Pregunta
Alguien tuvo alguna experiencia con el router vyatta, que opinan al respecto de este producto, aguardo comentarios estoy con ganas de implementarlo ya que trae una iso optimizada para vitalización.
Respuesta
Hace algunos meses durante un curso que tomé, conoci los router
vyatta, estuvimos probando puntualmente su funcionalidad en redes ipv6 y por lo que pude experimentar son estables y funcionan bien. Al principio puede ser un poco enredado adaptarse a los comandos pero todo es cuestion de practica.
Antes de implemetarlo de lleno en tu red, te recomendaria hacerlo
primero en un pequeño ambiente de prueba, ya que hay algunos
protocolos o funcionalidades que no existen o estan restringidas. En el sitio web de vyatta hay bastante documentación en donde se explica lo que puede hacer y como hacerlo, asi que puedes consultar ahi antes de hacer tu implementación final.
HUXSSWGYN9K4
Blog basado en el foro “Estás preparado?” y autorizado por sus moderadores. Está destinado a quienes tienen conocimientos sobre redes y desean despejar dudas, muchas de las cuales pueden estar contestadas acá. Este blog está compuesto por una compilación de las mejores consultas con sus respectivas respuestas. Nuestra única fuente es el foro anteriormente mencionado y no nos hacemos responsables por las preguntas y respuestas compiladas ni por los enlaces que puedan figurar en las mismas.
Páginas
▼
Asignar direcciones IP por aplicación
Pregunta
de repente alguno puede auxiliarme, tengo un pool de direcciones IP y necesito asignar direcciones IP pero no por dirección MAC, sino por aplicación. Alguna idea válida para windows y unix? Gracias!
Solicitud de aclaración a la pregunta
respuesta a la aclaración de la pregunta
Se refiere a no tener que hacer reservas en el DHCP….supongo que es por eso…
Otra respuesta
Si quieres algo mas dinamico como que un usuario se conecte a cualquier puerto de tu switch y entre a una VLAN segun el software que utilice... lo veo un poco dificil ya que tendrias que crear un programa especial que se conecte con tu switch (me imagino a nivel de protocolo de capa 2 y le cambie de manera dinamica la VLAN a la que se esta conectado el usuario y eso hasta donde sé, es mas un tema de investigacion que de implementacion inmediata
de repente alguno puede auxiliarme, tengo un pool de direcciones IP y necesito asignar direcciones IP pero no por dirección MAC, sino por aplicación. Alguna idea válida para windows y unix? Gracias!
Solicitud de aclaración a la pregunta
Disculpame, podrias ser más claro en cuanto a qué te referis en asignar la MAC por aplicación?
respuesta a la aclaración de la pregunta
Se refiere a no tener que hacer reservas en el DHCP….supongo que es por eso…
Respuesta
Pienso que se podria crear VLANs para cada tipo de aplicacion que desees y luego usar un DHCP para atender a cada VLAN...
Otra respuesta
El ruteo estatico se programa en el router que escojas ya sea una maquina linux (modificando la tabla de rutas para lo cual usas el comando route) o un equipo cisco (definiendo con ip route las rutas que deseas alcanzar), sin embargo creo que por ahi no va la pregunta, adelantandome un poco puedo adivinar que lo que necesitas es que un usuario que use un programa especifico entre a una VLAN determinada para compartir recursos con el resto de usuarios. Bueno lo que yo te sugeria es que organices tu red de forma que separes a todos los usuarios que usen esa aplicacion en una VLAN especifica, es decir asignar fisicamente puertos de tu switch a esa VLAN a la que los usuarios se conectarian de forma fisica.
no todas las vlan son end-to-end...
acá si creo que no puede ser extremadamente complejo, partiendo del hecho de que los servicios de VoIP utilizan ese esquema, etiquetan su tráfico de manera tal que los puertos de acceso pueden diferenciar tráfico de VLAN estática y de vlan por default, cierto?
Pero si, todo parte del etiquetado del tráfico de las aplicaciones que se precisa reconocer.
Pero si, todo parte del etiquetado del tráfico de las aplicaciones que se precisa reconocer.
Wireshark - Seguridad en redes
Pregunta
Dentro de la red del trabajo, en la vlan de invitados ultimamente hemos tenido visitas que le gusta pasar su tiempo viendo a los demas........y me di cuenta que usa el wireshark como herramienta...........
Respuesta
Si no me equivoco, wireshark necesita winpcap para poder funcionar, para empezar mira en Agregar o quitar programas a ver si lo tienes instalado (creo que también circula por ahí una versión portable). Esto suponiendo que tengas control sobre el ordenador "espía", de otro modo no creo que puedas evitar que ese ordenador analice el tráfico que le llega a su interfaz de red, así que tendrías que intentar detectar y bloquear la conexión.
Otra respuesta
Dentro de la red del trabajo, en la vlan de invitados ultimamente hemos tenido visitas que le gusta pasar su tiempo viendo a los demas........y me di cuenta que usa el wireshark como herramienta...........
Conocen alguna herramienta que bloquee el wireshark,?
Me di cuenta una vez que pase por detras de el y vi en la pantalla la interfaz del wireshark y se puso nervioso........
cuento con un switch administrable cisco cat500 y en la vlan de invitados no tienen muchos permisos, solo a paginas coorporativas, pero de todas maneras me gustaria saber algo asi en contra ya que en la empresa se realizan trasferencias a diferentes pagos bancarios y pues no me gustaria ser tambien responsable si algo llegase a pasar.
por eso es mi principal duda, si existe alguna aplicacion que evite el uso del wireshark, o algun comando en equipos cisco que evite el tipo de ataques del wireshark
Respuesta
Si no me equivoco, wireshark necesita winpcap para poder funcionar, para empezar mira en Agregar o quitar programas a ver si lo tienes instalado (creo que también circula por ahí una versión portable). Esto suponiendo que tengas control sobre el ordenador "espía", de otro modo no creo que puedas evitar que ese ordenador analice el tráfico que le llega a su interfaz de red, así que tendrías que intentar detectar y bloquear la conexión.
Otra respuesta
Como te diste cuenta que estan usando el wireshark y que es lo que hacen?.
A que te referis con bloquear el wireshark?, el wireshark es simplemente un programa que escucha el trafico que pasa por la boca del switch donde esta conectado. Si tu red esta bien armada, es switcheada y robusta, con el wireshark no podes hacer mucho. Pero si la persona tiene acceso a los switches en donde pueda replicar puertos, o si los switches son malos y los podes saturar con facilidad, ahi la cosa cambia.
Como es tu estructura de red y que es lo que necesitas hacer?
La vlan de invitados es para invitados y cada uno se conecta bajo su responsablidad, el que se conecta tiene que saber que es como estar directamente en internet y por lo tanto deberia tomar todos los recaudos posibles, por lo menos a mi me gusta verlo asi.
Mi vlan de invitados tambien me trae dolores de cabeza por lo que la fui recortando cada vez mas en cuanto a lo que pueden hacer los clientes ahi, al fin termina siendo una vlan que nadie quiere usar y yo feliz jeje.
y otra respuesta más
Deberias probar con Un firewall Mikrotik, y filtrarlo por Capa 7. Hay reglas que miran el source, miran el paquete, y lo marcan por aplicacion, y despues le decis, si lo dropeas o lo aceptas
Y la última respuesta
La otra forma es que el atacante inunde tu switch con ARP Request y el swich
al tener tanta data pase del modo de operacion de switch a Hub. Con la consecuencia de que toda la info pase por todos los puertos.
Otra cosa a revisar es que la configuracion de los puertos por mas que esten en modo acceso, que no tengan el trunking seteado en negotiate o auto. Dado que si esta esta asi y el atacante envia una pdu requiriendo que el puerto se convierta en troncal estas en la misma.
A que te referis con bloquear el wireshark?, el wireshark es simplemente un programa que escucha el trafico que pasa por la boca del switch donde esta conectado. Si tu red esta bien armada, es switcheada y robusta, con el wireshark no podes hacer mucho. Pero si la persona tiene acceso a los switches en donde pueda replicar puertos, o si los switches son malos y los podes saturar con facilidad, ahi la cosa cambia.
Como es tu estructura de red y que es lo que necesitas hacer?
La vlan de invitados es para invitados y cada uno se conecta bajo su responsablidad, el que se conecta tiene que saber que es como estar directamente en internet y por lo tanto deberia tomar todos los recaudos posibles, por lo menos a mi me gusta verlo asi.
Mi vlan de invitados tambien me trae dolores de cabeza por lo que la fui recortando cada vez mas en cuanto a lo que pueden hacer los clientes ahi, al fin termina siendo una vlan que nadie quiere usar y yo feliz jeje.
y otra respuesta más
Deberias probar con Un firewall Mikrotik, y filtrarlo por Capa 7. Hay reglas que miran el source, miran el paquete, y lo marcan por aplicacion, y despues le decis, si lo dropeas o lo aceptas
y más una respuesta
Bueno, aca el punto es que el wireshark, si está instalado en una máquina que está conectada a un puerto no espejeado, entonces no puede obtener mucha información, excepto la que se presente por broadcast y la relacionada con el tráfico que la misma máquina genere. Si la persona que estaba divirtiendose con el analizadoir no tiene acceso a la configuración del switch, entonces no pudo espejear los puertos y tampoco tiene acceso a información relevante.
lo que puedes hacer, para elevar tu nivel de tranquilidad, es bloquear la posibilidad de que desde la vlan de invitados se tenga acceso a toda la red; supongo que esas transferencias de las que hablas no se realizan desde la vlan de invitados... o si??
lo que puedes hacer, para elevar tu nivel de tranquilidad, es bloquear la posibilidad de que desde la vlan de invitados se tenga acceso a toda la red; supongo que esas transferencias de las que hablas no se realizan desde la vlan de invitados... o si??
y siguen las respuestas
el wireshark es un sniffer por lo que no se usa mas que para ver el trafico en la red. Para realizar ataques, se usa un sniffer para ver la red y otros programas para atacarla.
En cuanto a limitar el wireshark, no es algo que puedas limitar porque es algo pasivo dentro de la red, no hace mas que escuchar lo que recibe la placa de red. Lo que si tenes que limitar es el resto de los programas que se usan para atacar la red pero tenes que conocerlos.
En cuanto a querer mejorar la seguridad de tu red me parece muy buena idea y busca en la pagina de cisco como hacerlo, se llama hardening.
El trafico contra bancos esta todo encriptado por lo que no es facil de hacer algo y tenes que tenerla muy clara como para si quiera intentar hacer algo, si esta persona dejo que alguien lo viera simplemente snifeando la red, no creo que la tenga muy clara. Lo que si te puede molestar es haciendo otras cosas contra maquinas o sistemas de tu red y ahi es donde entra cuan bien tengas configuradas tus cosas. Algo que tenes que tener bien configurado es tu vlan de invitados, esta realmente separada de tu red?
Vas a tener que leer bastante sobre el tema seguridad para poder comprender como frenar los ataques, es un mundo muy interesante.
En cuanto a limitar el wireshark, no es algo que puedas limitar porque es algo pasivo dentro de la red, no hace mas que escuchar lo que recibe la placa de red. Lo que si tenes que limitar es el resto de los programas que se usan para atacar la red pero tenes que conocerlos.
En cuanto a querer mejorar la seguridad de tu red me parece muy buena idea y busca en la pagina de cisco como hacerlo, se llama hardening.
El trafico contra bancos esta todo encriptado por lo que no es facil de hacer algo y tenes que tenerla muy clara como para si quiera intentar hacer algo, si esta persona dejo que alguien lo viera simplemente snifeando la red, no creo que la tenga muy clara. Lo que si te puede molestar es haciendo otras cosas contra maquinas o sistemas de tu red y ahi es donde entra cuan bien tengas configuradas tus cosas. Algo que tenes que tener bien configurado es tu vlan de invitados, esta realmente separada de tu red?
Vas a tener que leer bastante sobre el tema seguridad para poder comprender como frenar los ataques, es un mundo muy interesante.
Y otra respuesta mas
Ya que cuentas con un Switch Administrable CISCO, lo primero es como dicen los listeros separar las VLANs de forma que no se tenga acceso fisico a ningun lado de la intranet y ademas implementar seguridad de puerto a tus conexiones de VLAN de invitados que es algo fundamental. Entiendo que si usas un switch como punto de entrada entonces con el wireshark solo se podran ver los paquetes entre el host origen y destino, asi que tu atacante tendria que hacerse pasar como gateway de tu red para engañar a los host y ver los paquetes de los demas equipos y eso es con otro tipo de software.
Y la última respuesta
La otra forma es que el atacante inunde tu switch con ARP Request y el swich
al tener tanta data pase del modo de operacion de switch a Hub. Con la consecuencia de que toda la info pase por todos los puertos.
Otra cosa a revisar es que la configuracion de los puertos por mas que esten en modo acceso, que no tengan el trunking seteado en negotiate o auto. Dado que si esta esta asi y el atacante envia una pdu requiriendo que el puerto se convierta en troncal estas en la misma.