REDES

SSL

2009-02-17T13:21:00.001-08:00

SSL2_WINDOWS

SSH Secure SHell

2009-02-09T04:12:00.000-08:00

Es un protocolo que facilita las comunicaciones seguras entre dos sistemas utilizando la arquitectura de cliente/servidor y permite la conexion remota. SSH encripta la sesion de conexiones, haciendo impoible que alguien pueda obtener contraseñas no encriptadas. Es el remplazo de motedos mas viejos e inseguros para las conexiones remotas por medio de la shell de comandos como lo es el telnet. Se utiliza SSH para inicios de sesion remota y para copiar archivos, con la diferencia que de los demas que estepermite disminuir la amenazas a la seguridad, eso porque el cliente SSH y el servidor usan firmas digitales para verificar su identidad y la comunicacion es encriptada; por ende los intrusos perderan su tiempo al intetar falsificar o analizar informacion porque cada paquete esta cifrado por medio de una llave conocida solo por el sistema local y remoto.

CONFIGURACION DE SSH EN WINDOWS SERVER 2003

Lo primero que hacemos es instalar el OpenSSH. Lo puedes descargar del siguiente link http://openssh.softonic.com/.

Para iniciar la configuracion nos dirigimos al simbolo del sistema (cmd) e inmgresamos a a siguiente ruta "\Archivos de programas\OpenSSH\bin"y creamos el archivo "passwd" donde agregaremos a los usuarios que se le autoriza la comunicacion por el SSH, los usuarios que se ingresen en este archivo tienen que esxistir en el sistema. Para los usuarios locales se agregan con -l y para usuarios que pertenezcan a un dominion se agregan con -d.

NOTA: con "mkpasswd" creamos el archivo, el "Administrador" hace referencia al usuario que tengo en el sistema; las ">>" es la redireccion al archivo, y "\etc\passwd" es la ruta donde se guarda el archivo.

De la misma manera creamos el archivo group que es para los permisos.

Ahora configuramos la variable de entorno parth: INICIO --> clic seccundario en MIPC --> PROPIEDADES y nos se abre la ventana de "propiedads del sistema" y nos dirigimos a la pestaña "opciones avanzadas" y luego en la opcion "variable de entorno"

Se inicia uan nueva ventana "variables de entorno" donde en el campo "variables del sistema" buscamo y selecionamos el "path" y damos clic en la opcion "modificar"

En el campo del valor de la variable colocamos al final la ruta del "bin" de OpenSSh y damos aceptar.

Regresamos a la ventana de variables de entorno automaticamente y ahaora damos en la opcion "nuevo" y creamos la variable HOME en el campo "nombre de la variable" y en el campo "valor de la variable" se ingresa la ruta de Openssh.

Con esto terminamos la configuracion del OpenSSH en nuestro sistema,ahora iniciaremos a configurar de todo lo requerido para la autenticacion de llaves.Iniciaremos con la creacion de nuetro para de llaves privada/publica, la cual de genera con "ssh-keygen" el cual se crea por defecto en la siguiente ruta "Documents and settings\Administrador\.ssh" y como el directorio ".ssh" no existe al crear las claves este proceso lo crea automaticamente.

Nos dirigimos a al directorio donde creamos las llaves en nuestro caso es el directorio "Documents and settings\Administrador\.ssh" y verificamos si alli estan almacenado los siguientes archivos:
ID_DSA --> Archivo donde se encuentra la llave privada
ID_DSA.PUB --> Archivo donde se encuentra la llave publica
KNOWN_HOSTS --> Archivo donde se almacena todas la autenticaciones realizadas es recomendable que este archivo se encuentre vacion cuando estemos realizando autenticaciones porque este puede presentar problema a la hora de la conexion.

Ahora creamos es archivo "authorized_keys" que es el archivo donde se ingresaran todas las llaves publicas de los clientes para su debida autenticacion. Este archivos por defecto se crea en el directorio .ssh pero nosotros lo crearemos en el etc del OpenSSh y debemos de tener mucho cuidado al poner la ruta en el archivo de configuracion.

Ya creado unos de los archivos mas importantes para esta configuracion "authorized_keys" el paso a seguir es enviar nuestra llave purblica a este archivo, es decira, redireccionar el archivo "id_dsa.pub" que esta en la el directorio "Documents and settings\Administrador\.ssh" al archivo "authorized_keys" que se encuentra en el directori "archivos de programas\OpenSSH\etc", esto es para permitir al servidor la auteticacion por llaves publicas.

Y visualizamos el archivo authorized_keys y este nos mostrara nuestra llave publica:

El siguiente paso es configurar el archivo "sshd_config" ubicado en "archivos de programas\OpenSSH\etc" es en este archivo donde definimos toda la configuracion necesaria para que nuestro servidor autentifique con llaves publicas. la configuracion es la siguiente:

# $OpenBSD: sshd_config,v 1.65 2003/08/28 12:54:34 markus Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

Port 22
#Protocol 2,1
Protocol 2
ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh_host_rsa_key
HostKey /etc/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 1h
ServerKeyBits 768

# Logging
#obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes

# The following setting overrides permission checks on host key files
# and directories. For security reasons set this to "yes" when running
# NT/W2K, NTFS and CYGWIN=ntsec.
StrictModes no

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /etc/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
IgnoreUserKnownHosts yes
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCreds yes

# Set this to 'yes' to enable PAM authentication (via challenge-response)
# and session processing. Depending on your PAM configuration, this may
# bypass the setting of 'PasswordAuthentication'
#UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
UsePrivilegeSeparation no
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
MaxStartups 10:30:60

# default banner path
Banner /etc/banner.txt

# override default of no subsystems
Subsystem sftp /usr/sbin/sftp-server

Despues de configurar el archivo iniciamos el servidor.

Con esto terminamos la configuracion ahora vamos hacer las practicas correspondientes. Entonces como buenos practicantes lo vamos a realizar primeramente en el equipo local.

Y efectivamente nos pide la clave publica de la llave que ingresamos en el archivo "authorized_keys", al ingresarla nos muestra la fecha, hora y nombre de nuestro equipo.

Para la pruba de linux a windows primero debo de ingresar la clave publica del cliente linux la cual fue mandada por scp desde linux.

Nos dirigimos a "documents and settings\Administrador" y alli encontraremos el archivos que nos enviaron.

Redireccionamos la llave al archivo "authorized_keys" para que este cliente pueda auteticar.

Si miramos el contenido del archivo authorized_keys podremos ver que ya no solo esta la llave de nuestro servidor sino que tambien la de nuestro cliente en linux.

Para finalizar reiniciamos el equipo y hacemos la prueba desde nuestro cliente linux, que nos deberia pedir su llave publica.

Y efectivamente nos funciona.

Para ver la configuracion SSH en linux de clic en el siguiente link http://lamatrix55.blogspot.com/2009/02/openssh.html

INFRAESTRUCTURA DE CLAVES PUBLICA (PKI)

2009-02-02T16:07:00.000-08:00

Es la combinacion de software, tecnologias de encriptacion y servicios que posibilitan a las empresas u organismos otorga a sus comunicaciones y transacciones por internet.

el proposito es proveer claves y manejos de certificados confiables y eficientes para lograr la habilitacion de la autenticacion, la no repudio y la confidencialidad
logra la confianza basada en el uso de certificados de clave publica los cuales son estructuras de datos que ñigan valores de clave publica a los sujetos.
la ligadura se realiza a traves de una autoridad de certificacion, la cual verifica la identidad del sujeto y firma digitalmente el certificado.

paki garantiza a los documentos:

la identidad/autoridad
la confidencialidad
la integridad
no repudio
fecha y hora cierta de la firma "secure time stamp"
disponibilidad legitima de servicios de informacion

COMPONENTES DE LA ARQUITECTURA DE LLAVE PUBLICA (PKI)

1. LA INFRAESTRUCTURA DE LLAVE PUBLICA (PKI):

Es la integracion de:

La criptologia de llave publica o asimetrica
La criptologia de la llave privada o simetrica
El messege digest value o hash

2. EL MODELO PKIX:

Es el modelo de las entidades que gestionan la infraestructura de llave publica, designando sus funciones y protocolos.

Entidades Finales: (a quien se pretende verificar):

el sujeto de un certificado, su identidad es garantizada por una autoridad de certificacion.

estas pueden se un usuarios finales, la autoridad de registros respecto a la autoridad de certificacion en el nombre de quien actua o incluso una autoridad de certificacion cuando esta se ce certificada por otra autridad de certificacion

2. Autoridad de certificado (CA):

representa la fuente de credibilidad de la infraestructura de llave publica
quienes emiten los certificados, firmandolos digitlamente con su llave privada
certifican que la llave publica asignada en un certificado a una entidad final, correspondiente realmente a dicha entidad final

3. Autoridad de Registro o Registration Authority (RA)

realiza el proceso de resgitro de las entidades finales por encargo de la autoridad de certificacion
valida los atributos del sujeto que solicita el certificado
verifica que el sujeto posee la llave privada a registrar
genera los secretos compartidos que permiten el proceso de inicializacion y certificacion
genera el par de llaves publico/privada
valida los parametros de las llaves publico prestados para su registro.

4. Repositorios o Repositories:

permite guardar informacion sobre PKI como puedan ser certificados y CRLs para su acceso por parte de las entidades finales o de sus delegados.

5. Emisores de CRLs o Certificate Revocation List Issuers:

los emisores de listas de revocacion de certificado actuan en nombre de la autoridad de certificacion, siendo de caracter opcional aunque sumamente convenientes. Son listas de los certificados que han dejado de ser validos y por tanto en los que se pueden confiar. Estos son revocados en caso como; la llave privada se vea comprometida o hayan cambiado los atributos del certificado.

PROCEDIMIENTO DE LA CERTIFICACION:
El objetivo del proceso de certificacion es garantizar la identidad de la entidad final, y con ella la identidad de las comunicaciones digitales.

solicitud a la Autoridad de Certificado de un certificado por parte de la entidad final, a traves de la Autoridad de registro, con el objetivo de que la autoridad de certificacion garantice la identidad de la entidad final.
la autoridad de certificado comprueba que cada usuario es quien dice ser y que la clave publica que inscriba en el certificado realmente le pertenece.
el certificado de la entidad final se firma digitalmente cifrandolo con la llave privada de la autoridad de certificacion
a su vez la autoridad de certificacion es certificada por otras autoridad/es de certificacion
dicho certificado se destribuye globalmente, es decir, al mayor numero de destinatarios posibles.

CERTIFICADOS DIGITALES:
Son documentos que confirman la identidad de una persona fisica o juridica, vinculada con una llave publica asociada al llave privada. Tiene 2 aspectos como objeto:

Que la llave publica del suscriptor pueda ser accesible por los verificadores o participes en validar y verificar la firma digital del suscriptor.
Que los partcipes puedan confiar en que la lleve publica que recibe el verificador sea realmente la del suscriptor.

Los siguientes son los campos principales incluidos como contenido de un certificado de llave publica

identificador unico o Nº de serie del certificado
el algoritmo de firma digital empleada
datos de la autoridad de certificacion ID unico del emisor de certificados
fecha de expedicion y expiracion de la llave publica y privada
llave publica del titular del certificado.

CADENA DE CERTIFICACION:

Una Autoridad de certificacion puede a su vez estar certificada por otra/s, Autoridades de certificacion, con su firma digital, hasta llegar a la Autridad de certificacion Raiz , lo que conforma la "cadena de certificados" o "certification path" de cualquier certificado hasta su "Anclaje de Vercidad" o "Trust Anchor", que termina en el certificado Raiz de la autoridad de certificacion Raiz. Dicho certificado Raiz es un certificado asi mismo, y emitido por la Autoridad de Certificacion Raiz.

TIPOS DE CERTIFICADOS DIGITALES:

Certificado de clase 1: son emitido unicamente a individuos. no verifican la identidad del individuo y por ende no permite autenticar, confirma que el nombre o seudonimo y el sujeto del certificado forman un nombre de sijeto inequivoco.
Certificado de clase 2:son emitidos unicamente al individuo, confirma que la informacion proporcionada por el suscriptor no entra en conflicto con la informacion de las bases de datos fiables propiedad de una EE (Entidad de Emision) o una ERL (Entidad de Registro Local), incluida la identidad del sujeto y otros datos del suscriptor.
Certificado de clase 2 no reconocido (clase 2 tipo1):usada para transaciones de bajo riesgo
Certificado de clase 2 reconocido (clase 2 tipo 2): se pueden usar como soporte de firmas electronicas legalmente reconocidas, obtienen una razonable seguridad de la identidad de suscriptor comparando automaticamente el nombre del solicitante, direccion yotra informacion personal contenida en las bases de datos propiedad de l EE o ERL.
Certificado de clase 3, se emiten a:
Individuos: requiere la presentacion de evidencias probatorias de la identidad del sujeto personandose ante una ERL o su delegado
Organizaciones: se emiten a individuos con capacidad de firmar dentro una organizacion, probada esta capacidad de forma por evidencia natarial y de la propia organizacion a traves de organizaciones empresariales que confirmen su identidad.

3. LAS POLITICAS Y PRACTICAS DE CERTIFICACION CPS Y CP:

Declaracion de Practicas de Certificacion (CPS): describe las practicas empleads en la emision y gestion de certificados. Gobierna la gestion de la infraestructura de llaves publicas y podria tambien incluir las descripciones de los servicios ofrecidos. Provee de un marco legal que describe las obligaciones y margenes de responsabilidad que asume la Autoridad de certificacion, asi como sus derechos con los titulares de los certificados emitidos por esta.
Politica de Certificacion (CP): consiste en un conjunto de reaglas que indican la aplicabilidad de un certificado a una particular comunidad y lo de aplicaiones con requerimientos de seguridad comunes.

SOLUCIONES COMERCIALES DE PKI EN COLOMBIA:

CERTICAMARA: es la primera entidad certificadora digital abierta, creada por las camaras de comercio del pais, esta vigilada y autorizada por la Superintendencia de Industria y Comercio, cumple con los mas altos estandares internacionales exigidos por el America Institute of Certificied Public Accountants (AICPA) y el Canadian Institute of Chartered Accountants (CISA), por esta razon posee el sello WEB TRUST, que la califica como entidad de certificacion de categoria y clase mundial, lo que ha permitido que Microsoft incluya a Certicamara dentro de las entidade de certificacion que son reconocidas automaticamente por el navegardo Internet Explorer. Los principales beneficios de Certicamara son:

Brinda seguridad en las transacciones que e realiza por medios electronicos
Proporciona soluciones a la empresa de materia de implementacion y utilizacion de nuevas tecnologias
Contribuir a la competitividad de las empresas y su participacion en la nueva economia
Contribuir al desarrolla y crecimiento de los negocios electronicos del pais, con estandares de seguridad que permitan el crecimiento de los negocios internacionales

ESQUEMA_PKI

Publish at Scribd or explore others:

NETGRAFIA DIBUJOS DEL ESQUEMA

http://office.microsoft.com/es-es/clipart/results.aspx?CategoryID=CM790019673082

GPG Gnu Privacy Guard

2009-01-30T03:24:00.000-08:00

Es un software hibrido que combina la criptografia de clave simetrica para la rapidez y la criptografia de la clave publica por la seguridad de el compartimiento de la clave segura. Este modelo de operacion es referenciado del estandar openPGP (Petry Good Privacity - privacidad bastante buena. Su finalida es proteger la informacion distribuida por internet medianta el uso de la criptografia de la clave publica, asi como faciliticca la autenticacion de documento por medio de la firma digital). Con GPG creamos claves asimetricas, es decir, se crea un par de llaves una concida como llave privada, esta solo la puede tener el propietario puesto que esta es la llave principal porque con ella desencriptamos todo lo que nos manda encriptado; y la otra llamada llave publica, esta se le envia a todos con los que quiero una comunicacion segura. Se utiliza la llave publica para encriptar y la llave privada para firmas digitales, como lo indica la imagen.

Despues de la instalacion del gpg el paso a seguir es la creacion de nuestras llaves (Publica - Privada), esto se hace con el siguiente comando:

gpg --gen-key

Cuando es por primera vez no crea un directorio y en el se guarda el fichero de configuracion como los archivos secring.pgp donde se lamacenaran las claves privadas y pubring.pgp aquie se almacenaran la llaves publicas.
La primera pregunta que nos hacen es el tipo de clave que queremos lo recomendable es la primera que combina el DSA con ElGamal "DSA (es un algoritmos que solo se utiliza para firmar) y ElGamal (es un algoritmo que sirve para firmar y encriptar)"; la segunda es solo DSA y la tercera el solo ElGamal.
La segunda pregunta es el tamaño de la clave entre 1024 y 4096, se recomiendo la de por defecto 2048, depediendo de las necesidade se escige mas grande o mas pequeña pero se debe tener en cuenta que a mayor tamaño mayor seguridad y mayor tiempor para encriptar y desencriptar.
La tercer pregunta es el tiempo de validez de la clave y nos dan 5 opciones la primera es de no caducar poniendo el "0"; la segunda en dias con laopcion "n" ejemplo si solo la queremos por 5 dias entonce ponemos asi "5n"; la tercera en semanas con la opcion "w"; la cuarta en meses con la opcion "m" y la quinta en años con la opcion "y".
La cuarta pregunta son datos personales tales como nombre y apellido, direccion de corre y comentario para la llave, con estos datos crea el ID del usuario y por ultimo no pregunta si queremos cambiar algo o si todo esta bien escribimos la letra "V".
Y por ultimo nos pregunta el pasword para la clave, cuando la estamos escribiendo no se ve nada ni se mueve el cursor la repetimos y si las dos coinciden empieza la genracion de la llave durante este proceso es recomendable mover el raton o repuducir un mp3, etc, para se genere numeros aleatorios y se genere antes las claves.

Para ver las llaves publicas lo hacemos con el siguiente comando

gpg --list-key

Para ver las llaves privadas lo hacemos con el siguiente comando

gpg --list-secret-key

Para borrar una llave primero se debe borrar la privada y luego la publica a no ser de que se desee borrar una llave publica de alguien que tenemos importada y por diversas razones la queremos eliminar, en este caso solo se borra su publica. Para borar llaves publicas se hace con el comando

gpg --delete-key claveID

Para eliminar una llave privada se hace con el comando

gpg --delete-secret-key claveID

Las claves se identifican por medio de la huellas, una huella es una serie de numeros que se usa para verificar que una clave pertenece realmente al propietario. La huella es como un md5 que verifica que un archivo no ha sido modificado. Para ver la huella de una clave es con el comando

gpg --fingerprint claveID o Correo

Un metodo muy util para repartir nuestra llave publica seria por medio de la exportacion, hay dos formas de exportar una clave publica o privada y por diversos motivos se exportan esto varia seguun las necesidades. Las formas para exportar claves son:

Si deseamos exportarla una clave publica a un servidor de claves u otro sitio como un ftp se hace por medio del siguiente comando

gpg --keyserve NombreDelServidor --send-key claveID

Y si lo deseamos exportar localmente una llave publica se debe de crear un docuemento .asc para que quede en codigo ASCII y guardarlo manualmente donde deseemos el archivo.Esto lo hacemos con el siguiente comando

gpg -- armor --output ficherodesalida.asc --export claveID

Con la llave privada es recomendable que solo se haga localmente por seguridad y esta lo hacemos con el siguiente comando.

gpg --armor --output ficherodesalida.asc --export-secret-key claveID

Importamos la llaves por diversos motivos como por ejemplo despues de que formatiamos el equipo o cuando deseamos importas las claves publicas de los demas ocmpañeros con los que queremos establecer la conexion, etc. Para importar una llave publica y privada lo hacemos con el siguiente comando

gpg --import NombreDelfichero.asc

Para encriptar un mensaje lo hacemos con el siguiente comando se pone el ID de la clave con la que quiero encriptar lo mas recomendable con la publica.

gpg --armor --recipient claveID --encrypt mensaje

NOTA: el mensaje a encriptar ya es un mensaje qu esta creado y listo para ser enviado. Con el comando anterior se crea un archivo con el formato con el que lo encriptamos como lo es un .txt o ASCII y luego es envido por el correo electronico como un mensaje adjutado:

Para descriptar un mensaje lo hacemos con el siguiente comando

gpg --decrypt Archivo

Cuando desencriptar algo se pide el password de nuestra llave para desencriptalo.

Firmamos un llave es para formar los anillos de confianza, es decir, al yo firmar a una persona estoy queriendo decir que confio plenamente en ella y si ella me firma la confianza es de ambos lados y asi con cada uno de las demas personas, permitiendo la comunicacion Publica-->Privada. Para firmar utilizamos el siguiente comando

gpg --sign clave ID

Firmamos un mensaje para el receptor confimer que si fui yo quie firmo su llave publica y para l aintegridad de los datos. Esto se hace por el siguiente comando

gpg --clearsign Archivo

NOTA: Cada vez que firmamos un mensaje o una llave nos piden la contraseña de nuestra llave privada. Despues de que firmamos una llave la debemos exportar en el caso de que usemos un servidor de llaves; en el caso de un archivo este crea un archivo nuevo y se envia por correo electronicao tanto el documento firmado como el archivo original. Para verificar las firmas con el siguiente comando

gpg --list-sigs

Y para verificar un mensaje firmado con el siguiente comando

gpg --verify mensaje

La clave de revocacion hace que cuando importemos nuestra calve publica al anillo inavilite la clave totalmente esto es por seguridad, es decir, cuando nuestra llave privada ya sea desconfiada y se hace por el siguiente comando

gpg --gen-revoke claveID

NORMAS ISO

2009-01-26T15:15:00.000-08:00

¿QUE SON LAS NORMAS ISO?

Su sigla traduce Organizacion Internacional para la Estandarizacion, es una organizacion no gubernamental que produce normas internacionales, industriales y comerciales con el proposito de facilitar el comercio, el intercambio de informacion y contribuir con unos estandares para el desarrollo y transferencia de tecnologias.

NORMA ISO 17799:

Es una norma interncional que ofrece recomendacion para la gestion de la seguridad de la informacion enfocada en el inicio, implantacion o mantenimiento de la seguridad en una organizacion. la seguridad de la infomacion se define com la preservacion de:

Confidencialidad: aseguracion de la privacidad de la infomarcion de la organizacion.
Integridad: garantia del estado original de los datos.
Disponibilidad: Acceso cuando sea requerido por los usuarios.
No repudio: Estadisticas de la acciones realizadas por el personal autorizado

el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficaz de la gestion de la seguridad. La adaptacion española denminada UNE-ISO/IEC 17799 esta norma no es CERTIFICADA.

1995- BS 7799-1: codigo de buenas practicas para la gestion de la seguridad de la informacion.
1998- BS 7799-2:especificaciones para la gestion de la seguridad de la informacion.

Tras una revision de ambas partesde BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin apenas modificacion (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.

Esta norma establece 10 dominios de control que cubre por completo la gestion de seguridad de la infomacion:

Politica de seguridad: dirige y da soporte a la gestion de la seguridad de la informacion
Aspectos organizativos para la seguridad: gestiona la seguridad de la infomacion dentro de la organizacion; mantiene la seguridad de los recursos de tratamiento de la informacion y de los activos de informacion de la organizacion que son accedidos por terceros y mantiene la seguridad de la informacion cuando la responsabilidad de su tratamiento se ha extrenalizado a otra organizacion.
Clasificacion y control de activos: mantiene una proteccion adecuada sobre los activos de la organizacion y asegura un nivel de proteccion adecuado a los activos de la informacion.
Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalcion y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el ambito de la seguridad de la informacion, y que estan preparados para sostener las politicas de seguridad de la organizacion y minimiza los daños provocados por incidencias de seguridad y por el mal funcionamiento controlandolo y aprendiendo de ellos.
Seguridad fisica y del entorno: evita el acceso no autorizado, daños e interferencias contra los locales y la informacion de la organizacion; evita perdidas, daños o comprometer los activos asi como la interrupcion de las actividades de la organizacion y previene las exposiciones a riesgos y a robos de la informcion y de recursos de tratamiento de informacion.
Gestion de comunicacion y operaciones: asegura la operacion correcta y segura de los recursos de tratamiento de la informacion; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la informacion; mantine la integridad y la disponibilidad de los servicios de tratamiento de infomacion y de comunicacion; asegura la salvaguarda de la informacion en las redes y la proteccion de su infraestructura de apoyo; evita daño a los activo e interrupciones de actividades de la organizacion y previene la perdida, modificacion o mal uso de la informacion intercambiada entre organizaciones.
Control de acceso: controla los accesos a la informacion; evita acceso no autorizado a los sistemas de informacion; proteje los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la infomacion contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la informacion cuando se usan dispositivos de informacion movil o teletrabajo.
Desarrollo y mantenimiento de sistema: asegura que la seguridad esta incluida dentro de los sistemas de informcion; evita perdidas, modificaiones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialida, integridad y autenticidad de la informacion; asegura que los proyectos de Tecnologias de la Informacion y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la informacion de la aplicacion del sistema.
Gestion de continuidad del negocio: reacciona a la interrupcion de actividades del negocio y protege sus procesos critiicos frente a grandes fallos o desastres.
Conformidad con la legislacion: evita el incumplimiento de cualquier ley, estatuto, regulacion u obligacion contractual y de cualquier requerimiento de seguridad; garantiza la alineacion de los sistemas con la politica de seguridad de la organizacion y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditoria del sistema.

ISO 17799 no es una norma tecnologica:

ha sido redacrada de forma flexible e independiente de cualquier solucion de seguridad especifica
proporciona buenas practicas neutrakes con respecto a la tecnologia y a las soluciones disponibles en el mercado.

ISO 27001:

Esta norma muestra como aplicar los controles propuestod en la iso 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".

COMPARACION 17799 Y 27001:

ISO 17799 es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables.
La ISO 17799 no es certificable, ni fue diseñada para esto.
La norma que si es certificable es ISO 27001 como tambien lo fue su antecedora BS 7799-2.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible apñlicacion en el SGSI que implanta cada organizacion
ISO 17799 es para ISO 27001, por tanto, una ralacion de contoles necesarios para garantizar la seguridad de la informacion.
ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (information security management system)

ENTIDAD COLOMBIANA:

CERT: Computer Emergency Response Team- Equipo de Respuesta a Emergencias Infomarticas: CERT Colombia es un centro de coordinacion y atenecion a insidentes de seguridad informatica colombiana antes, mediante y despues de este; mantiene contacto directo con las empresas afiliadas y esta en la capacidad coordinar el tratamiento y solucion de las solitudes y denuncias sobre problemas de seguridad infomartica que sean recibidas en la cuenta de correo. Actualmente se trabaja en contra de los robos de informacion privada (phishing), esta es usada posteriormente para sustraer dinero de la cuentas bancarias. Este anti-phishing se esta realizando de forma coordinada entre las entidades bancarias y las y las empresas prestadoras de servicio de internet que estan agrupadas en la NAP Colombia. CERT Colombia mantiene comunicacion constante con organizaciones internaciones que trabajan en el sector de seguridad informatica ellos advierten al CERT Colombia sobre cualquier tipo malicioso que puede estar alojado dentro de sus redes. En conclusion, CERT colombia es un punto de contacto nacional, mediante el cual la comunidad nacional e internacional pueden comunicarse con las mas grandes empresas proveedoras de internet en Colombia, con el objetico de gestionar una pronta y eficiente atencion a los incidentes de la seguridad informatica que involucren redes y/o servicios Colombianos.
El CERT Colombia se encuentra patrocinado directamente por el NAP Colombia y sus afiliados, quienes conforman el grupo de las empresas provedoras de internet mas grande de Colombia. Debido al compromiso de sus integrantes con esta labor, el CERT Colombiano ha podido desarrollar importantes actividades en contra del ciber delito que han arrojado resultados muy satisfactorios. En la siguiente imagen se muestra las empresas afiliadas a CERT Colombia

OTRAS ENTIDADES:

ISC2: Es un organismo internacional fundando en 1996 que lleva a cabo certificados de sistemas de seguridad; pensado para profesionales en seguridad. Provee nuevas herramientas para realizar acciones de proteccion en las empresas, brinda capacitaciones en seguridad informatica a profesionales de ambito tecnologico. De este modo se distingue las clases CSSCP que engloba a administradores de sistemas y redes y CISSP que comprende a diseñadores de politics y procesos de seguridad.

CISSP: Certified Information Systems Security Profesionals- Certificado para Prefesionales en Sistemas de Seguridad de Informacion: Certificacion acreditidad internacionamente, mas reconocifo a nivel mundial y es avalado por la ISC2, diseñada con el fin de reconocer una maestria de conocimiento y esperiencia en seguridad de la informacion con una etica comprobada en el desarrollo de la profesion.

SANS: Proporciona un conjunto de cusros que ayuda a dominar los pasos practicos necesarios para defender los sistemas y las redes contra las amenazas mas peligrosas, aquellas que estan siendo activamente explotadas. Los cursos desarrollados con el consenso de los cientos de administradores, responsables de la seguridad y otros profesionales,tratan tanto los fundamentos como los detalles tecnicos de las areas mas criticas de la seguridad de la informacion. Sus principales objetivos:

Reune informacion sobre seguridad informatica (S.O, router, firewall, etc)
Ofrece capacitacion y certificacion en la seguridad informatica.

GLOSARIO:

SGSI: SGSI es la abreviatura comunmente utilizada para referirse a un Sistema de Gestión de la Seguridad de la Informacion.Por información se entiende toda aquella documentación en poder de una organización e independientemente de la forma en que se guarde o transmita.Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

• Plan (planificar): establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI.

• Check (verificar): monitorizar y revisar el SGSI.

• Act (actuar): mantener y mejorar el SGSI.

ISMS: Information Security Management System
SASI: Sistema de Administracion de Seguridad de la Informacion
IEC:Comision Electronica Internacion junto con la ISO forman el sistema especializado para la estadarizacion mundial
NAP COLOMBIA: tien como mision lograr que todos lo ISP del pais intercambien su trafico local de manera directa .

INSTALACION_OpenBSD

2008-09-22T12:55:00.001-07:00

REQUERIMIETOS MINIMOS PARA LA INSTALCION:
* Sistema de plataforma i386
* Mas de 16 de memoria RAM
* 100MB de espacio libre en el disco duro

*PASOS*

1. Insertamos el CDROOM con la ISO del sistema operativo
2. OBSD detectarara automaticamente los dispositivos
3. Nos preguntan si queremos install(I), upgrade(U) o ir a la shell(S), insertamos la letra indicada.
4.Nos preguntara por el tipo de terminal (terminal type?) que usaremos, damos enter para escoger la de por defecto (vt220).
5.Nos pregunta por el leguaje de teclado, usaremos el codigo de letras para visualisar los codigos ingresamos la letra L seguida por enter.
6.Nos pregunta si queremos seguir con la instalacion ( proceed with install ) si asi lo deseamos escribimos * yes * y enter.
7.Nos pregunta que discos duros queremos utilizar ( whitch one is the root disk ) por efecto no reconoce el diso wd0.
8.Antes de una particion raiz debemos crear una particion FDISK para OBSD. la particion FDISK sera una de las cuatro particiones del disco, esto es mas conocido como disklabel que es aplicable para todos los sistemas BSD. El primer disco se reconocera como wd0 debemos ingresar el disco correspondiente siendo el caso que no sea el de por defecto.
9.Nos preguntara si queremos usar todo el disco para el sistema OBSD y es aqui donde decimos si vamos a tener varios S.O en el equipo o solo OBSD.
10.Podemos editar las particiones de OBSD en FDIKS: con *p m* podemos ver las particiones actuales en MB en OBSD; la particion c representa todo el tamaño del disco por ende no se puede borrrar. con la *a* se crea las particiones y con la *d* se borran: se hace usa para la swap que siempre se representa con la letra *b* y otra para la raiz (/) que es representeda con la letra *a*. El resto de particiones se nombran con la letra *d* en adelante.
11. Guardamos los cambios con la letra *w*y salimos del editor disklabel con la letra *q*, luego se formatea la particio y se crea el filesystem de OBSD (FFS).
12.Nos pregutaran por el nombre del equipo que por defecto es *foo*
13. Ahora nos pregunta que si deseamos configurar la red si la respuesta es afirmativa nos muestra las tarjetas de red disponibles la nomenclatura depende de las marcas de las tarjetas como por ejemplo:

intel ------ fxp0 (el cero indica que es la primera tarjeta)
realtek ------rlt0
via-----vr0.
escojemos la taejeta que deseamos o damos enter si es la de por defecto.
14. Nospregunta el nombre simbolico para la tarjte ( symbolic (host) name for fxp0)
15.No pregunta que si queremos cambiar la opciones de la tarjeta pero si no sabemos de esto de damos que si.
16. Nos pide que le asignemos una diraccion IP puede se por DCHP, escribiendo DHCP y dando enter y si somos capaz escribimos la mascara en ipv6 o sino solo escribimos o dejamos la opcion none y enter.
17. Luego daremos el nombre de dominio asi no exista en nuestra res y las direcciones IP del servidor DNS y otra para el gateway.
18.Nos pregunta que si deseamos editar el archivo */etc/hosts* con el editor *ed* si lo sabemos manejar repondemos que si por el contrario le damos a la opcion no.
19. Nos pregunta si queremos actualizar los datos de la red manualmente el problema de esto es que no maneja ni el editor pico, nano, ni vi estonces mejor decimos que no.
20. Nos pide dos veces la contraseña del root

21.Nos preguntara donde estan ubicado los paquetes nos muestra 4 opciones:
CD: desde el CDROOM
DIKS: desde una particion
HTTP: desde una web
FTP: desde un servidor ftp
en este caso es desde el cd entoncesla opcion de CDROOM seguido del dispositivo existente (cd0) y la ruta = 4.3 (version)/i386(plataform).
22. Nos pregunta que paquetes deseamos instalar se puede escribir el nombre del paquete y enter o escribiendo la palabra *all* y con el signo menos (-) quitamos la seleccion de algunos.
23. escribimos la palabra done que significa terminado y afirmamos la instalacion de los paquetes.
24. Nos pregunta si queremos activa el SSH y respondemos si.
25Nos pregunta si deseamos el servidor de tiempo y le decimos que no.
26.Nos preguta si deseamos iniciar el entorno grafico para ello se debio descargar todos lo paquete x set.
27. Si no escojemos entorno grafico nos preguntara la zona horaria y con signo *?* poedemos ver las diferente opciones se recomienda escoger la *America/Bogota*

NOTA: debemos reiniciar el sistema; con *halt* apagamos.
Despues de iniciar nos pide el *login password* que es root y la clave

por ultimo nos mostrara un mensaje donde nos dice que el sistema se ha instalado satisfactoriamente.

Y ASI FINALIZAMOS NUETRA INSTALACION DEL SISTEMA OPERATIVO OPENBSD

INFORMACION BASICA DEL SERVIDOR PROXY

2008-06-17T12:48:00.000-07:00

Servidor Proxy:

Conocido también como servidor intermediario es una computadora o dispositivo que permite el ingreso de manera indirecta a las paginas Web, es decir, el trabaja como un muro de seguridad puesto que en el administrador ingresa todas aquellas paginas que no deseamos que se ejecuten.
Durante el proceso ocurre lo siguiente:
Cliente se conecta hacia un Servidor Intermediario (Proxy).
Cliente solicita una conexión, fichero u otro recurso disponible en un servidor distinto
Servidor Intermediario (Proxy) proporciona el recurso ya sea conectándose hacia el servidor especificado o sirviendo éste desde un caché.
En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propósitos.
El servidor intermediario opera en el nivel de red como filtro de paquetas y en el nivel de aplicación como controlador de diversos servicios. Trabaja como una memoria cache del contenido de red principalmente http, proporcionando al cliente un cache de páginas y ficheros disponibles y un acceso de forma rápida y confiable. Cuando se recibe una petición para un recurso de Red especificado en un URL (Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL dentro del caché. Si éste es encontrado, el Servidor Intermediario responde al cliente proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado no estuviera disponible en el caché, el Servidor Intermediario lo traerá desde servidor remoto, entregándolo al cliente que lo solicitó y guardando una copia en el caché. El contenido en el caché es eliminado luego a través de un algoritmo de expiración de acuerdo a la antigüedad, tamaño e historial de respuestas a solicitudes (hits)

Squid:

Es un servidor intermediario utilizado en sistemas operativos como GNU/Linux y derivado de Unix. Es muy confiable, robusto y versátil y se distribuye bajo los términos de la Licencia Pública General GNU (GNU/GPL).
Squid puede funcionar como Servidor Intermediario (Proxy) y caché de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, caché transparente, WWCP, aceleración HTTP, caché de consultas DNS y otras muchas más como filtración de contenido y control de acceso por IP y por usuario.

GOPHER: es un servicio de Internet consistente en el acceso a la información a través de menús. La información se organiza de forma arborescente: sólo los nodos contienen menús de acceso a otros menús o a hojas, mientras que las hojas contienen simplemente información textual. En cierto modo es un predecesor de la Web, aunque sólo se permiten enlaces desde nodos-menús hasta otros nodos-menús o a hojas, y las hojas no tienen ningún tipo de hiperenlaces.

WAIS: Siglas de Wide Area Information Servers. El WAIS es un servicio de búsqueda de información en la red por palabra clave o frases. Contrariamente a Gopher, que busca ficheros por sus títulos, los motores WAIS buscan en el texto completo de cada fichero y devuelve una lista de todos los documentos que contengan la palabra clave indicada. La mayor parte de los buscadores en el Web utiliza el método WAIS.

El squid consiste en un programa principal como servidor que proporciona la búsqueda en servidores DNS, contiene programas opcionales para reescribir solicitudes y autenticación y herramienta para administración y cliente. La búsqueda en servidores DNS reduce el tiempo de espera al cliente.

NOTA ESPECIAL: Squid no debe ser utilizado como Servidor Intermediario (Proxy) para protocolos como SMTP, POP3, TELNET, SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo distinto a HTTP, HTTPS, FTP, GOPHER y WAIS se requerirá implementar obligatoriamente un enmascaramiento de IP o NAT (Network Address Translation) o bien hacer uso de un servidor SOCKS como Dante.

Por medio del parámetro cache_replacement_policy squid incluye soporte para los siguientes algoritmos para cache:

LRU: Acrónimo de Least Recently Used - Menos Recientemente Utilizado; este algoritmo elimina los accesos menos utilizado dejando en la cache las mas recientes.
LFUDA: Acrónimo de Least Frequently Used with Dynamic Aging – Menos Frecuentemente Utilizado con Envejecimiento Dinámico; en este algoritmos los mas utilizado permanecen en la cache sin importar su tamaño, de modo que un objeto grande que se solicite con mayor frecuencia impedirá que se pueda hacer caché de objetos pequeños que se soliciten con menor frecuencia.
GDSF: Acrónimo de GreedyDual Size Frequency - Frecuencia de tamaño GreedyDual (codicioso dual); este algoritmo optimiza la eficiencia permitiendo que en la cache se mantengan los objetos pequeños mas frecuentes, es decir, trabaja tiene una eficiencia por octeto menor al LFUDA por ello elimina los objetos mas grandes de la cache.

Para la utilización de squid se necesita la versión 2.5.STABLE6 ninguna anterior porque se considera que no son seguras. Squid no se instala de manera predeterminada a menos que especifique lo contrario durante la instalación del sistema operativo, sin embargo viene incluido en casi todas las distribuciones actuales. El procedimiento de instalación es exactamente el mismo que con cualquier otro sustento lógico.

Configuración:
Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf, y podrá trabajar sobre este utilizando su editor de texto simple preferido. Existen un gran número de parámetros, de los cuales recomendamos configurar los siguientes:
• http_port
• cache_dir
• Al menos una Lista de Control de Acceso
• Al menos una Regla de Control de Acceso
• httpd_accel_host
• httpd_accel_port
• httpd_accel_with_proxy

Parámetro http_port:

Según las asignaciones por IANA los Puertos Registrados para el servidor intermediario son 3128 o 8080 a través de TCP. Por defecto squid maneja el puerto 3128 para atender peticiones sin embargo se puede definir cualquier otro puerto u otros puertos disponibles.
Para servidores intermediarios transparente utiliza los puertos 80 o el 8000 se valdrá del re-direccionamiento de peticiones de modo tal que no habrá necesidad alguna de modificar la configuración de los clientes HTTP para utilizar el Servidor Intermediario (Proxy), esto bastara con utilizar en al puerta de enlace el servidor pero no se puede olvidar que le servidor http también utiliza dichos puertos por lo tanto será necesario volver a configurar el servidor http para asignarle otros puertos disponibles. En la actualidad los servidores intermediarios transparentes no son muy convenientes, por ello puede resultar mas conveniente configurar un servidor intermediario con restricciones por clave de acceso lo cual no puede realizarse con un servidor intermediario transparente debido a que se requiere un diálogo de nombre de usuario y clave de acceso.

Regularmente algunos programas que utilizan los usuarios comúnmente traen por defecto el puerto 8080 (servicio de cache WWW), podemos especificar que squid escuche peticiones en dicho puerto también utilizando http_port y se especifica lo siguiente:
# Default: http_port 3128
http_port 3128
http_port 8080

Si desea incrementar la seguridad, puede vincularse el servicio a una IP que solo se pueda acceder desde la red local. Así:#default: http_port 3128
http_port (dirección IP):3128
http_port (dirección IP):8080

Parámetro cache_men:

Establece la cantidad ideal de memoria para lo siguiente:
• Objetos en tránsito.
• Objetos frecuentemente utilizados (Hot).
• Objetos negativamente almacenados en el caché.

Los datos se almacenan en bloque de 4 Kb; y este parámetro especifica el límite del máximo del tamaño de los bloque acomodados, donde los objetos en tránsito tienen mayor prioridad, pero los objetos de los host utiliza la cache mientras que ese espacio no se necesite; en caso si un objeto en tránsito es mayor a la capacidad de la cache squid excederá lo que sea necesario para satisfacer la petición.
Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor para este parámetro:
Cache_mem 16 MB
Parámetro cache_dir:
Este parámetro se utiliza para establecer que tamaño se desea que tenga el caché en el disco duro para Squid. Se puede incrementar el tamaño del caché hasta donde lo desee el administrador. Mientras más grande sea el caché, más objetos se almacenarán en éste y por lo tanto se utilizará menos el ancho de banda. Se utiliza el siguiente parámetro:
Cache_dir ufs/var/spool/squid 100 16 256
Los números 16 y 256 significan que el directorio del caché contendrá 16 directorios subordinados con 256 niveles cada uno. No modifique esto números, no hay necesidad de hacerlo. Es muy importante considerar que si se especifica un determinado tamaño de caché y éste excede al espacio real disponible en el disco duro, Squid se bloqueará inevitablemente. Sea cauteloso con el tamaño de caché especificado.
Parámetro ftp_user:

Al acceder a un servidor FTP de manera anónima, de modo predefinido Squid enviará como clave de acceso Squid@. Si se desea que el acceso anónimo a los servidores FTP sea más informativo, o bien si se desea acceder a servidores FTP que validan la autenticidad de la dirección de correo especificada como clave de acceso, puede especificarse la dirección de correo electrónico que uno considere pertinente.
ftp_user proxy@su-dominio. Net

Controles de acceso:

Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas máquinas en particular. A cada lista se le asignará una Regla de Control de Acceso que permitirá o denegará el acceso a Squid.

Lista de control de acceso: Regularmente una lista de control de acceso se establece con la siguiente sintaxis:
acl (nombre de la lista) src (lo que compone a la lista)
Si se desea establecer una lista de control de acceso que abarque a toda la red local, basta definir la IP correspondiente a la red y la máscara de la sub-red.
acl miredlocal src (dirección ip)/(mascar de subred)

También puede definirse una Lista de Control de Acceso especificando un fichero localizado en cualquier parte del disco duro, y la cual contiene una lista de direcciones IP.
acl permitidos src “/etc/squid/permitidos”
El fichero /etc/squid/permitidos contendría algo como siguiente: 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.15 192.168.1.16 192.168.1.20 192.168.1.40 Reglas de control de acceso:Estas definen si se permite o no el acceso hacia Squid. Se aplican a las Listas de Control de Acceso. Deben colocarse en la sección de reglas de control de acceso definidas por el administrador, es decir, a partir de donde se localiza la siguiente leyenda:INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS La sintaxis básica es la siguiente:http_access (deny o allow) (lista de control de acceso) Nota: También pueden definirse reglas valiéndose de la expresión !, la cual significa no. Este tipo de reglas son útiles cuando se tiene un gran grupo de IP dentro de un rango de red al que se debe permitir acceso, y otro grupo dentro de la misma red al que se debe denegar el acceso.

Parámetro cache_mgr:

De modo predefinido, si algo ocurre con el caché, como por ejemplo que muera el procesos, se enviará un mensaje de aviso a la cuenta webmaster del servidor. Puede especificarse una distinta si acaso se considera conveniente.cache_mgr joseperez@midominio.net

Parámetro cache_peer:

El parámetro cache_peer se utiliza para especificar otros Servidores Intermediarios (Proxies) con caché en una jerarquía como padres o como hermanos. Es decir, definir si hay un Servidor Intermediario (Proxy) adelante o en paralelo. La sintaxis básica es la siguiente:
Cache_peer (servidor) (tipo) (http_port) (icp_port) (opciones)
Para configurar como padre se utiliza:
Cache_peer (dirección ip) parent 8080 3128 proxy-only
Para configurar como hermano se utiliza:
Cache_peer (dirección ip) sibling 8080 3128 proxy-only
Cache con aceleración:

Cuando un usuario hace petición hacia un objeto en Internet, este es almacenado en el caché de Squid. Si otro usuario hace petición hacia el mismo objeto, y este no ha sufrido modificación alguna desde que lo accedió el usuario anterior, Squid mostrará el que ya se encuentra en el caché en lugar de volver a descargarlo desde Internet.
Esta función permite navegar rápidamente cuando los objetos ya están en el caché de Squid y además optimiza enormemente la utilización del ancho de banda.
En la sección HTTPD-ACCELERATOR OPTIONS deben habilitarse los siguientes parámetros:httpd_accel_host virtualhttpd_accel_port 0httpd_accel_with_proxy on Idioma: Squid incluye traducción a distintos idiomas de las distintas páginas de error e informativas que son desplegadas en un momento dado durante su operación. Dichas traducciones se pueden encontrar en /usr/share/squid/errors/. Para poder hacer uso de las páginas de error traducidas al español, es necesario cambiar un enlace simbólico localizado en /etc/squid/errors para que apunte hacia /usr/share/squid/errors/Spanish en lugar de hacerlo hacia /usr/share/squid/errors/English.Elimine primero el enlace simbólico actual:rm-f /etc/squid/errorsColoque un nuevo enlace simbólico apuntando hacia el directorio con los ficheros correspondientes a los errores traducidos al español.ln -s /usr/share/squid/errors/Spanish /etc/squid/errors
Iniciando, reiniciando y añadiendo el servicio al arranque del sistema.
Una vez terminada la configuración, ejecute el siguiente mandato para iniciar por primera vez Squid: Service squid start Si necesita reiniciar para probar cambios hechos en la configuración, utilice lo siguiente: Service squid restart Si desea que Squid inicie de manera automática la próxima vez que inicie el sistema, utilice lo siguiente:chkconfig squid on
Depuración de errores:
Puede realizar diagnóstico de problemas indicándole a Squid que vuelva a leer configuración, lo cual devolverá los errores que existan en el fichero /etc/squid/squid.conf.service squid reload Cuando se trata de errores graves que no permiten iniciar el servicio, puede examinarse el contenido del fichero /var/log/squid/squid.out con el mandato less, more o cualquier otro visor de texto:less /var/log/squid/squid.out
Parámetro VISIBLE_HOSTNAMEEn este parámetro se configura un nombre, no es muy relevante el nombre pero si es importante configurarlo, porque si no causara un error parametro icp_port Este parámetro define el puerto en que el servidor squid recibe solicitudes ICP (Inter-Cache Protocol). Si se desea desacivar se le asigna el valor de cero en le parámetro, parametro cache_swap_low. Indica el nivel en porcentaje de capacidad mínima aceptada por squid, es decir, los objetos se mantendrán en el cache hasta que se cope el límite mínimo Parámetro cache_swap_high Parámetro que especifica en porcentaje el límite máximo que utiliza squid para mantener objetos en el cache. Parametro cache_access_log Especifica en que directorio se realizará el registro de accesos al squid. Parametro cache_log. Define en donde se almacenan los mensajes del sistema Parámetro cache_store_log Este parámetro especifica la ubicación del archivo de registro de objetos sacados del cache. No es necesario activarlo. Es mejor desactivarlo para ahorrar espacio en disco Parámetro emulate_httpd_log Este parámetro define si se desea utilizar emulación de logs del servidor web (httpd).
parametro reference_age.
Este parámetro determina cuanto tiempo permanece el objeto en el cache. Se recomiendo que sea un mes
Parámetro quick_abort
Este parámetro define si un objeto debe almacenarse en el cache cuando el usuario ha interrumpido una solicitud: si el objeto tiene el valor especificado en min o falta más del valor expecificado en max se abortará la transferencia. Si se ha realizado una transferencia mayor del valor en porcentaje especificado en pct, no se abortará el almacenamiento del objeto. Se recomienda utilizar los valores por defecto (16kb tanto para min como para max y 95 para pct)
Parámetro negative_ttl.
Este parámetro se utiliza para definir cuanto tiempo debe esperar squid para procesar nuevamente una página que no ha sido encontrada. Se recomiendan 5 minutos.
Parámetro positive_dns_ttl.
Este parámetro especifica el tiempo que squid mantendrá la dirección de un sitio visitado exitosamente. El valor por defecto es de 6 horas
Parámetro negative_dns_ttl
Especifica el tiempo que espera squid antes de intentar nuevamente determinar la dirección de un sitio solicitado y que no ha sido encontrado. Por defecto 5 minutos.
Parámetro http_access e icp_access
Define una serie de permisos para acceso al servidor squid. Recomendamos utilizar la siguiente configuración:
http_access allow manager localhosthttp_access deny managerhttp_access allow CONNECT !SSL_portshttp_access allow all icp_access allow allmiss_access allow all
parametro httpd_accel_uses_host_header.
Este parámetro se utiliza para activar el proxy transparente, necesario para controlar el acceso a Internet desde las estaciones.
Parámetro httpd_accel_host y httpd_accel_port.
Este parámetro también es necesario para activar el proxy transparente. Al configurar squid de esta manera no es necesario realizar configuración de los navegadores del centro de acceso con servidor proxy lo que se constituye en una ventaja
Parámetro dns_testnames
Este parámetro define que hosts se utilizan para chequear el servidor de nombres
Parámetro append_domain
Este parámetro indica a squid que dominio debe añadirse a solicitudes que vengan sin dominio completo, se debe empezar con un punto.
Parámetro cachemgr_passwd
Squid es posible ser administrado desde una página web una vez instalado (no documentado aquí). Este parametro define la clave de acceso para tener acceso a esta función.

ANALISIS DEL PROYECTO

2008-05-28T18:46:00.000-07:00

DIA 1

hoy me dedique a leer e investigar sobre el serviod proxy para asi poder allar las respuestas a todas mis preguntas.

DIA2

Hoy lastimosamente por prooblemas de la red no fue mucho lo que avance; solo pude intentar vajar los paquetes de squid del repositorio que encontre en la pagina de debian, pero fue imposibles descargarlos, el profesor me sujerio bajar los paquetes y grabarlos en el equipo y de alli instalarlos pero ya se habia acabado la jornada.

DIA 3

Hoy fuera de instalar y configurar el servidor dhcp; tambien por fin pude bajar los paquetes de squid e instalalos en la consola para iniciar con su respectiva configuracion, mas tarde me reuni con mis compañeros del proxy donde iniciamos por primera vez a trabajar, hablar e intentar resolver inquietudes entre nosotros y demas compañeros.

DIA 4

Hoy al incio de la mañana resolvi todas mis dudas sobre algunos parametros que se requieren para ralizar la configuracion del proxy por squid, tambien junto con mis compañeros por escrito realizamos una configuracion basica del poxy utilizando su respectivos parametro y resolvimos entre nosotros inquietudes que teniamos y que podiamos resolver entre nosotros pero asi mismo nos resultaron otras por resolver.

DIA 5

Hoy seguimos en la lucha del la configuracion del proxy pero de nuevo no nos permite habrir la paginas.

DIA 6

Hoy de nuevos seguimos intentando pero como antes fue en vano nuestro esfuerzo, en la tarde subimos a hablar con el asesor en tecnoparque quien nos dijo que lo que nosotros estabamos realizando estaba malo puesto que primero tenia que ser una red idependiente a la del sena y segundo este servidor dependia de los otros servidores anteriore por ende se tiene que esperar que los demas compañeros monte los otros servidores.

DIA 7

Hoy no realisamos nada en especial del servidor puesto que estuvimos en la exposicion de la red, de las vlans y fuera de eso la explicacion del la instalacion y configuracion del DNS.

DIA 8

Hoy tratamos de montar el servidor proxy en la red de tecnoparque pero los computadores de alli, como son de los actualizados posee solo discos duros sata y este no permite instalar debian entonces teniamos que cambiar el disco duro y fuera de eso necesitamos otra tarjete de red, y fue imposible encontrarlas, tambien estuvimos en la exposicion del servidor ftp.

DIA 9

Hoy podimos conceguir el disco y la tarjeta pero no podimos instalar debian por razones desconocidas, fuera de eso ayude a los del ftp crear los usuarios.

DIA 10

Hoy mientras estaba en el curso de linux, mis compañero montaron el proxy en el salon pero cuando baje me comenteron que tampoco les daba por razones descconocidas y decimos irnos.

DIA 11

Hoy solo nos dedicamos a estudiar y presentar el examen de cisco porque no pudieron hacer la exposicion de el servidor web.

DIA 12

Hoy por medio de la actividad que nos puso el profesor instale el dns en linux, el ftp y web en windows server y el dhcp en el router.

DIA 13

Hoy nos dedicamos hacer la pagina web por medio del sofware coffecuop, pero no nos fue muy bien por lo que nunca habiamos utilizado este software entonces no conociamos mucho de sus posibilidades de uso.

DIA 14

Hoy montamos la red configuaramso las vlans y terminamos la pgina web, pro se nos presentaron diversos problemas que despues de luchar solucionamos algunos pero otros no.

DIA 15

Hoy solo presentamos el examen de ccna1

DIA 16

Hoy asisti al el curso de linux donde la clase fue de parametros y en la clase de fernando que fue de errores al montar los servidores

DIA 17

Hoy por fin terminamos la red perfectamente

DIA 18

Hoy presente el examen practico de la red donde tenia que arreglar algunos daños que el profesor le hacia y presente el examne de ccna1.

DIA 19

Hoy personalmente no hice mucho porque todo el dia estuvieron los demas compañeros haciendo el examen practico entonces estudie un poco cisco.

DIA 20

Hoy todo el dia estudie cisco porque estaba un poco atrasada.

DIA 21

Hoy estuve en la explicacion del web y presente el examen de cisco capitulo 4

DIA 22

Hoy hice la configuracion basica del proxy y por fin me dio, y resolvi algunas dudas.

DIA 23

Hoy hice la exposicion del proxy y estamos montado una nueva red que consta en dos router configurado con frame-relay, en una red tiene que estar los servidores dhcp, web y ftp en linux y hacer el ftp con enjaulamiento.

DIA 24

Hoy terminamos la actividad y estudiamos cisco

DIA 25

Hoy solucionamos algunos problemas de la red.

DIA 26

Hoy intentamos montar el servidor proxy en windows pero nos fue posible por un problema que desconocemos.

DIA 27

Hoy los de la red montaron la red y montamos algunos servicios requeridos en el proyecto y estuvimos en la ctividad del dia del aprendiz.

DIA 28

Hoy realizamos la evaluacion de cisco y continuamos con el montaje real de la red del proyecto.

Ssh:

2008-04-28T12:48:00.000-07:00

El protocolo SSH/SecSH nació para intentar que las comunicaciones en internet fuesen más seguras, esto lo consigue eliminando el envio de las contraseñas sin cifrar y mediante la encriptación de toda la información que se transmite.
En principio podríamos pensar en SSH como un sustituto del telnet, el rexec y el rsh, pero la realidad es que SSH permite mucho más que la simple identificación de usuarios y ejecución de programas en máquinas remotas. A través de una conexión SSH se puede encapsular cualquier protocolo y gracias a la habilidad para crear túneles, tanto remotos como locales, podemos llegar a traspasar routers y cortafuegos.
Este documento se centra en OpenSSH, existen otras implementaciones del protocolo SSH, pero no todas son libres (licencia BSD) ni tan potentes como lo es OpenSSH, a parte del mero hecho de que hoy por hoy, OpenSSH es la implementación del protocolo SSH más extendida, pudiendo funcionar en un gran número de sistemas operativos y viniendo preinstalado en casi todas las distribuciones de GNU/Linux.
Parámetros:
Sobre la sintaxis de los distintos comandos que se muestran cabe destacar que tendrán el siguiente formato:ssh [opciones] [usuario@]máquina
Donde ssh es simplemente el nombre del programa a ejecutar, todo lo que aparece a continuación del nombre del programa son los parámetros, los que se encuentran entre corchetes se consideran opcionales, pueden ponerse o se pueden omitir, por ejemplo, usuario@ es un parámetro que indica el nombre del usuario a emplear seguido de una arroba, si se omite, se asumirá un valor por defecto (el usuario que se está empleando para ejecutar ssh). Por el contrario, los parámetros que no están entre corchetes son obligatorios, como sucede con el parámetro máquina.
La sintaxis todavía puede ser más elaborada, tal es el caso del siguiente ejemplo:scp [opciones] [[usuario@]máquina:]archivo ... [[usuario@]máquina:]archivo
Aquí podemos apreciar que hay corchetes dentro de parámetros que ya están entre corchetes, cuanto más internos sean los corchetes, más opcionales serán los parámetros, por ejemplo, podemos especificar el nombre de un archivo como "dir/arch.txt", lo cual asumirá que es un archivo en la máquina frente a la que estamos sentados, pero también podemos poner "equipo.remoto:dir/arch.txt", en este otro caso estamos indicando que el archivo se encuentra en el equipo con el nombre equipo.remoto, finalmente, podemos poner "manolo@equipo.remoto:dir/arch.txt", con esto especificamos que queremos acceder con el usuario manolo a la máquina con el nombre equipo.remoto y al archivo dir/arch.txt. De está sintaxis sólo queda destacar que los puntos suspensivos quieren decir que el parámetro que les precede se puede repetir tantas veces como sea necesario, en este caso concreto, significa que podemos especificar varios archivos

Arp

2008-04-28T12:42:00.000-07:00

Muestra y modifica entradas en la caché de Protocolo de resolución de direcciones (ARP), que contiene una o varias tablas utilizadas para almacenar direcciones IP y sus direcciones físicas Ethernet o Token Ring resueltas. Existe una tabla independiente para cada adaptador de red Ethernet o Token Ring instalados en el equipo. Si no se utilizan parámetros, el comando arp muestra Ayuda.

Parámetros

-a [ direcciónDeInternet] [ -NdirecciónDeInterfaz] Muestra las tablas de caché ARP actuales de todas las interfaces. Para mostrar la entrada de la caché ARP para una dirección IP específica, utilice arp -a con el parámetro direcciónDeInternet, donde direcciónDeInternet es una dirección IP. Si no se especifica direcciónDeInternet, se utiliza la primera interfaz aplicable. Para mostrar la tabla de la caché ARP de una interfaz específica, utilice el parámetro -NdirecciónDeInterfaz en combinación con el parámetro -a, donde direcciónDeInterfaz es la dirección IP asignada a la interfaz. El parámetro -N distingue entre mayúsculas y minúsculas.

-g[ direcciónDeInternet] [ -NdirecciónDeInterfaz]
Igual que -a.

-d direcciónDeInternet [direcciónDeInterfaz] Elimina una entrada con una dirección IP específica, donde direcciónDeInternet es la dirección IP. Para eliminar una entrada de una tabla para una interfaz específica, utilice el parámetro direcciónDeInterfaz, donde direcciónDeInterfaz es la dirección IP asignada a la interfaz. Para eliminar todas las entradas, utilice el carácter comodín asterisco (*) en lugar de direcciónDeInternet

-s direcciónDeInternet [direcciónDeInterfaz]
Agrega una entrada estática a la caché ARP que resuelve la dirección IP direcciónDeInternet en la dirección física direcciónEthernet. Para agregar una entrada de la caché ARP para una interfaz específica, utilice el parámetro direcciónDeInterfaz, donde direcciónDeInterfaz es la dirección IP asignada a la interfaz.

/?
Muestra Ayuda en el símbolo del sistema.

Telnet:

2008-04-28T12:40:00.001-07:00

Telnet es una aplicación que permite desde nuestro sitio y con el teclado y la pantalla de nuestra computadora, conectarnos a otra remota a través de la red. Lo importante, es que la conexión puede establecerse tanto con una máquina multiusuario que está en nuestra misma habitación o al otro lado del mundo.-o:
Establecer una conexión de Telnet con un equipo host o un servidor remoto. Puede usar el comando completo, open, o abreviarlo a simplemente la o. Por ejemplo, o redmond 44 conectará su equipo a un equipo denominado redmond a través del puerto 44.
-c
Cerrar una conexión de Telnet existente. Se puede combinar con un nombre de host y un número de puerto. Por ejemplo, c redmond 44 cierra la conexión al servidor remoto redmond en el puerto 44.
-display
Ver la configuración actual del cliente Telnet.
Escriba display para ver una lista de los parámetros operativos actuales. Si se encuentra en una sesión de Telnet (es decir, está conectado a un servidor Telnet) y desea modificar los parámetros, presione CTRL+] para abandonar la sesión de Telnet. Para regresar a la sesión de Telnet, presione ENTRAR. Los parámetros operativos disponibles son:
•
WILL AUTH
•
WONT AUTH
•
WILL TERM TYPE
•
WONT TERM TYPE
•
LOCALECHO off
•
LOCALECHO on
-q
Salir de Telnet.
Set
Establecer el tipo de terminal para la conexión, activar el eco local, establecer la autenticación en NTLM, establecer el carácter de escape y configurar el registro.
Unset:
Desactivar eco local o establecer autenticación para la solicitud de inicio de sesión o contraseña
?/help:Ver la información de Ayuda.

Ipconfig:

2008-04-28T12:37:00.000-07:00

Muestra los valores actuales de la configuración de la red TCP/IP y actualiza la configuración de DHCP (Protocolo de configuración dinámica de host) y DNS (Sistema de nombres de dominio). Si se utiliza sin parámetros, ipconfig muestra las direcciones IPv6 o la dirección IPv4, la máscara de subred y la puerta de enlace predeterminada de todos los adaptadores.
Parámetros:/all
Muestra la configuración de TCP/IP completa de todos los adaptadores. Sin este parámetro, ipconfig sólo muestra los valores de las direcciones IPv6 o de la dirección IPv4, de la máscara de subred y de la puerta de enlace predeterminada de cada adaptador. Los adaptadores pueden representar a interfaces físicas, como los adaptadores de red instalados, o interfaces lógicas, como las conexiones de acceso telefónico a redes./renew [adaptador]
Renueva la configuración de DHCP de todos los adaptadores (si no se especificó un adaptador) o de un adaptador específico, si se incluyó el parámetro adaptador. Este parámetro sólo está disponible en equipos que dispone de adaptadores configurados para obtener una dirección IP automáticamente. Para especificar un nombre de adaptador, escriba el que aparece cuando se utiliza ipconfig sin parámetros.
/release [adaptador]
Envía el mensaje DHCPRELEASE al servidor DHCP para liberar la configuración actual de DHCP y descartar la configuración de dirección IP para todos los adaptadores (si no se especificó un adaptador) o para un adaptador específico si se incluyó el parámetro adaptador. Este parámetro deshabilita TCP/IP para los adaptadores configurados para obtener una dirección IP automáticamente. Para especificar un nombre de adaptador, escriba el que aparece cuando se utiliza ipconfig sin parámetros.
/flushdns
Vacía y restablece el contenido del servicio de resolución de la caché de clientes DNS. Durante la solución de problemas de DNS, puede utilizar este procedimiento para descartar entradas de resultados negativos en la caché y otras entradas agregadas dinámicamente.
/displaydns
Muestra el contenido del servicio de resolución de la caché del cliente DNS, que incluye las entradas cargadas previamente desde el archivo Hosts local y los registros de recursos que se hayan obtenido recientemente para consultas de nombre resueltas por el equipo. El servicio Cliente DNS utiliza esta información para resolver rápidamente los nombres consultados frecuentemente, antes de consultar a sus servidores DNS configurados.
/registerdns
Inicia el registro dinámico manual de los nombres DNS y direcciones IP configurados en un equipo. Puede usar este parámetro para solucionar problemas en el registro de nombres DNS o para resolver un problema de actualización dinámica entre un cliente y un servidor DNS sin tener que reiniciar el cliente. La configuración de DNS de las propiedades avanzadas del protocolo TCP/IP determina qué nombres se registran en DNS.
/showclassid adaptador
Muestra el Id. de clase de DHCP del adaptador especificado. Para ver el Id. de clase de DHCP de todos los adaptadores, use el carácter comodín asterisco (*) en lugar de adaptador. Este parámetro sólo está disponible en equipos que disponen de adaptadores configurados para obtener una dirección IP automáticamente.
/setclassid adaptador [idDeClase]
Configura el Id. de clase de DHCP del adaptador especificado. Para establecer el Id. de clase de DHCP de todos los adaptadores, use el carácter comodín asterisco (*) en lugar de adaptador. Este parámetro sólo está disponible en equipos que disponen de adaptadores configurados para obtener una dirección IP automáticamente. Si no se especifica un Id. de clase de DHCP, se quita el Id. de clase actual.
/?
Muestra Ayuda en el símbolo del sistema.

Netstat:

2008-04-28T12:25:00.001-07:00

Muestra las conexiones de TCP activas, los puertos en que el equipo escucha, las estadísticas de Ethernet, la tabla de enrutamiento IP, las estadísticas de IPv4 (para los protocolos IP, ICMP, TCP y UDP) y las estadísticas de IPv6 (para los protocolos IPv6, ICMPv6, TCP sobre IPv6 y UDP sobre IPv6). Cuando se utiliza sin parámetros, netstat muestra las conexiones de TCP activas. ESTABLISHED El socket tiene una conexión establecida
SYN_SENT El socket está intentando iniciar una conexión
SYN_RECV Una petición de conexión fue recibida por la red
FIN_WAIT1 El socket está cerrado, y la conexión esta finalizándose
FIN_WAIT2 La conexión esta cerrada, y el socket está esperando que finalice la conexión remota
TIME_WAIT El socket está esperando después de cerrarse que concluyan los paquetes que siguen en la red
CLOSED El socket no está siendo usado
CLOSE_WAIT La conexión remota ha finalizado, y se espera que se cierre el socket
LAST_ACK La conexión remota ha finalizado, y se espera que se cierre el socket. Esperando el acknowledgement.
LISTEN El socket está esperando posibles conexiones entrantes
CLOSING Ambos sockets han finalizado pero aun no fueron enviados todos los datos
UNKNOWN El estado del socket no se conoce

Parámetros:
-a
Muestra todas las conexiones de TCP activas y los puertos TCP y UDP en que el equipo está escuchando.

-e
Muestra las estadísticas Ethernet, tales como el número de bytes y paquetes enviados y recibidos. Este parámetro se puede combinar con -s.

-n
Muestra las conexiones de TCP activas, aunque las direcciones y los números de puerto se expresan numéricamente y no se intenta determinar los nombres.

-o
Muestra las conexiones de TCP activas e incluye el Id. de proceso (PID) de cada conexión. Puede encontrar la aplicación basándose en el PID de la ficha Procesos del Administrador de tareas de Windows. Este parámetro se puede combinar con -a, -n y -p.

-p protocoloMuestra las conexiones del protocolo especificado en protocolo. En este caso, el protocolo puede ser tcp, udp, tcpv6 o udpv6. Si este parámetro se utiliza con -s para mostrar las estadísticas por protocolo, el protocolo puede ser tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 o ipv6

-r Muestra el contenido de la tabla de enrutamiento IP. Es equivalente al comando route print.

/?
Muestra la Ayuda en el símbolo del sistema.

Nslookup:

2008-04-28T12:23:00.000-07:00

Muestra información que puede usar para diagnosticar la infraestructura de DNS (Sistema de nombres de dominio). Para utilizar esta herramienta, debería familiarizarse con el funcionamiento de DNS. El comando Nslookup sólo está disponible si se ha instalado el protocolo TCP/IP.
Parámetros
-subComando...
Especifica uno o varios comandos de nslookup como una opción de la línea de comandos. Para obtener la lista de subcomandos.

-equipoBuscado
Busca información del equipoBuscado utilizando el servidor de nombres DNS predeterminado actualmente, si no se especifica otro servidor. Para buscar un equipo fuera del dominio DNS actual, anexe un punto al nombre.

-servidor
Especifica que este servidor se utilice como servidor de nombres DNS. Si omite -servidor, se usará el servidor de nombres DNS predeterminado.

{ Help ?}
Muestra un breve resumen de los subcomandos de nslookup

TRACERT

2008-04-28T12:12:00.001-07:00

Determina la ruta tomada hacia un destino mediante el envío de mensajes ICMPv6 o de petición de eco del Protocolo de mensajes de control de Internet (ICMP) al destino con valores de campo de tiempo de vida (TTL, Time to Live) que crecen de forma gradual. La ruta mostrada es la lista de interfaces de enrutador casi al lado de los enrutadores en la ruta entre el host de origen y un destino. La interfaz casi al lado es la interfaz del enrutador que se encuentra más cercano al host emisor en la ruta. Cuando se utiliza sin parámetros, el comando Tracert muestra Ayuda.Parámetros:
-d
Impide que Tracert intente resolver las direcciones IP de los enrutadores intermedios en sus nombres. Esto puede acelerar la presentación de resultados de tracert.

-h saltosMáximos
Especifica el número máximo de saltos en la ruta para buscar el destino. El valor predeterminado es 30 saltos.

-w tiempoDeEspera
Especifica la cantidad de tiempo, en milisegundos, que se espera a que se reciba el mensaje de tiempo excedido de ICMP o de respuesta de eco correspondiente a un mensaje de petición de eco dado. Si no se recibe dentro del período de tiempo de espera, se muestra un asterisco (*). El tiempo de espera predeterminado es 4000 (4 segundos).

-?
Muestra la Ayuda en el símbolo del sistema.

PING

2008-04-28T11:46:00.000-07:00

Comprueba la conectividad de nivel IP en otro equipo TCP/IP al enviar mensajes de solicitud de eco de ICMP (Protocolo de mensajes de control Internet). Se muestra la recepción de los mensajes de solicitudes de eco correspondientes, junto con sus tiempos de ida y vueltas. Ping es el principal comando de TCP/IP que se utiliza para solucionar problemas de conectividad, accesibilidad y resolución de nombres. Cuando se usa sin parámetros, ping muestra ayuda. Parámetros:
-t
Especifica que ping continuará enviando mensajes de solicitud de eco al destino hasta que se le interrumpa. Para interrumpir y mostrar las estadísticas, presione CTRL+INTERRUMPIR. Para interrumpir y salir de ping, presione CTRL+C.
-a
Especifica que la resolución de nombres inversa se realiza en la dirección IP de destino. Si es correcto, ping muestra el nombre de host correspondiente.

-n recuentoEspecifica el número de mensajes de solicitud de eco enviados. El valor predeterminado es 4.

-l tamaño
Especifica la longitud, en bytes, del campo Datos del mensaje de solicitud de eco enviado. El valor predeterminado es 32. El tamaño máximo es 65.527.l tamaño
Especifica la longitud, en bytes, del campo Datos del mensaje de solicitud de eco enviado. El valor predeterminado es 32. El tamaño máximo es 65.527.-i TTL
Especifica el valor del campo TTL del encabezado IP del mensaje de solicitud de eco enviado. El valor predeterminado es el valor de TTL predeterminado del host. El valor máximo de TTL es 255.

-i TTL
Especifica el valor del campo TTL del encabezado IP del mensaje de solicitud de eco enviado. El valor predeterminado es el valor de TTL predeterminado del host. El valor máximo de TTL es 255.

-v TOS
Especifica el valor del campo Tipo de servicio (TOS) del encabezado IP del mensaje de solicitud de eco enviado (disponible en IPv4 solamente). El valor predeterminado es 0. TOS se especifica como un valor decimal que oscila entre 0 y 255.

-s RecuentoEspecifica que la opción Fecha Internet del encabezado IP se utiliza para registrar la hora de llegada del mensaje de solicitud de eco y el mensaje correspondiente de respuesta de eco para cada salto. El valor de recuento debe ser como mínimo 1 y como máximo 4. Es necesario para las direcciones de destino locales del vínculo.

-w tiempoDeEspera
Especifica el período de tiempo, en milisegundos, que se esperará a recibir el mensaje de respuesta de eco que corresponde a un mensaje de solicitud de eco. Si no se recibe el mensaje de respuesta de eco en el tiempo de espera, se muestra el mensaje de error "Tiempo de espera agotado para esta solicitud". El tiempo de espera predeterminado es 4000 (4 segundos).

NombreDestino
Especifica el nombre o la dirección IP del host de destino.
/?
Muestra Ayuda en el símbolo del sistema.

SIMULACIONES DE REDES

2008-04-28T11:45:00.000-07:00

La simulación es aquella donde se puede representar tares específicos en un campo virtual antes de hacerlo en la realidad, par ello existen diversos programas como lo es Packet Tracer que es el que utilizaremos en esta ocasión.PACKET TRACERPacket Tracer 4.1 es la siguiente versión importante de la herramienta de aprendizaje y simulación de redes interactiva para los instructores y alumnos de Cisco CCNA. Esta herramienta les permite a los usuarios crear topologías de red, configurar dispositivos, insertar paquetes y simular una red con múltiples representaciones visuales. Esta versión de Packet Tracer se enfoca en apoyar mejor los protocolos de redes que se enseñan en el currículum de CCNA.Packet Tracer 4.1 es una mejora al producto independiente actual PT4.0. Amplía las características que existen en PT4.0. Este producto tiene el propósito de ser usado como un producto educativo que brinda exposición a la interfaz comando – línea de los dispositivos de Cisco para practicar y aprender por descubrimiento. PT4.1 también mejora los componentes de visualización de PT4.0 y facilita a los instructores hacer sus presentaciones y a los estudiantes comprender el funcionamiento interno y las interacciones del equipo de redes para transferir datos y apoyar comunicaciones.

2.RECUPERAR CONTRASEÑA:

2008-04-28T11:35:00.000-07:00

Los router por defecto siempre guardan su configuración en archivo llamado “startup-config”.
Para recuperar la contraseña primero configuramos el router si no tiene una configuración (lo mas principal de la configuración para esta simulación es el “password”), se reinicia en el proceso que tarda el router en reiniciar le aplicamos las teclas ctrl + inter esto le indica al router iniciar en modo rojo que es por la única parte que se puede recuperar la contraseña (ramnon # >); al estar en este modo digitaremos el comando “confreg 0x2142” y se reinicia con el comando “reset”,
Nota: el número cuatro le indica al router que inicien sin tomar en cuenta la configuración.Cuando reinicie le ingresamos el comando “enable” para ingresar al modo de usuario allí damos el comando “copy start run” que nos permite copiar la configuración que esta grabada y así al ingresar el comando “sh run” y nos muestra la configuración incluyendo el password.
Para cambiar la clave entramos al modo de configuración “conf t” y digitamos el comando “enable password o enable secret” (esto varia dependiendo el router e incluso hay unos que permiten los dos); luego con el comando “config.-register 0x2102” (el cero le indica al router que al iniciar tome en cuenta la configuración) esto es para que el router tome la configuración, nos salimos “exit” y guardamos “wr” y así hemos logrado la recuperación de la contraseña para comprobar lo reiniciamos con el comando “reload” y al intentar ingresar al modo usuario el nos pide el password.
En la siguiente imagen se muestra un ejemplo de una configuración a la cual es la que le recuperaremos la contraseña:

En la siguiente imagen se muestra cuando entramos a modo rojo:

Y en la siguiente imagen se muestra el demás procedimiento para llevar a cabo la recuperación de contraseña:

Si todo lo anterior esta correcto al guardar, salirnos y volver a iniciar el router nos debe de pedir el password nuevo (el password aparentemente es invisible) esto se mostrar en la siguiente imagen:

1.CONFIGURACION DEL ROUTER:

2008-04-28T11:08:00.002-07:00

Nuestra simulación se trata de una red con dirección ip 192.168.24.0 con mascara 255.255.255.224/27 que se compone de 5 subredes, donde la LANs 2, 3, 4 y 5 estas interconectadas con switchs y la LAN 1 por medio de un Hub, estos equipos activos están interconectados por medio de 3 routers, el cual cada uno representa una ciudad (Bogotá, Medellín y Cali).
Nuestro objetivo hacer por medio de subneting las ID de cada subred y de cada equipo, configurar los router para permitir el funcionamiento de la red, es decir, lograr que cada LAN se comuniquen.
En la siguiente figura se presenta el diseño de la red sin ninguna configuración:

Configuración de los routers:

La configuración del router se hace mediante comando los cuales se explicaran a continuación:
ENABLE: se utiliza para pasar al modo usuario.
CONF T: se utiliza para entrar al modo de configuración del router.
HOSTNAME: se utiliza para cambiar el nombre del router en el modo de configuración.
SH RUN: se utiliza para ver la configuración general del router en modo de usuario.
SH INT: ver las interfaces en modo de usuario.
SH IP INT BRIEF: para ver la información de las interfaces de forma abreviada en modo de usuario.
EXIT: se utiliza para salir
WR: se utiliza para grabar en modo de usuario.
INT (se coloca la interfaz ejm: f0/0): se utiliza para configurar cada una de las interfaces del router este en modo de configuración.
IP ADDRESS (dirección ip) (mascara de subred): aquí se asignan la respectiva configuración de las interfaces de los router en modo de configuración interfaz.
NO SHUTDOWN: para prender la interfaz en modo de configuración interfaz.
SHUTDOWN: para apagar la interfaz en modo de configuración interfaz.
CLOCK RATE (velocidad): se utiliza para poner el reloj en el router (DCE) que permite la sincronización de la comunicación de los router, se lleva a cabo modo de configuración interfaz.
SH IP ROUTE: se utiliza par ver como esta la tabla de configuración del router.
IP ROUTE (dirección ip) (mascara de subred) (serial): es para realizar la tabla de enrutamiento solo cuando son direcciones estáticas se lleva a cabo en modo de configuración.
En la siguiente imagen se muestra gran parte de los comandos mencionados anteriormente de forma resumida:

A continuación se presentara la configuración de las interfaces y la tabla de enrutamiento de los diferentes router por cada cuidad

Router Bogotá:

Router Medellín:

Router Cali:

Ahora le tenemos que configurar las respectivas ip a cada estación de trabajo para podré lograr su comunicación; allí se configura la ip, la mascara y Gateway. En siguiente imagen se muestra la ventana de uno de los PC puesto que para cada uno es igual lo que cambian son sus datos:

Al terminar de las respectivas direcciones ip a cada estación de trabajo, para comprobar que la red funciona mandaremos pings a diferentes estaciones de trabajo de diferentes subredes.
En la siguiente imagen se muestra la ventada de donde se puede hacer el ping esta también es igual para cada estación de trabajo:

En la siguiente imagen se muestra el funcionamiento de la red cuando enviamos información a través de la misma logrando así nuestro objetivo:

INSTALCION Y CONFIGURACION DEL VNC

2008-04-28T10:55:00.000-07:00

INSTALCION Y CONFIGURACION DEL VNC

En la web del producto podemos descargar una copia. Rellenar el formulario es opcional aunque recomendable. Como toda aplicación de control remoto, RealVNC tiene dos componentes: el servidor (que se instala en el equipo controlado) y el cliente (que se usa en el equipo que va a controlar). La descarga denominada VNC Free Edition for Windows contiene tanto el servidor como el cliente. Para bajar sólo este último, podemos escoger directamente VNC Free Edition Viewer for Windows.
Casi al final de la copia de archivos en el disco duro, aparecerá un menú como éste:

Debemos pulsar el botón Configure y escribir dos veces la contraseña con la que accederemos desde el exterior. Debido a que nuestro PC servidor quedará a disposición de quien logre el acceso, esta contraseña ha de ser muy sólida. Es recomendable que tenga al menos ocho caracteres (cuantos más, mejor) y que combine mayúsculas, minúsculas, números y símbolos, de forma aleatoria. Usar palabras de diccionario, en cualquier idioma, es equivalente a abrir las puertas de nuestro ordenador a media Internet.
Configuración del servidor
Si lo estamos ejecutando en un Windows 2000/XP/2003/posterior, es recomendable usar el Service Mode (modo servicio). En el menú Inicio > Programas/Todos los programas > RealVNC > VNC Server 4 (Service Mode) encontraremos cinco opciones:
Register y Unregister sirven para añadir o eliminar RealVNC de la lista de servicios en Panel de Control > Herramientas Administrativas > Servicios. Habitualmente no tendremos que tocarlas para nada.
Start y Stop sirven para arrancar o detener el servicio. Esto también lo podemos hacer desde Herramientas Administrativas.
Por último, con Configure podremos modificar las opciones.
Escogiendo esta última opción, nos encontraremos con un menú familiar: es el mismo que ha aparecido en la instalación. Si no queremos complicarnos mucho la vida, lo único que tenemos que modificar aquí es lo siguiente: en la pestaña Authentication, desmarcar la casilla Prompt local user to accept connections y aceptar para salir del menú. Con esto ya podremos pasar directamente a la configuración del cliente.
Si queremos deternernos un poco más a configurar el servidor, las opciones significativas son:

DESKTOP: aquí podemos desactivar algunos adornos del sistema operativo controlado con el fin de mejorar el rendimiento del control remoto, si tanto las limitaciones en la potencia de los equipos como la capacidad de nuestra conexión pueden ralentizarlo. Con Remove wallpaper y Remove background pattern desactivaremos respectivamente la imagen y el fondo del escritorio de Windows; mientras que con Disable user interface effects eliminaremos efectos como el que desaparezcan los menús "difuminándose" y pijadas similares.

AUTHENTICATION: es la pestaña donde anteriormente hemos introducido la contraseña. Aquí nos encontramos con otra importante opción: Prompt local user to accept connections. De forma predeterminada está marcada, lo que implica que toda conexión externa ha de ser autorizada por alguien que esté sentado frente al PC servidor. Obviamente, si vamos a conectarnos a nuestro propio ordenador mientras estamos fuera, hay que desmarcar esta opción.

CONNECTIONS: en esta sección, apartado Accept connections on port, podemos cambiar el puerto por el que escucha el servidor. Inicialmente lo hace por el 5900 (TCP), pero es recomendable cambiarlo por razones de seguridad. Cualquier puerto desde el 1024 hasta el 65535. Debería servir. Nota: es importante recordar que el cliente está preconfigurado para usar ese puerto 5900; si lo cambiamos, debemos tenerlo en cuenta cuando nos conectemos a distancia.
Disconnect idle clientes after (seconds) desconectará todos los clientes transcurrido el tiempo en segundos que indiquemos. No es mala política de seguridad configurarlo a una cifra menor de la hora (3600 segundos) a la que inicialmente está puesto.
Por último, si no vamos a usar el cliente en Java, podemos desconectar la casilla Server Java viewer via HTTP on port y cerrar así otra puerta.
La sección Access Control es muy interesante: nos da la posibilidad de filtrar las conexiones entrantes por IPs, aumentando así la seguridad al aceptar sólo determinados accesos. Por ejemplo, imaginemos que la IP estática de nuestra oficina es 80.80.80.80 y queremos conectarnos desde allí a nuestra casa, donde tenemos el servidor. Los pasos a seguir serían los siguientes:
Se selecciona la crucecita del listado y pulsmis el boton Remover. Esta regla inicial autoriza el acceso a todo el mundo (que sepa la contraseña), y no queremos tal cosa.
Una vez vacio el listado y pulsamos el boton Add. Aoarecera un menu con tres opciones y una casilla. en esta introducimos la ip y la opcion que debemos seleccionar es Allow (autorizar) y se da aceptar.
Las otras opciones son Deny (rechazar) y Query (preguntar primero). Esta última puede ser útil en el caso de que, por ejemplo, algún amigo informático nos esté echando una mano con el PC, pero no queramos dejarle acceso permanente. Cada vez que quiera conectarse, deberá obtener primero nuestra autorización. Las IPs en modo Query se añaden con un símbolo de interrogación (?) al listado, mientras que las Deny lo hacen con un menos (-). Todas las IPs que no coincidan con alguna del listado se rechazarán.
Nota: para volver a dejar paso a todo el mundo, como estaba al principio, borraremos todas las reglas existentes y añadiremos la siguiente: 0.0.0.0 Allow.Con esto ya tendremos nuestro servidor listo para aceptar órdenes desde el exterior.
Configuración del cliente
Una vez instalado, lo arrancaremos desde Inicio > Programas/Todos los programas > RealVNC > VNC Viewer 4 > Run VNC Viewer.

VNC

2008-04-28T10:48:00.001-07:00

VNC

VNC son las siglas en inglés de Virtual Network Computing (Computación en Red Virtual). Es un software libre basado en cliente -servicio el cual nos permite tomar el control de otros ordenado y no es necesario de que sea del servidor sino que se puede hacer desde un cliente; se conoce tambien como software de escritorio. VNC permite que el sistema operativo en cada computadora sea distinto. La versión original del VNC se desarrolló en Reino Unido concretamente en los laboratorios AT&T, en Cambridge. El programa era de codigo abierto por lo que cualquiera podía modificarlo y existen hoy en día varios programas para el mismo uso.El programa servidor suele tener la opción de funcionar como servidor HTTP para mostrar la pantalla compartida en un navegador con soporte de Java. En este caso el usuario remoto (cliente) no tiene que instalar un programa cliente de VNC, éste es descargado por el navegador automáticamente