Buscar información sobre redes

Redes de computadoras - Google Noticias

Router OS Vyatta

Pregunta

Alguien tuvo alguna experiencia con el router vyatta, que opinan al respecto de este producto, aguardo comentarios estoy con ganas de implementarlo ya que trae una iso optimizada para vitalización.


Respuesta

Hace algunos meses durante un curso que tomé, conoci los router
vyatta, estuvimos probando puntualmente su funcionalidad en redes ipv6 y por lo que pude experimentar son estables y funcionan bien. Al  principio puede ser un poco enredado adaptarse a los comandos pero todo es cuestion de practica.
Antes de implemetarlo de lleno en tu red, te recomendaria hacerlo
primero en un pequeño ambiente de prueba, ya que hay algunos
protocolos o funcionalidades que no existen o estan restringidas. En el sitio web de vyatta hay bastante documentación en donde se explica lo que puede hacer y como hacerlo, asi que puedes consultar ahi antes de hacer tu implementación final.


HUXSSWGYN9K4

Asignar direcciones IP por aplicación

Pregunta

de repente alguno puede auxiliarme, tengo un pool de direcciones IP y necesito asignar direcciones IP pero no por dirección MAC, sino por aplicación. Alguna idea válida para windows y unix? Gracias!
 


Solicitud de aclaración a la pregunta

Disculpame, podrias ser más claro en cuanto a qué te referis en asignar la MAC por aplicación?

respuesta a la aclaración de la pregunta

Se refiere a no tener que hacer reservas en el DHCP….supongo que es por eso…
  
Respuesta

Pienso que se podria crear VLANs para cada tipo de aplicacion que desees y luego usar un DHCP para atender a cada VLAN...

Otra respuesta

El ruteo estatico se programa en el router que escojas ya sea una maquina linux (modificando la tabla de rutas para lo cual usas el comando route) o un equipo cisco (definiendo con ip route las rutas que deseas alcanzar), sin embargo creo que por ahi no va la pregunta, adelantandome un poco puedo adivinar que lo que necesitas es que un usuario que use un programa especifico entre a una VLAN determinada para compartir recursos con el resto de usuarios. Bueno lo que yo te sugeria es que organices tu red de forma que separes a todos los usuarios que usen esa aplicacion en una VLAN especifica, es decir asignar fisicamente puertos de tu switch a esa VLAN a la que los usuarios se conectarian de forma fisica.
Si quieres algo mas dinamico como que un usuario se conecte a cualquier puerto de tu switch y entre a una VLAN segun el software que utilice... lo veo un poco dificil ya que tendrias que crear un programa especial que se conecte con tu switch (me imagino a nivel de protocolo de capa 2 y le cambie de manera dinamica la VLAN a la que se esta conectado el usuario y eso hasta donde sé, es mas un tema de investigacion que de implementacion inmediata
no todas las vlan son end-to-end...

acá si creo que no puede ser extremadamente complejo, partiendo del hecho de que los servicios de VoIP utilizan ese esquema, etiquetan su tráfico de manera tal que los puertos de acceso pueden diferenciar tráfico de VLAN estática y de vlan por default, cierto?

Pero si, todo parte del etiquetado del tráfico de las aplicaciones que se precisa reconocer.


Wireshark - Seguridad en redes

Pregunta

Dentro de la red del trabajo, en la vlan de invitados ultimamente hemos tenido visitas que le gusta pasar su tiempo viendo a los demas........y me di cuenta que usa el wireshark como herramienta...........
Conocen alguna herramienta que bloquee el wireshark,?

Me di cuenta una vez que pase por detras de el y vi en la pantalla la interfaz del wireshark y se puso nervioso........
cuento con un switch administrable cisco cat500 y en la vlan de invitados no tienen muchos permisos, solo a paginas coorporativas, pero de todas maneras me gustaria saber algo asi en contra ya que en la empresa se realizan trasferencias a diferentes pagos bancarios y pues no me gustaria ser tambien responsable si algo llegase a pasar.
por eso es mi principal duda, si existe alguna aplicacion que evite el uso del wireshark, o algun comando en equipos cisco que evite el tipo de ataques del wireshark

Respuesta

Si no me equivoco, wireshark necesita winpcap para poder funcionar, para empezar mira en Agregar o quitar programas a ver si lo tienes instalado (creo que también circula por ahí una versión portable). Esto suponiendo que tengas control sobre el ordenador "espía", de otro modo no creo que puedas evitar que ese ordenador analice el tráfico que le llega a su interfaz de red, así que tendrías que intentar detectar y bloquear la conexión.


Otra respuesta

Como te diste cuenta que estan usando el wireshark y que es lo que hacen?. 
A que te referis con bloquear el wireshark?, el wireshark es simplemente un programa que escucha el trafico que pasa por la boca del switch donde esta conectado. Si tu red esta bien armada, es switcheada y robusta, con el wireshark no podes hacer mucho. Pero si la persona tiene acceso a los switches en donde pueda replicar puertos, o si los switches son malos y los podes saturar con facilidad, ahi la cosa cambia. 
Como es tu estructura de red y que es lo que necesitas hacer?
La vlan de invitados es para invitados y cada uno se conecta bajo su responsablidad, el que se conecta tiene que saber que es como estar directamente en internet y por lo tanto deberia tomar todos los recaudos posibles, por lo menos a mi me gusta verlo asi. 
Mi vlan de invitados tambien me trae dolores de cabeza por lo que la fui recortando cada vez mas en cuanto a lo que pueden hacer los clientes ahi, al fin termina siendo una vlan que nadie quiere usar y yo feliz jeje. 


y otra respuesta más

Deberias probar con Un firewall Mikrotik, y filtrarlo por Capa 7. Hay reglas que miran el source, miran el paquete, y lo marcan por aplicacion, y despues le decis, si lo dropeas o lo aceptas


y más una respuesta

Bueno, aca el punto es que el wireshark, si está instalado en una máquina que está conectada a un puerto no espejeado, entonces no puede obtener mucha información, excepto la que se presente por broadcast y la relacionada con el tráfico que la misma máquina genere. Si la persona que estaba divirtiendose con el analizadoir no tiene acceso a la configuración del switch, entonces no pudo espejear los puertos y tampoco tiene acceso a información relevante.

lo que puedes hacer, para elevar tu nivel de tranquilidad, es bloquear la posibilidad de que desde la vlan de invitados se tenga acceso a toda la red; supongo que esas transferencias de las que hablas no se realizan desde la vlan de invitados... o si??

y siguen las respuestas

el wireshark es un sniffer por lo que no se usa mas que para ver el trafico en la red. Para realizar ataques, se usa un sniffer para ver la red y otros programas para atacarla.
En cuanto a limitar el wireshark, no es algo que puedas limitar porque es algo pasivo dentro de la red, no hace mas que escuchar lo que recibe la placa de red. Lo que si tenes que limitar es el resto de los programas que se usan para atacar la red pero tenes que conocerlos.
En cuanto a querer mejorar la seguridad de tu red me parece muy buena idea y busca en la pagina de cisco como hacerlo, se llama hardening.
El trafico contra bancos esta todo encriptado por lo que no es facil de hacer algo y tenes que tenerla muy clara como para si quiera intentar hacer algo, si esta persona dejo que alguien lo viera simplemente snifeando la red, no creo que la tenga muy clara. Lo que si te puede molestar es haciendo otras cosas contra maquinas o sistemas de tu red y ahi es donde entra cuan bien tengas configuradas tus cosas. Algo que tenes que tener bien configurado es tu vlan de invitados, esta realmente separada de tu red?
Vas a tener que leer bastante sobre el tema seguridad para poder comprender como frenar los ataques, es un mundo muy interesante.
  
Y otra  respuesta mas

Ya que cuentas con un Switch Administrable CISCO, lo primero es como dicen los listeros separar las VLANs de forma que no se tenga acceso fisico a ningun lado de la intranet y ademas implementar seguridad de puerto a tus conexiones de VLAN de invitados que es algo fundamental. Entiendo que si usas un switch como punto de entrada entonces con el wireshark solo se podran ver los paquetes entre el host origen y destino, asi que tu atacante tendria que hacerse pasar como gateway de tu red para engañar a los host y ver los paquetes de los demas equipos y eso es con otro tipo de software. 

Y la última respuesta

La otra forma es que  el atacante inunde tu switch con ARP Request y el swich
al tener tanta data pase del modo de operacion de switch a Hub. Con la consecuencia de que toda la info pase por todos los puertos.

Otra cosa a revisar es que la configuracion de los puertos por mas que esten en modo acceso, que no tengan el trunking seteado en negotiate o auto. Dado que si esta esta asi y el atacante envia una pdu requiriendo que el puerto se convierta en troncal estas en la misma.
 

Entradas populares

Ads by gets Your Guide