capture | Interface y escoja la interfaz que vautilizar. Para esta prctica, escoja la interfaz Ethernet etpulsandoPrepare.

3. Repita algunas de las experiencias a partir del punto 16 deseccin B anterior.

Seccin E: Otras herramientas1. De tener tiempo e inters, pruebe a utilizar otras herramientque se encuentran en la carpeta Captura del CD-ROM, pejemplo WinDump. Lea antes la documentacin correspodiente.

2. En la carpeta Captura se encuentran varias herramient(PromiScan, AntiSniff y Neped) que sirven para detectar existencia de sniffers activos en la red y la presencia de posiblespas. Pruebe a utilizarlas luego de leer un artculo en lanexos de esta gua.

Seccin F: Informe

Elabore un informe de no menos de 8 pginas donde se reportlas experiencias ms relevantes, se analizan los resultadobtenidos, finalizando con conclusiones y eventuales recomedaciones.

El informe debe ser redactado con palabras propias; no debe repetir el texto del material que se encuentra en esta guen el CD-ROM o en otras fuentes.

Se pueden capturar las pantallas ms importantes interesantes y luego copiarlas a un archivo en Word para aincorporarlas al informe como evidencia del trabajo realizad

Para capturar una ventana activa, puede pulsar simplemenAlt+PrintScreen, y luego mediante Control V pegarla a WorPero es preferible utilizar el programa MWSnap que encuentra en la carpeta Varios del CD-ROM. A fin de que archivo en Word no sea demasiado grande (< 1 MB), pueguardar primero la imagen en formato GIF o JPEG y lueimportarla a Word.

El informe debe llevar la fecha de elaboracin y deentregarse a ms tardar dos semanas despus de su realizacin


8/37

-8-

Descripcin de los protocolos TCP/IP

enRedes de Computadoras

por Andrew S. Tanenbaum

Prentice-Hall, 1996

Varios protocolos de la familia TCP/IP suministran los serviciosde bajo nivel, correspondientes a las tres capas inferiores delstack; estos incluyen TCP, UDP, ICMP e IP. Otros protocolosde la familia TCP/IP estn orientados a las capas superiores, deaplicacin y presentacin, y estn dirigidos a tareas o serviciosespecficos como correo electrnico (SMTP, POP3),transferencia de archivos (FTP), acceso remoto (Telnet) yacceso al Web (HTTP).

A continuacin se hace una breve descripcin de lasprotocolos ms importantes de las capas inferiores, de acuerdoal esquema de la figura 1, que ilustra el stack de protocolos de

un host conectado a una red Ethernet por medio de una tarjetade interfaz (NIC).

Figura 1. Encapsulamiento de protocolos en TCP/IP

Capa de enlace: EthernetPara redes locales (LAN) actualmente la tecnologa ms populara nivel de la capa de enlace es Ethernet. El estndar 802.3

difiere de Ethernet en el sentido de que describe una familiacompleta de sistemas, operando a velocidades que van desde 1 a10000 Mbit/s sobre varios medios fsicos (cobre, fbra,inalmbrico).

La estructura bsica de las tramas utilizadas en Ethernet y en802.3 se muestra en la figura 2. Cada trama comienza un

prembulo de 7 bytes cada uno con el patrn de bits 10101010 afin de permitir que el reloj del receptor se sincronice con el deltransmisor. Despus, viene el delimitadorque contiene el patrn10101011 y que denota el inicio efectivo de la trama.

Una trama contiene dos direcciones, una de ellas es paradestinatario y la otra para la fuente. Se utilizan direcciones debytes, es decir 48 bits. El bit de mayor orden en la direccin ddestinatario, corresponde a un 0, en las direcciones ordinariasun 1 para las direcciones de grupo. Las direcciones de gruautorizan a mltiples estaciones para escuchar en una sodireccin. Cuando se enva una trama a una direccin grupatodas las estaciones del grupo la reciben. La transmisin a grupo de estaciones se denomina difusin restringi(multicast). Las direcciones que tienen todos los bits a 1 estreservadas para difusin general (broadcast). Una trama q

tiene nicamente valores de 1 en su campo destinatario, se enva todas las estaciones de la red.

Figura 2. Estructura de las tramas Ethernet y 802.3

El campo de longitud(length) indica cuntos bytes presentes el campo de datos, desde un mnimo de 0 hasta un mximo 1500. Aunque un campo de datos de 0 bytes es legal, origina problema. Por ejemplo, cuando un transmisor-receptor detecuna colisin, trunca la trama que se est transmitiendo, por cual quiere decir que, en el cable aparecern pedazos de tramy bits parsitos. Para simplificar la distincin entre las tramque son vlidas debern tener por lo menos una longitud de bytes, desde la direccin destinataria hasta el cdigo redundancia. Si la parte de datos correspondiente a una trama menor de 46 bytes, el campo de relleno se utilizar para llenartrama al tamao mnimo requerido. Otra de las razones pa

atener una trama de longitud mnima es con objeto de evitar quna estacin complete la transmisin de una trama corta, antde que el primer bit haya alcanzado el extremo final del cabdonde podra sufrir una colisin con alguna otra trama. Ltramas que contienen menos de 64 bytes se considerfragmentos resultante de alguna colisin y deben ser descartad(se les llama runts, mientras que a las tramas ms largas dlmite legal se le llamajabbers).

Es oportuno hacer notar que usualmente las tramas que utilizan con TCP/IP son Ethernet y no 802.3. La diferencprincipal es que en Ethernet el campo de longitud no se usa pa


9/37

-9-

tal fin, sino para identificar el tipo de protocolo de la capasuperior mediante un nmero (type). Por ejemplo, si lleva IP,entonces el nmero es 0800 en hexadecimal.

El campo final (FCS, frame check sequence) corresponde alcdigo de redundancia ciclico (CRC). Es un cdigo especial de32 bits que permite detectar errores en los datos, por ejemplodebido al ruido en el cable.

Capa de enlace: PPP

El protocolo para conexiones punto a punto (PPP) es unasolucin muy popular para transportar trfico (incluyendoEthernet) entre dos sitios, por ejemplo entre la casa y elprovedor de acceso a Internet (ISP) va modem.

La estructura de la trama PPP es muy parecida a la tramaHDLC y se muestra en figura 3.

Figura 4. Estructura de la trama PPP

La bandera (Flag) indica el inicio y el final de la trama. Loscampos Address y Control + Normalmente no se utilizan. Elcampo Protocol lleva el cdigo del protocolo encapsulado, deacuerdo al RFC 1700. El campo Payload lleva los datos delprotocolo encapsulado y su longitud mxima es de 1500 bytes.El campo Checkum lleva el cdigo para detectar errores (CRC).

Capa de red: IPPasando ahora a la capa encima de la capa de enlace, all nosencontramos con datagramas IP que contienen una cabecera conlos siguientes campos: versin, IHL, tipo de servicio, longitudtotal, identificacin, marcadores, desplazamiento del fragmento,tiempo de vida, protocolo, suma de comprobacin de lacabecera, direccin de origen, direccin de destino, opciones yrelleno.

Figura 5. Header IP

Versin: Este campo proporciona informacin sobre laversin de IP que se ha utilizado para construir el paquete. Elestndar actual es IP versin 4 y en el futuro tendremos IPversin 6.

IHL: Este nmero es la longitud total de la cabecera, unidades de 4 bytes. La longitud mnima de una cabecera es 5, o un total de 20 bytes.

Tipo de servicio: Este campo permite solicitar una detminada calidad en la transmisin. En funcin del tipo de rpor la que estn viajando los datos, este campo puede sutilizado o ignorado. Por ejemplo, configurando adcuadamente este campo, se pueden solicitar una ruta con lodelay (bajo retardo), high throughput (alto caudal) o hig

reliability (alta confiabilidad). Longitud total: La longitud total del paquete que se enva.

Identificacin: Utilizado para ensamblar los paquetes framentados.

Indicadores: Estos indicadores se utilizan para determinarun paquete es un fragmento de un paquete mayor o si puede fragmentar.

Deplazamiento del fragmento (offset): Indica la posicin dfragmento con respecto al paquete original no fragmentado

Tiempo de vida: Este byte representa el tiempo de vida de paquete. Consiste en un nico byte, que almacena determinado nmero en segundos. En cada dispositivo porque pase el paquete, una enrutador o pasarela por ejemp

este valor se ha de decrementar en al menos una unidad.

Protocolo: Este campo indica el protocolo que fue utilizaen la parte de datos del paquete, por ejemplo TCP o UDP.

Suma de comprobacin de la cabecera: Este nmerepresenta una verificacin, que asegura que la informacicontenida en la cabecera sigue inalterada.

Direccin origen/destino: Estos dgitos constituyen direcciones IP de 32 bytes para identificar a las mquinastravs de los distintos segmentos de una red.

Opciones: Las opciones pueden contener diversos datentre otros informacin de enrutamiento. Es posible llevun registro de la ruta que tome un paquete, a medida qviaje a travs de la red, configurando una opcin de escampo.

Relleno: La cabecera IP debe ser divisible en unidades debytes (32 bits). Para asegurar que la cabecera cumple econdicin se aaden ceros al final de la misma.

Capa de red: ICMPAdems del IP, que se usa para la transferencia de datos, TCP/tiene varios protocolos de control que se usan en la capa de reincluidos ICMP, ARP, y RARP. La operacin de Internet supervisada cuidadosamente por los enrutadores. AI ocurrir alinesperado, el ICMP (Internet Control Message Protocinforma del suceso. Se han definido un gran nmero de tipos rnensajes ICMP, por ejemplo ECHO (conocido como ping), qtambin se usa para probar la conectividad. Cada tipo mensaje de ICMP se encapsula en un paquete IP. Los mimportantes se listan a continuacin.

0: Echo reply3: Destination unreachable4: Source quench5: Redirect8: Echo9: Router advertisement10: Router solicitation


10/37

-10-

11: Time exceeded12: Parameter problem13: Timestamp request14: Timestamp reply15: Information request (obsolete)16: Information reply (obsolete)17: Address mask request18: Address mask reply30: Traceroute

31: Datagram conversion error32: Mobile host redirect33: IPv6 WhereAreYou34: IPv6 IAmHere

Los mensajes tipo 8 de solicitud de echo (Echo request) y tipo 0de respuesta al echo (Echo replay) sirven para ver si un destinodado es alcanzable y est vivo (ping). Si el campo Code es 0significa que no hay problemas. Identifier es un nmeroinvariable que identifica a la mquina de origen. Sequencenumber es un nmero variable que lo genera la mquina deorigen para diferenciar los mensajes

Figura 6. Header ICMP tipo ECHO

El mensaje Destino inalcanzable (Destination unreachable)se usa cuando la subred o un enrutador no pueden ubicar eldestino. El campo Code para mensajes tipo 3 (destino inalcan-zable), contiene uno de los siguientes valores:0: Network unreachable1: Host unreachable

2: Protocol unreachable3: Port unreachable4: Fragmentation needed but the Do Not Fragment bit was set5: Source route failed6: Destination network unknown7: Destination host unknown8: Source host isolated (obsolete)9: Destination network administratively prohibited10: Destination host administratively prohibited11: Network unreachable for this type of service12: Host unreachable for this type of service13: Communication administratively prohibited by filtering14: Host precedence violation15: Precedence cutoff in effect

El mensaje de Tiempo excedido (Time exceeded) se envacuando un paquete se descarta debido a que su contador llega acero. Este suceso es un sntoma de que los paquetes estn enciclo, de que hay un congestionamiento enorme, o de que losvalores de temporizacin son demasiado bajos.

El mensaje de Problema de parmetro (Parameter problem)indica que se ha detectado un valor ilegal en un campo decabecera. Este problema indica una falla en el software de IP delhost, o posiblemente en el software de un enrutador transitado.

El mensaje Supresin de origen (Source quench) se usaantes para controlar a los hosts que enviaban demasiadpaquetes. Al recibir un host este mensaje, se esperaba que refrenara. Este mensaje se usa poco en la actualidad porque, ocurrir congestionamientos, estos paquetes tienden a echams lea al fuego. El control de congestionamiento de Internse hace ahora en gran medida en la capa de transporte.

El mensaje de Redireccionamiento (Redirect) se usa cuanun enrutador se da cuenta de que un paquete parece estar m

enrutado y el enrutador lo usa para indicar al host transmisorposible error.

Los mensajes Solicitud de marca de tiempo (Timestamrequest) y Respuesta de marca de tiempo (Timestamp reply) sparecidos, excepto que el tiempo de llegada del mensaje y tiempo de partida de la respuesta se registran en ln respuesEste recurso se emplea para medir el desempeo de la red.

Capa de transporte: TCP y UDPA nivel de esta capa tenemos segmentos TCP (TransmissiControl Protocol) o UDP (User Datagram Protocol). UDP muy importante hoy, ya que se utiliza mucho en voz sobre (VoIP) y en otras aplicaciones. La diferencia fundamental en

UDP y TCP es que UDP no proporciona necesariamentransmisiones de datos confiables. De hecho, el protocolo garantiza que los datos lleguen a su destino. Aunque esto pueparecer un requerimiento extrao para un protocolo, en realides muy til. Cuando la finalidad de un programa es transmitirmxima informacin en el menor tiempo posible, y cada elmento de datos carece relativamente de importancia, se utiliUDP. Por ejemplo, las aplicaciones que transmiten vdeo estinteresadas en enviar el flujo de vdeo a su destino tan rpicomo puedan. No tiene demasiada importancia si uno o dpxeles se pierden, sino que el vdeo se genere lo ms suavefluido posible. Este tipo de comunicaciones tambin se emplen muchos juegos de Internet. Cuando jugamos con otrpersonas por Internet, es poco probable que todos los elementde informacin sobre la posicin sean imprescindibles para qel juego funcione adecuadamente, por lo que los datos se envlo ms rpido posible y lo que no Ilega en su formato original descarta. Muchos programas utilizan conexiones separadas TCy UDP La informacin importante sobre el estado se envatravs de una conexin TCP confiable, mientras que el flujo datos principales se enva por UDP.

El propsito de TCP es proporcionar transmisiones de datque puedan ser consideradas confiables y mantener uconexin virtual entre dispositivos o servicios que esthablando entre s. TCP es responsable de la recuperacin datos en caso de que los segmentos se reciban de forma nsecuencial, o si se produce algn tipo de corrupcin durante

entrega. Esta recuperacin la lleva a cabo proporcionando nmero de secuencia con cada segmento que enva. Recurdeque el nivel de red inferior trata cada paquete como una unidseparada, por lo que es posible que los segmentos se enventravs de rutas diferentes, incluso aunque todos ellos formparte de un mismo mensaje. Este enrutamiento es muy similarla forma con la que el nivel de red gestiona la fragmentacinensamblado de los paquetes, slo que en un nivel superior. Paasegurar que los datos se han recibido correctamente, TCrequiere que se reciba una confirmacin, denominada ACK, la mquina de destino, una vez que haya recibido satisfact


11/37

-11-

riamente los datos. Si no se recibe la confirmacin ACKadecuada en un determinado espacio de tiempo, se retransmitirel segmento. Si la red est congestionada, esta retransmisindar lugar a la duplicacin de los segmentos enviados. Sinembargo, la mquina receptora utilizar el nmero de secuenciapara determinar si son duplicados, en cuyo caso los descartar.

TCP tambin permite que el receptor especifique la cantidadde datos que desea que le enven. A1 especificar los nmeros desecuencia aceptables, posteriores a la ltima secuencia recibida,

el emisor ser informado de que el receptor slo es capaz derecibir un conjunto de datos muy especfico y no seguirenviando datos ciegamente y esperando su confirmacin.

Un segmento TCP contiene la siguiente informacin: puertode origen, puerto de destino, nmero de secuencia, nmero deconfirmacin, longitud de la cabecera, banderasURG/ACK/PSH/RST/SYN/FIN, ventana, suma de comproba-cin, puntero de urgencia, opciones y relleno.

Figura 7. Header TCP

Puerto de origen: Un nmero de 16 bits que especifica elpuerto de origen de los datos. Cuando la mquina receptoraresponde, utiliza este nmero como puerto de destino para la

respuesta. Puerto de destino: El nmero de puerto del dispositivo

receptor al cual van dirigidos los datos.

Nmero de secuencia: Indica el orden de un determinadopaquete. Se utiliza para reordenar secuencias de segmento yeliminar duplicados.

Nmero de confirmacin: Identifica el siguiente nmero desecuencia esperado.Es decir, confirma que ha recibido bienhasta N-1 bytes de datos.

Longitud de la cabecera: Indica el tamao del header unidades de 4 bytes. La longitud mnima de una cabeceTCP es 5, o un total de 20 bytes.

Reservado: Actualmente sin utilizar (Unused).

URG/ACK/PSH/RST/SYN/FIN: Banderas de un bit, que utilizan para especificar determinadas condiciones que estpresentes en la conexin. URG: Los datos contenidos urgente son importantes y no se deben ignorar. ACK: Ldatos contenidos en el campo de confirmacin no se deb

ignorar. PSH: Forzar la transmisin. RST. Reinicializa conexin. SYN: Sincroniza los nmeros de secuencia. FINo hay ms datos del emisor.

Ventana: Determina la cantidad de datos que el emispuede recibir.

Suma de comprobacin: Otra comprobacin ms de exactitud de los datos. Observe que en cada nivel hay uverificacin de errores independiente.

Puntero de urgencia: Identifica los datos que debern sconsiderados como urgentes.

Opciones: Las opciones se pueden utilizar para especificinformacin adicional sobre la conexin TCP (por ejempMSS, maximum segment size).

Relleno: Funciona de la misma manera que en la cabeceIP. Se utiliza para rellenar la cabecera TCP de forma que sun mltiplo de 4 bytes.

TCP es un protocolo de la capa de transporte para comunicdatos confiablemente entre dos mquinas a travs de un circuvirtual. Los segmentos TCP que atraviesan la red pueden llegfuera de orden o daados. Por tal razn se utiliza el nmero secuencia para reordenarlos y el nmero de confirmacin paconfirmar su recepcin correcta. En la figura 8 se muestra cmen una sesin FTP capturada con un analizador de protocolos, incrementa el nmero de secuencia en 1322 bytes, el curepresenta el nmero efectivo de datos enviados en casegmento. El tamao (Size) de 1376 bytes indicado en la ltimcolumna es el tamao total de la trama Ethernet e incluye bytes del header TCP, ms 20 bytes de header IP, ms 14 bytdel header Ethernet, es decir 1322+54. Los 14 bytes del headEthernet corresponden a las direcciones MAC (6+6 bytes) y tide protocolo (2 bytes), pero no incluye los 2 bytes del FC(chequo de errores), los cuales se encarga de procesarlos subcapa LLC y son invisibles para el analizador de protocolos

Figura 8. Ejemplo de incremento del nmero de secuencia en una transferencia de archivos (FTP)


12/37

-12-

Pero antes de poder transferir realmente datos usando TCP, sedebe establecer una conexin entre las 2 mquinas usando elprocedimento llamado apretn de manos de 3 vas (3-wayhandshaking) mediante los flags SYN y ACK y el nmero desecuencia inicial (ISN), tal como se ilustra en la figura 11.

El host 1 que quiere establecer la conexin enva unsegmento con la bandera SYN (sincronizar). Este segmentocontiene el nmero de puerto de destino y un nmero aleatorio

de secuencia inicial x. El host 2 contesta con un segmento con labandera SYN y que contiene su propio nmero aleatorio desecuencia inicial; adems lleva el nmero de confirmacin x+1y la bandera ACK. El host 1 enva otro segmento con la banderaSYN y con nmero de secuencia x+1; adems confirma larecepcin mediante y+1. A este punto se ha establecido unaconexin full-duplex y se puede comenzar a transferir datos.

Figura 9. El 3-way handshaking

En la figura 10 se ilustra un ejemplo simple deestablecimiento de conexin. Las lneas estn numeradas parafacilitar la referencia; las flechas que apuntan hacia la derechaindican la salida de un segmento TCP desde el protocolo TCP Ahasta el B, o la llegada de un segmento a B procedente de A.Las flechas que apuntan hacia la izquierda indican lo contrario.

Los estados TCP representan el estado despus de la salida ollegada del paquete (cuyo contenido se muestra en el centro decada lnea). El contenido se muestra de forma abreviada, connmero de secuencia, campo ACK e indicadores de control

(CTL). En aras de la claridad, se han dejado fuera otros camposreferentes a la ventana, direcciones, longitudes y texto.

En la lnea 2 de la tabla, TCP A comienza enviando unsegmento SYN que indica que va a utilizar nmeros desecuencia a partir del nmero 100. En la lnea 3, TCP B envaun SYN y confirma el SYN recibido de TCP A. Obsrvese queel campo de confirmacin indica que TCP B espera ahorarecibir el nmero de secuencia 101, confirmando as el SYN queocupaba el nmero de secuencia 100. En la lnea 4, TCP Aresponde con un segmento vaco que contiene la confirmacinACK, para el segmento SYN del TCP B y en la lnea 5, TCP Aenva algunos datos. Observe que el nmero de secuencia del

segmento en la linea 5 es el mismo que en la lnea 4, porque lmensajes ACK no ocupan espacio de nmeros de secuencia lo hicieran, terminaramos teniendo que confirmar los mensajde confirmacin).

Figura 10. Ejemplo de 3-way handshaking


13/37

-13-

Introduction to NetBIOS

By Tony Northrup

IDG Books, July 1998

Network Basic Input/Output System was designed for IBM byan organization named Sytek, Inc. It was created to provide aneasy-to-use programming interface for connections betweencomputers over a network. Microsoft began developing productsfor the MS-Net and LAN Manager (the predecessor to WindowsNT) using the NetBIOS interface, anticipating the popularity ofthe standard. Ironically, the standard is only popular todaybecause of Microsofts implementation of it.

NetBIOS is an application programming interface, providinga set of functions that applications use to communicate acrossnetworks. It is similar in function to named pipes and sockets; itallows application programmers to add network capabilities toapplications while minimizing the amount of code that must be

dedicated to actually transporting the data.NetBEUI, the NetBIOS Enhanced User Interface, wascreated as a data-link-layer frame structure for NetBIOS. Asimple mechanism to carry NetBIOS traffic, NetBEUI has beenthe protocol of choice for small MS-DOS- and Windows-basedworkgroups. NetBIOS no longer lives strictly inside of theNetBEUI protocol, however. Microsoft worked to create theinternational standards described in RFC 1001 and RFC 1002,NetBIOS over TCP/IP (NBT).

Understanding the advantages of NBTOne of the greatest advantages of Microsofts implementation ofNetBIOS is that it provides a consistent programming interfaceregardless of the network protocol used. For those familiar withthe OSI model, NetBIOS exists at the Session level. Because itis completely independent of the protocol, applications such asServer Manager and User Manager work on systems that arerunning IPX/SPX, TCP/IP, or NetBEUI. This is in contrast tomost network applications that are developed specifically foruse with a single network protocol, such as the entire Internetsuite of applications (Telnet, FTP, and so on). Sound amazing?The drawbacks are equally astounding.

Internetworking with TCP/IP is the fastest growing area ofmodern computing. This is a good thing; soon, we will be ableto forget about other network protocols. NetBIOSs advantagesno longer outweigh its disadvantages, but we are still required touse it or find other ways to administer our Windows machines.

Microsoft has promised to phase it out of their operatingsystems, but only time will tell. I hope to build yourunderstanding of the protocol so that you may better work withit or work around it, whichever you decide.

Now that you have an understanding of what NetBIOS is,where it came from, and why we are still burdened with it, wewill begin to explore its most visible aspect. NetBIOS namingcauses the majority of problems on networks for a variety ofreasons.

Breaking down NBT by service

The services that NetBIOS over TCP/IP provide fall into thrcategories: the NetBIOS Name service, the NetBIOS Datagraservice, and the NetBIOS Session service. Each service provida distinct set of functions to applications and has a uniqimpact on a network.

Most applications that use TCP/IP make use of a WeKnown Port, a port that is registered internationally for use wa specific application. For example, Web requests use port and FTP requests use ports 20 and 21. NetBIOS over TCP/(NBT) uses a separate port number for each of the thrservices: two UDP ports (137 and 138) and TCP port 139. Tab1 gives a summary of the individual services, the TCP and UDports they use by default, and their typical usage.

TABLE 1 NETBIOS SERVICES OVER TCP/IP

NetBIOS Service Name TCP, UDPPort

Number

Description

NetBIOS Name service UDP 137 Used to resolveNetBIOS on a local

network segment usingbroadcasts

NetBIOS Datagram

service

UDP 138 Used to transfer data

between applicationswhen a broadcast musbe used or when speedis more important than

data integrity

NetBIOS Sessionservice

TCP 139 Used to transfer databetween applicationswhen broadcasts are

not required and whendata integrity is moreimportant than speed

To better troubleshoot problems with browsing, domaauthentication, trusts, and file sharing, it is important understand, in detail, how and why these three services are useIf you work in a routed environment, pay particular attention the port numbers to understand what routers should and shounot filter to support different functionality. Once you understanthe intricacies of each service, you can make use of a protocanalyzer such as Microsofts Network Monitor to narrow dowproblems. Network Monitor is an excellent tool for examiniframes sent using these services because it automaticadecodes many of the cryptic fields within the frames.


14/37

-14-

NetBIOS Name ServiceThe NetBIOS Name service provides for name resolution withina single network segment. It is also called upon by services thatmust listen for a specific NetBIOS name to be used on thenetwork, both to register the name and to release the name. It isused by computers that are part of a domain to locate a domaincontroller on the local network segment for domainauthentication.

NetBIOS connections involve several different steps. Whena connection is requested, the first is to resolve the name of theserver to something more useful, like an IP address. This step,which sounds simple, causes more NetBIOS problems thananything else! Microsoft recognizes this problem and hasprovided several different methods of name resolution, outlinedin greater detail in the sections to follow. For now, understandthat only name resolution through broadcasts uses the NetBIOSName server. WINS queries and responses use the NetBIOSDatagram service. If the name is currently cached, no request ismade.

The NetBIOS Name service always uses the UDP protocol,which exists at the transport layer of the OSI model. The

advantages and disadvantages of UDP carry over to theNetBIOS Name service. To its advantage, it carries littleoverhead by avoiding the three-way handshake of TCP andusing fewer header fields. Its connectionless property is also adisadvantage because it provides no method of notifying thesender if a packet is not carried across the network properly.

The specific transport-layer port number that NetBIOSName service packets use is UDP port 137. Recognizing thisport number is important when troubleshooting using tools suchas protocol analyzers.

The Messenger service is an excellent example because ituses all three NetBIOS services, depending on the situation. TheNET SEND command can be used to direct messages to aspecific computer, a specific user, or an entire domain.

If a message is sent to a computer, the NetBIOS Nameservice is used to find that computer by sending a broadcast onthe local network. If a message is sent to a user, a broadcast issent to the network and is processed by all machines for whichthe Messenger service has registered a NetBIOS name(consisting of the username and a sixteenth character of ).Each machine that has registered that name responds to thequery. At this point, the NetBIOS Session service is called uponto actually deliver the message.

The NetBIOS Name service is not extremely well-adapted totypical, routed TCP/IP networks; it was designed to be used onLANs. However, there are several workarounds to smooth outproblems. Routers, by default, simply ignore UDP broadcasts.

This makes a lot of sense; the whole purpose of a router is toblock that type of traffic. Unfortunately, this means that nameresolution using the NetBIOS Name service only works on asingle network segment, and adding a single router requires theuse of an LMHOSTS file at each host or the WINS service.

To avoid this problem, most router manufacturers provide away to forward these broadcasts between subnets, making therouter act more like a bridge. Enabling this feature is a quickway to ensure that name resolution continues to work properlywhen segmenting a TCP/IP network; without it, users would beable to connect only to servers within their broadcast domain.

NetBIOS Datagram ServiceThe NetBIOS Datagram service is one of two ways applicatiomay communicate with each other, the alternative being tNetBIOS Session service. The NetBIOS Datagram serviprovides connectionless and broadcast-oriented communictions, making use of the UDP transport-layer protocol, pnumber 138.

The most common uses for UDP port 138 are for Brows

service notifications. These messages are used to build tNetwork Neighborhood on your users desktops, and if enablethey can be mildly useful or extremely frustrating, depending whether or not the Browser service is working properly on yonetwork. Though the Browser service is the most frequent usof the NetBIOS Datagram service, it is merely an optionapplication, not a required component of the operatisystem.There are many resources on the details of the Browsservice, and I will not cover it in detail here. Each LAN segmehas one master browser and up to 3 backup browsers. Eadomain has one domain master browser. Browsing produceshigh amount of network traffic:

Every 12 minutes each (local) master browser contacts t

domain master browser to update the browse lists Every 12 minutes each hosts announces itself in the loc

subnet (broadcast)

Every 12 minutes each backup browser contacts its locmaster browser to retrieve an updated browse list

Every 15 minutes each master browser announces itselfthe master browsers of other domains in the local subnet.

Another common use for the NetBIOS Datagram service is tMessenger service. The Messenger service is an interestiexample because it uses either the NetBIOS Datagram service the NetBIOS Session service, depending on the type communications required. Messages sent to groups

computers, for example, using the NET SEND * commanmake use of UDPs ability to broadcast packets to the locnetwork. The NetBIOS Datagram service uses the UDtransport protocol and so suffers from the same problems as thNetBIOS Name service when a routed network is used. To mathe Browser service, the Messenger service, and any othapplications that use the NetBIOS Datagram service work inrouted network, you must forward broadcasts across routers described in the previous section.

NetBIOS Session ServiceThe bulk of all NetBIOS traffic generated on a network occuusing the NetBIOS Session service, which utilizes TCP p

139. The Datagram service, using the connectionless UDprotocol, and the Session service, using the connection-orientTCP protocol, provide two methods for applications communicate. The Datagram service, because it uses UDP,faster and more efficient but does not provide guarantedelivery of packets. The phrase guaranteed delivery does nimply that every packet makes it through every time; it simpmeans that the computer sending the packets is always notifiwhether or not they were received.

In modern networks, UDP is an extremely reliable protocbut it still lacks the capability of notifying the sendiapplication that a packet was not received properly. By utilizin


15/37

-15-

TCP, the NetBIOS Session service allows for small and largetransfers where authentication is required, a session must bemaintained over a period of time, or delivery of packets must beguaranteed.

File and printer services make up the bulk of trafficgenerated by the NetBIOS Session service. Another commonuse is the networked application: Server Manager, UserManager, Event Viewer, Registry Editor, and PerformanceMonitor all make use of the NetBIOS Session service to interact

with remote machines. Therefore, if a router or firewallconnecting two machines is blocking TCP port 139, all of theseapplications fail when used remotely.

The Messenger service makes use of the NetBIOS Sessionservice and Server Message Blocks (SMB) for messages whichare directed to a specific computer name. In this way, theMessenger service uses the connectionless NetBIOS Datagramservice for broadcasts to groups of computers and theconnection-oriented NetBIOS Session service for directedmessages to a specific computer. If you are not yet familiar withSMB, it is covered in more detail later.

The NetBIOS Session service is far more complex than itsUDP counterpart, the NetBIOS Datagram service. Because it is

connection-oriented, the NetBIOS Session service includesfunctions to establish connections, authenticate computers andusers, and break connections. The NetBIOS Session servicemust perform NetBIOS name resolution to locate the IP addressof a computer when given the NetBIOS name, and problemswhile connecting applications may be caused by a problem witheither service.

Once the name resolution has been accomplished, a one-wayNetBIOS connection is created by the client and maintaineduntil either party terminates it. If the server needs to open aconnection to the client, an entirely separate connection must becreated. The name and IP address of the server are storedtogether in the NetBIOS name cache on the client. If you arecurious, the names in the cache can be viewed using thecommand NBTSTAT -c.

NetBIOS ConnectionsAfter a single NetBIOS session is established between two hostson a network, all data transferred thereafter between NetBIOSnetwork applications on those two machines is channeledthrough the existing session. Because this same session isreused, the overhead of renegotiating a connection is avoided.This has an interesting side effect. When you need to connect toa remote computer that is not in the same domain as your useraccount, or if you need to access it with a different user account,tools such as the Event Viewer and Server Manager simply givean error and refuse the connection.

These tools do not provide a method to authenticate yourconnection with a different user account than the one currentlyin use. However, the Windows Explorer and NET USEcommands do allow you to provide a different username andpassword. Therefore, if you need to connect to a machine usingany of the standard administrative tools with a different accountthan the one you are currently using, start by establishing anetwork connection to the remote machine using the commandNET USE \\SERVER /USER:USERNAME. The NETcommand prompts you for a password and creates a NetBIOSsession. Until that session is broken, the administrative tools and

all other NetBIOS networked applications run in the context the username and password you specified with the NET UScommand.Similarly, if you have an existing connection (such asconnection to a shared directory) and need to perform a task oa remote machine using a different user account, all existinconnections must be broken. To view the current NetBIOsessions, execute the command NBTSTAT -s.

A Final Word on NetBIOS ServicesAs you learned in the previous sections, the presence NetBIOhas on a network is divided into three individual services. TNetBIOS Name service allows name resolution without usingWINS server but is a common source of problems and delayThe NetBIOS Datagram service is used by applications such the Messenger service, the Browser service, and othapplications that use the mailslots interface. The NetBIOSession service is the most significant NetBIOS presence most networks, allowing file transfers, network printing, aremote applications such as Server Manager and User Managto function.

SMB (Server Message Blocks)There are previous section different methods Windows systemuse to resolve NetBIOS names on a network. Resolving tname is only the first part of NetBIOS communicationhowever. Once the name is resolved, useful work may accomplished. One of the most popular mechanisms for thwork is SMB, or Server Message Blocks, described in thsection.

Microsoft, Intel, and IBM worked as a team to develop tServer Message Blocks (SMB) protocol as a standardized wof exchanging information using NetBIOS. It has besubmitted as an open Internet standard, allowing othorganizations to create SMB-compliant applications in tfuture.

SMB provides much of the workgroup functionality thatavailable in Microsoft operating systems such as MS-DOWindows 3.1, Windows for Workgroups, Windows 95, LAManager, and Windows NT. It is well suited to workgrocommunications, but it is not the most efficient way exchanging files on a TCP/IP network. However, it has becomwidely used because it is included with all of Microsofdesktop and network operating systems, it is easy to configuand it is free.

Microsoft is not the only organization using SMB, thouthey are the driving force behind its use. Products such SAMBA allow UNIX-based systems to connect to shared drivfrom Windowsbased systems, enabling heterogeneo

networks to use a single method of file exchange. Currenthere is no method for Macintosh systems to connect to SMshares. Though Windows has the ability to exchange files wiApple systems through the Apple Filing Protocol (AFP),requires introducing yet another protocol to a network.

The Server Message Blocks protocol has been written comply with C2 security specifications. It incorporates usauthentication and exchanges passwords only in a hashed formto thwart someone with a protocol analyzer from compromisithe passwords. The process of exchanging passwords starts wthe client, which attempts to initiate a SMB connection to


16/37

-16-

server. The server determines that the client must supply ausername and password, and it sends an authenticationchallenge including a randomized token. The client uses thistoken to encrypt a hashed version of the password and returnsthe result to the server. The server performs the same steps onthe password it has stored for the user and matches the results tothe answer the client provided. If the answer matches the resultof the hash the server computed, the client has started with thecorrect password and is authenticated.

This security makes it very difficult for someone to listen toa conversation between two different machines and decrypt thepassword. The client is still vulnerable to attack from the server,however. One method that has been proven to compromiseclient passwords involves creating a server that challenges theclient with the same token every time. In this scenario, the clientencrypts the password using the token and returns it to theserver. Because the token is not randomized, the server mayhave constructed a dictionary of hashed passwords to be used tolook up the original password based on the clients hashedpassword. This is a difficult trap to build, but it has been donebefore. The moral of the story is twofold: Carefully considerwhich servers you attempt to authenticate with, and consider the

security of the client as carefully as security of the server.Microsofts Common Internet File System (CIFS), their

solution for file sharing across the Internet, is being based on theSMB protocol. SMB relies on the NetBIOS Session service forall communications. Commands can be broken into four broadcategories, discussed in the next sections.

Session ControlA subset of the entire SMB message suite, the Session Controlmessage group, is composed of messages used to establish andbreak redirector connections (file sharing). These are calledwhen the Windows NT commands NET USE and NET USE/DELETE are issued, or when the Map Network Drive andDisconnect Network Drive commands are called from WindowsExplorer.

FileThe File message group is a group of commands used to accessshared files and directories once a session between a client and aserver has already been established. These messages would besent when copying files from a network drive.

PrinterSimilar in function to the File message group, the Print messagegroup is used to send documents to a network print server andprovides printer management functions. These messages areused when printing to a network printer or performing

management functions from within Printer Manager.

MessageThe Message SMB type is used to exchange messages betweensystems. A command such as NET SEND COMPUTERNAMEtest_message uses a Message-type SMB packet to transmit adirected message to a specific computer.

SMB is an important topic to understand because it is theunderlying mechanism for much of Windows NTs networkfunctionality. While NetBIOS and SMB have proven

themselves over time in production networks, they are nwithout their flaws. The next section will explore these flaws more detail, with the goal of making you aware before thcause serious problems.

Uncovering NetBIOSs weaknessesNetBIOS is not the ideal way for applications on a TCP/internetwork to communicate. The most obvious drawbackthe additional overhead. When used with TCP/IP, NetBIO

adds yet more headers after the frame header: the IP header athe TCP/UDP header. Another disadvantage is that differeapplications using NetBIOS all look the same to a router firewall, limiting an administrators ability to filter out speciapplications. The result is that most simply block NetBIOentirelylosing the functionality of applications that may useful.

When designing these applications, did Microsoft simply ntake these factors into account? Certainly they did, but NetBIOwas designed in an era before the dominance of TCP/IP in locarea networks. In retrospect, Microsoft made a very wise choichad they built the applications around a single Net protocol, thno doubt would not have chosen TCP/IP. In fact, they were

convinced NetBEUI would be the next major protocol that thbegan development of a routable version called JetBEUI (joke!).

Network Level SecurityUndoubtedly the most publicized flaws of NetBIOS are security weaknesses. Being aware of the specifics of theweaknesses will make you more able to combat them, and thsection will provide you with the information you need to limyour security risks. Securing any network, especially thoattached to the public Internet, needs to include security at bothe network level and the systems level. Securing at the netwolevel means using firewalls and filtering routers, and it important specifically because it is independent of the systemoperating on the network. For example, if a router has beconfigured to block all incoming traffic from the Internet tospecific NT server, that system is safe from direct attacks frothe Internet, regardless of how the computer itself has beconfigured.

To avoid the cost of adding a true firewall, most networmake use of packet filtering on routers. Packet filtering allowtraffic to be selectively blocked according to the source address and the UDP/TCP port number. Port-level filteriallows a network manager to permit certain types of trafthrough a router, depending on the application. Because Telnuses TCP port 23 and HTTP uses TCP port 80, a netwomanager has the ability, for example, to allow Web reque

from the Internet to be forwarded only to the corporate Wserver, and to disallow all Telnet access.

System-Level Security as Part of Network SecuritySystem-level security is also critical. Every effort must be mato secure individual hosts on a network through methods such strict share permissions, limiting the services offered to tnetwork, and requiring long, complex passwords for all userWhile system-level security is an important component overall network security, it cannot be relied upon. Flaws operating systems are common, and many such flaws allo


17/37

-17-

malicious users to bypass system security. Additionally, allusers with legitimate accounts on the server must be entrusted toprotect their passwords. To compensate for these weaknesses,system-level security should be used in concert with network-level security.

A substantial disadvantage is that all NetBIOS traffic,regardless of the application, relies on the same three TCP ports:UDP 137, UDP 138, and TCP 139. This completely invalidatestraditional port-level filtering, a common method of security in

TCP/IP networks. This level of granularity is not available withNetBIOS applications. In many cases, an organization with anInternet connection may wish to publish files on the Internet andallow people to connect to that drive as a NetBIOS share. This isvery possible, but the organization is forced to allow allNetBIOS traffic through and thereby invite attacks.To further clarify, for an organization to allow file sharing onthe Internet, all public routers must be configured to forwardtraffic for TCP port 139. Print sharing also uses TCP port 139and so is automatically accessible. Therefore, if the file serveralso acts as a printer server, anyone on the Internet may attemptto print to that server. They are forced to authenticate dependingon how the share permissions on the printer are configured, but

the responsibility for the security of the network has beenshifted from the network administrator to the systemsadministrator. Ideally, security would be provided at both levels.

Security at the network level for NetBIOS is all or nothing.The network manager must decide which computers will andwill not act as servers for NetBIOS applications, but he or shehas no control over which of the many NetBIOS applicationswill be available. This weakness makes a strong argument forusing Windows sockets for network application programming.Because Windows sockets applications may be filtered out atthe network level by specifying a TCP port filter, specificWindows sockets applications may be allowed or disallowed.

Despite these weaknesses, Microsoft continues to leverageNetBIOS for the majority of its administrative utilities.Unfortunately, this trend will continue in Windows NT 5.0. Forthis reason, understanding the weaknesses and potentialproblems with NetBIOS is important; until Microsoft changesmajor parts of the Windows operating system, we must continueto accommodate the protocol. However, very few third-partyapplications make use of NetBIOS. Perhaps third-partydevelopers realize these weaknesses, or perhaps the applicationprogramming interface that NetBIOS provides is simply toocomplicated.


18/37

-18-

Administracin fsica de redes

ITD Latinoamrica, Julio 2000

Las redes de hoy son vitales para los negocios. Por una parte,

sostienen la plataforma computacional sobre la cual se apoyanlos procesos de las empresas. Pero adems - y ste es unfenmeno reciente - las redes de comercio electrnico son ellasmismas una fuente de ingresos. Como si esto fuera poco, hoypodemos ver que las redes de voz y datos se han integrado enuna sola red de manera que todas las comunicaciones internas yexternas de una empresa (voz, correo electrnico, fax, video) setransmiten por el mismo medio, una sola red convergente.

Estos factores hacen que las redes sean crticas para lasempresas. Sin embargo, con la notable excepcin de los bancos,en muchos sectores la manera como se administran y se man-tienen las redes es absolutamente irracional. Nadie sabe dentrode una empresa por qu o cundo se producen problemas en lared. Las acciones son claramente reactivas en vez de proactivasy muchas veces se convive con situaciones de bajo desempeoque afectan los negocios.

Existen, sin embargo, herramientas de monitoreo, diagns-tico, anlisis y resolucin de problemas que permiten controlarlos niveles de servicio de las redes de misin crtica. El mapa deproveedores de este tipo de herramientas es extremadamentecomplejo ya que abarca desde plataformas de software para laadministracin lgica de un sistema completo, sistemas para laadministracin fsica de la red, herramientas para la gestin dedispositivos, hasta instrumentos puntuales de medicin paradeterminar el estado de un segmento o de un puerto de red enparticular.

En otras palabras, el espectro puede incluir productos como

Spectrum de Cabletron, Optivity de Nortel, ManageWise deNovell, Unicenter TNG de Computer Associates, Tivoli deIBM. Sin embargo, en este artculo nos vamos a concentrar enherramientas ms especficas de administracin fsica queinvolucra el anlisis de paquetes como Sniffer de NetworkAssociates, NetMetrix de Agilent y nGenius de NetScout.Finalmente mencionamos tambin los dispositivos porttiles deFluke.

Agilent TechnologiesAgilent es una escisin (spin off) de Hewlett Packard quecomenz sus operaciones independientes en noviembre de 1999con cuatro divisiones de negocios: pruebas y mediciciones,

emiconductores, soluciones para el rea de salud y anlisisqumico. La idea general de Agilent es la de aplicar tecnologasde medicin para desarrollar productos de detecten, analicen,muestren y comuniquen datos.

Algunos de los productos de Agilent todava son manejados-especialmente en Amrica Latina- por la divisin empresarialde Hewlett Packard (que maneja los grandes servidores Unix).Esto se debe a la gran sinergia de la lnea de programas y probesNet Metrix y Firehunter (de Agilent) con la plataforma deadministracin HPOpen View (parte fundamental de la estrate-gia de la divisin empresarial en cuanto a la alta disponibilidad

necesaria en el tipo de plataforma que soportan los servidor

HP).El software NetMetrix sirve para administrar el trfico de ured y puede trabajar o no con probes de NetMetrix u otrmarcas siempre que cumplan con los estndares RMONRMON2. Firehunter, por otra parte, es un paquete para manejlos niveles de servicio en comunicaciones. "Firehunter sigsiendo una solucin de nivel de redes, no se mete con laplicaciones", afirma Jess Alberto Ramrez, gerente software de HP en Colombia. "Sin embargo, para ofrecniveles de servicio es necesario meterse con las aplicacionesesa es una funcionalidad que el Firehunter ofrece en integracin con el Network Node Manager de HP OpenView"

Con estos paquetes se pueden reconocer los cuellos botella que afectan su desempeo, crear y mantener contratos nivel de servicio, reducir los costos de administracin extender el poder del software de administracin HP OpenVieNetwork Node Manager, uno de los 42 mdulos que componla plataforma HP OpenView.

Para generar esta visibilidad de la red, es preciso contar cdispositivos de recoleccin de datos especficos para cada tide soporte fsico de la red. Los probes de Agilent vienen paEthernet, Fast Ethernet, Token Ring, FDDl, ATM, HSSI, TT3/DS3, E1, E3, OC3c y OC12c.

La escisin de Agilent ha sido una accin ms que toadministrativa, ya que los productos NetMetrix y Firehunsiguen integrados a la plataforma OpenView, adems de que svendidos y mercadeados por la fuerza de venta de Hewl

Packard en la regin.

SnifferSniffer era el producto estrella de Network General, compaque se fusion con McAfee Associates hace un par de aos pacrear Network Associates International (NAI). Como analizadde paquetes para LANs, Sniffer se hizo popular en los aochenta y domin el mercado de las herramientas para resolvproblemas de redes en la poca de Token Ring y las primeras rdes Ethernet.

Posteriormente, el producto evolucion hacia redes de avelocidad basadas en switches cuando introdujo capacidades monitoreo remoto (RMON). Hoy, Sniffer incluye avanzad

carnctersticas de reportes para administracin proactiva redes y el futuro del producto est en la administracin aplicaciones y redes de comercio electrnico.

El Sniffer de hoy es una suite completa de productos qpermiten monitorear, reportar y administrar de manera proactila disponibilidad y el desempeo de la red.

Constantemente se agregan nuevas funcionalidades a herramientas de Sniffer, como el anlisis VLAN de redes swcheadas, el anlisis de ambientes de negocios electrnicos (icluidas las WANs) y la planeacin de capacidad con SnifPredictor. Recientemente se aadi la funcionalidad


19/37

-19-

monitorear aplicaciones para administrar el desempeo de cadauna de las aplicaciones en una red.

Sniffer tiene productos porttiles diseados para correr ennotebooks o lasptops, as como suites de productos distribuidosque cubren las redes a escala empresarial, monitoreandodiferentes segmentos, decodificando protocolos y realizandoanlisis experto en toda la red.

Segn Robert Kusters, gerente de mercadeo de Sniffer enNAI, el crecimiento de la industria de IT as como la

popularizacin de tecnologas cada vez ms complicadas, nohan sido acompaadas por un crecimiento en el personalcapacitado para apoyar estas instalaciones. Por tal motivo, loscostos de soporte tcnico se han elevado de una maneradramtica. "Herramientas como Sniffer permiten encontrardirecciones duplicadas en una red en menos de cinco segundos,tarea que demandara ms de tres horas si se realizara de maneramanual". Lo mismo sucede para problemas de bajo desempeoen la red por gran nmero de retransmisiones. "La fuente deretransmisiones puede ser identificada en 10 segundos contra 40minutos que demandara sin el Sniffer".

Sin embargo, una de las principales ventajas que NAI leatribuye a Sniffer es el sistema experto para el anlisis de la

informacin recogida, su interpretacin y la resolucin de losproblemas. "La competencia no resuelve problemas -afirmaKusters-. Sistemas como OpenView, Optivity o Cisco Workssolamente ven los problemas y los reportan".

Con respecto a las redes switcheadas, los ejecutivos de NAIsostienen que a diferencia de otras herramientas, los switches noson invisibles para Sniffer ya que permite monitorear redesfsicas o redes virtuales. Sniffer Pro 4.0, por ejemplo, tiene APIsespecfico para diferentes marcas de switches, los cuales puedenser controlados en sus capacidades de puertos espejos y SPAN.

Por qu NAI sostiene que Sniffer es una herramienta quepermite habilitar el comercio electrnico? Por una parte, Snifferdetecta problemas relacionados con HTTP/HTTPS y analizadificultades entre la transmisin de la WAN y el servidor web.Por otra parte, tambin permite aislar problemas del front end,del servidor de transacciones o de la base de datos de backend.

Las redes convergentes son manejadas por Sniffer gracias alas mltiples tecnologas y protocolos soportados (IP, HTTPH323, SIP PoS, ATM) y a su nica interfaz para manejar voz ydatos sobre todas las topologas.

Finalmente, Kusters destaca la nueva versin de Sniffer PoS(Packet over Sonet) para redes pticas y los nuevos modelos deSniffer que pronto estarn disponibles en el mercado:SnifferBook Ultra, Portable Sniffer v. 4.0, DSS/RMON yApplication Informant v. 4.0, suites para voz sobre IP y anlisismejorado de desempeo de aplicaciones y groupware.

El simple analizador de protocolos de los aos ochenta hoy

se ha convertido en toda una suite de productos deadministracin de desempeo que trasciende las caractersiticasde un analizador de red para convertirse en un sistemaempresarial capaz, incluso, de ver las diferentes aplic:aciones.

NetScoutUtro fabricante con software de monitoreo y agentes pararecoleccin de datos es NetScout, el cual ofrece varias familiasde soluciones para administracin de sistemas.

La familia de administracin y facturacin de niveles deservicio (Application Service Level Management and Billing)

incluye la aplicaciones Appscout, para verificar el desempede una aplicacin comparndolo con un contrato de nivel servicio, y Net Countant, para facturacin de utilizacin recursos de red.

Capacity Management es una solucin para minimizcostos al tiempo que se asegura el desempeo de una aplicaciSe compone de WebCast, para establecer patrones de uso aplicaciones y de la red y NetScout Server, el cual agrega informacin recogida.

Optimizacin y aislamiento de fallas (Optimization aFalut Isolation) se compone de AppScout, NetScout ManagPlus, para aislar los problemas de la red, WWG Mentor, qautomatiza el aislamiento de problemas a travs de tecnologexperta y WWG Examine que decodifica paquetes para anlisde profundidad.

Una nueva familia llamada eBusiness PerformanManagement (administracin de desempeo de negocelectrnicos), agrupa los productos nGenius (nGenius ServnGenius Performance Monitor, nGenius Traffic Monitor nGenius Probe) en una solucin que asegura la disponibilidad redes de e-business.

El sistema nGenius fue presentado al mercado durante

reciente NetWorld+Interop en Las Vegas el pasado mes mayo, como la primera solucin dirigida a administrar desempeo de sistemas totales con visibilidad y control soblas redes de frontend y las de backend.

NetScout ha logrado entrar en mercados importantes graca significativas alianzas con empresas de redes como Ciscocompaas OEM que han agregado mucha experticia a las solciones como WWG (Wavetek Wandel & Goltermann).

FlukeEn el rea ms especfica de certificacin de cableado, Fluke sido la empresa ms enfocada que tradicionalmente ha liderael mercado. Fluke fabrica una gran variedad de probadores cable tanto elctricos como de datos, probadores de tonmultmetros digitales, testers elctricos, grabadores de eventde voltaje y analizadores de calidad de fluido elctrico. Todestos son dispositivos porttiles usados ampliamente por instadores y tcnicos.

En el campo de redes de datos, Fluke tiene analizadores cable para categoras 3, 5, 5e o 6 (aunque para esta ltimtodava no exista el estndar aprobado). El DSP-4000 es aparato muy porttil y fcil de usar que viene protegiespecialmente para trato duro. Su pantalla muestra grficas indicadores de NEXT, ELFEXT, PSNEXT, atenuacin, ACdemora en propagacin y prdida de retorno, hasta 350 MHCon un adaptador especial, el DSP-4000 puede certifictambin instalaciones de fibra ptica.

El OneTouch Network Assistant es un dispositivo qdescubre los elementos de un determinado segmento de la reddetecta errores en ellos. Realiza tests de conectividad IPincluye el Network Advice. para interpretar las estadsiticas Ethernet.

Finalmente, el software CableManager permite organizordenar y analizar la informacin recogida por dispositivporttiles como el DSP4000. Una versin de CableManager puede bajar gratis del sitio de Fluke en Internet.


20/37

-20-

Deteccin de espas en redes Ethernet

por Jordi Murg

Linux Actual, #3, octubre 2000

IntroduccinUna red del tipo Ethernet, es una red de transmisin de paquetesbasada en bus comn. Al bus comn conectamos todos losequipos informticos de la red. El bus puede ser un simple cablecoaxial (10Base2), o puede estar forrmado por elementospasivos como hubs, que nos facilitan el cableado estructurado dela red por pares trenzados (10BaseT).

Bajo esta arquitectura de red, cuando un equipo deseatransmitir un paquete, comprueba que el bus esta libre y loenva. Si dos equipos envan simultneamente un paquete a lared, se produce una colisin. La colisin es detectada por ambosy esperaran un tiempo aleatorio antes de intentar enviar de

nuevo la informacin al bus.Todos los equipos compatibles Ethernet poseen unadireccin MAC nica en el mundo, de 48 bits de longitud. Cadafabricante de equipos Ethernet tiene asignado un segmento dedirecciones, y es responsabilidad de ste asignar una direccindistinta a cada equipo. Las direcciones MAC estn almacenadasen una pequea memoria que poseen las tarjetas de red. Lasdirecciones MAC se representan en hexadecimal con elsiguiente formato: XX:XX:XX:XX:XX:XX.

La informacin es enviada al bus agrupada en forma detramas o paquetes. Estos paquetes contienen la direccin MACde destino, la de origen, el tipo de datos, los datos a transmitir yun checksum de comprobacin. En condiciones normales, unatarjeta Ethernet slo es capaz de oir los paquetes destinados a sudireccin MAC o los destinados a todo el mundo(BROADCAST). La direccin MAC de BROADCAST esFF:FF:FF:FF:FF:FF.

El protocolo IP (Internet Protocol), es un protocolo de redcon direcciones de 32 bits, bajo el conocido formatoaaa.bbb.ccc.ddd, formando 4 grupos de 8 bits. La direccin dered IP puede ser dividida en dos partes, la direccin de red y ladireccin de equipo. Si estamos en una red conectada a Internet,nuestra direccin de red ser nica en Internet, y nuestradireccin de equipo ser nica en nuestra red, formando as unadireccin IP nica a nivel global.

Vamos a centrarnos en la conectividad entre maquinas denuestra propia red IP, funcionando sobre un medio fsico

Ethernet.Para enviar un paquete IP desde nuestra estacin 192.168.1.1

hacia la estacin 192.168.1.2, es necesario conocer la direccinMAC de la estacin de destino. Podramos solucionarlo con unarchivo de configuracin, asignando a cada direccin IP denuestra red la correspondiente direccin MAC asociada a cadaIP, pero sera poco practico. Para solucionar este problema sedesarroll el protocolo ARP (Address Resolution Protocol).Cuando un equipo desea conocer la direccin MACcorrespondiente a una IP, emite un paquete BROADCASTpreguntando " Quien es el propietario de 192.168.1.2 ?". Todos

los equipos de la red escuchan la peticin, pero slo responde destinatario: "Aqu est 192.168.1.2 desde la direccin MAxx:xx:xx:xx:xx". Esta respuesta se almacena en el cache ARdel peticionario para usos posteriores, y luego procede a envel paquete al destinatario.

Herramientas para espiarDesde hace unos aos, es habitual que en todos los sistemoperativos Unix se incluya una herramienta de captura visualizacin de trfico. GNU/Linux incluye "tcpdump" todas sus distribuciones. El programa tcpdump slo puede sejecutado porroot(el administrador), y se trata bsicamente,

una herramienta de diagnstico para redes TCP/IP. Puede usarpara analizar nuestro propio trfico, o el de toda nuestra rEthernet. Para poder escuchar todo el trfico que circula por ured, es necesario colocar la tarjeta Ethernet en mo"promiscuo", que significa que recoger todos los paquetes dered, aunque el destinatario no sea su propia direccin MAC.

El programa tcpdump no es excesivamente peligroso en ses una gran herramienta para los administradores de redes. Pecirculan por Internet unas cuantas herramientas meninocentes, que estn orientadas especficamente a la captura claves.

Estos programas analizan el contenido de los paquetes nuestra red, en concreto los primeros paquetes de las sesiones protocolos que comnmente contienen claves de acceso, comTelnet, FTP, POP, IMAP y Rlogin. Los nombres de usuarioclaves obtenidas son depositadas en un archivo de texto, paposterior lectura por parte del espa.

Medidas preventivasComo administradores de redes, una de nuestras obligaciones la seguridad, o al menos eso quieren nuestros jefes. Si este nuestro caso, lo mejor es permanecer cerca del mundiunderground, para mantenernos en forma.

No debemos tener activos servicios innecesarios en nuestrsistemas ya que cualquier da nos podemos llevar un disguspor una brecha de seguridad en un servicio que jams hemutilizado, pero que tenamos activo.

Intentaremos que todos nuestros equipos dispongan de ltimas actualizaciones en seguridad. Si esto no es posible pmotivos de presupuesto, ser mejor que obtengamos por escrila negativa por parte del responsable de dotacin presupuestarNo suelen negarse cuando les solicitas una respuesta escritales explicas las posibles consecuencias de no actualizar.

Otra de nuestras funciones ser analizar cuidadosamentediseo de red, ver las partes sensibles de sta, y realizar informe por escrito, ofreciendo una solucin preventiva, basaen LAN switching y firewalls departamentales con encriptacide trfico, para as minimizar el impacto de un posible ataq


21/37

-21-

espa. Quizs nuestra opinin no sea tomada en consideracin,pero podremos rescatar nuestro informe en el futuro, cuandosuframos un ataque.

Debemos ser duros con nuestros usuarios, y obligarles, deforma automtica preferiblemente, al cambio peridico declaves de acceso, y a que dichas claves no sean fciles deadivinar. Seria lamentable que el usuario "presidente" usase laclave "presidente". Podemos estar seguros que a los primerosque sealarn cuando pase algo, ser a nosotros, por no proteger

las cuentas de los usuarios.Nunca debemos acceder a nuestros sistemas usando sesiones

no encriptadas, al menos si vamos a operar comoadministradores. Un buen sustituto de Telnet, rlogin y rsh es ssh.Existen clientes para Windows, y las versiones Unix son libres ygratuitas.

Realizaremos o obligaremos a la realizacin de copias deseguridad, diariamente o semanales. El periodo solo depende delriesgo.

Evitaremos en lo posible las relaciones de confianza entremquinas, especialmente si no las administramos todas nosotros.

Evitaremos conectar directamente nuestros recursos aInternet o a redes de terceros. S fuera necesario hacerlo, lo

primero ser instalar un servicio de firewall separando nuestrasredes interna y externa. Definiremos una poltica de restriccintotal, y abriremos paulatinamente a medida que se nos solicitepor escrito, y est cor

99035871-Captura-trafico

Documents

Transcript of 99035871-Captura-trafico