Tema 10

Page 1

CICLO FORMATIVO DE GRADO MEDIO

SISTEMAS MICROINFORMÁTICOS Y REDES CURSO: 1º

MÓDULO REDES LOCALES

BLOQUE 5 INSTALACIÓN Y CONFIGURACIÓN DE EQUIPOS EN RED

(U.T. 10) RESOLUCIÓN DE INCIDENCIAS EN UNA RED LOCAL


U.T. 10. Resolución de incidencias en una red local

1. HERRAMIENTAS DE MONITORIZACIÓN DE RED ANÁLISIS DEL TRÁFICO DE LA RED Permite determinar la calidad de servicio ofrecida. Para medir la calidad nos basaremos en tres parámetros: - El retardo (lo que tardan los paquetes desde el origen al destino) - La variación del retardo (diferencia de retardo entre dos mensajes) - La pérdida de mensajes Una herramienta interesante en Linux para analizar el tráfico en la red es ntop, que consiste en un programa residente y se consulta a través de un navegador web. Wireshark es una herramienta disponible tanto en Linux como en Windows que permite la captura de mensajes con las especificaciones de las cabeceras de los mismos y sus contenidos, indicando además la naturaleza de los protocolos empleados y las direcciones de los emisores y destinatarios. Funcionamiento de este programa en plataforma Windows. Iniciamos el programa y éste presenta una ventana como muestra la figura. A continuación debemos iniciar una captura de mensajes. Para ello presionaremos el botón que se señala en la imagen. Mientras dure la captura todos los paquetes que transiten por el segmento de red quedarán registrados, y los podremos examinar individualmente cuando finalicemos el proceso de captura.

La captura se puede iniciar con la opción del menú Capture. Aquí encontraremos la subopción Intefaces donde se muestran todas las interfaces de red (tarjetas de red) del equipo. Indicaremos por cuál de ellas se desea iniciar la captura de paquetes.

Redes locales

Pág. 2 de 10


U.T. 10. Resolución de incidencias en una red local

Después de pulsar el botón Iniciar captura en la pantalla se presenta la ventana que se muestra a la izquierda. Ahora podemos configurar el procedimiento a seguir en la captura. La opción identificada como Capture packets in promiscuous mode habilita el modo promiscuo, que permite la captura de paquetes dirigidos a otras máquinas del mismo segmento de red. En el ejemplo la máquina sobre la que está operando el programa tiene la IP 10.0.0.136. Se inicia el proceso de captura pulsando el botón OK.

Mientras dure la captura de paquetes veremos la ventana que se muestra a la izquierda. En esta ventana se irán reflejando las estadísticas de los paquetes que transiten por la red. Además veremos una clasificación de los mismos en función del protocolo empleado: TCP, UDP, ICMP, etc. Si el proceso de captura no ha sido programado para un tope de tamaño de buffer o tiempo, utilizando las opciones que presentaba la ventana anterior, lo podemos finalizar pulsando el botón Stop. Desde otra máquina del mismo segmento de red, con IP 10.0.0.140, realizamos un ping hacia esta máquina que realiza la captura. Posteriormente, observaremos los registros que esta operación habrá generado. El comando PING utiliza el protocolo ICMP.

Redes locales

Pág. 3 de 10


U.T. 10. Resolución de incidencias en una red local

Paquetes capturados.

PING

Datos de la cabecera de un paquete de la lista superior.

Contenido del paquete Esta es la ventana que muestra la captura realizada. La lista superior son los paquetes capturados con la especificación del destino y la procedencia, así como el protocolo. Abajo se muestran los datos de la cabecera y el contenido del mensaje seleccionado en la lista.

Observamos en la captura el proceso seguido por el comando ping. Este comando envía cuatro paquetes y espera la respuesta del host remoto. Cada mensaje enviado por 10.0.0.140 es un request y el eco de respuesta que devuelve 10.0.0.136 es un reply. Ahora vamos a enviar un mensaje por NetBIOS desde la máquina 10.0.0.146 a 10.0.0.136. Habilitaremos si es preciso este servicio en ambas máquinas: Mi Pc – botón derecho – Administrar – Servicios y aplicaciones – Servicios – Mensajero. Volvemos a iniciar una nueva captura. Ejecutamos desde 10.0.0.146 el comando desde la consola de comandos o desde Inicio-Ejecutar: NET SEND 10.0.0.136 “Estoy probando Ethereal”

Redes locales

Pág. 4 de 10


U.T. 10. Resolución de incidencias en una red local

Mientras tanto en la máquina capturadora observamos el tráfico de paquetes. En esto llega el mensaje que nos han enviado.

Al finalizar la captura podremos ver la serie de transacciones que se tuvieron que realizar para que se completara este servicio de mensajería. Este mensaje también sería capturado aunque no fuera destinado a la máquina que soporta Ethereal. Con ello debemos tener presente que los programas que transmiten información no encriptada facilitan el espionaje.

Se ha seleccionado el paquete fundamental que contiene el mensaje enviado. Se puede apreciar en la imagen como el contenido del mensaje ha sido capturado por Ethereal.

Redes locales

Pág. 5 de 10


U.T. 10. Resolución de incidencias en una red local

Protocolo TCP El protocolo de control de transmisión (TCP) pertenece al nivel de transporte, siendo el encargado de dividir el mensaje original en datagramas de menor tamaño, y por lo tanto, mucho más manejables. Los datagramas serán dirigidos a través del protocolo IP de forma individual. El protocolo TCP se encarga además de añadir cierta información necesaria a cada uno de los datagramas. Esta información se añade al inicio de los datos que componen el datagrama en forma de cabecera. La cabecera de un datagrama contiene al menos 160 bit que se encuentran repartidos en varios campos con diferente significado. Descripción de los campos que forman la cabecera Puerto origen (16 bits): Es el punto de acceso de la aplicación en el origen. Puerto destino (16 bits): Es el punto de acceso de la aplicación en el destino. Número de secuencia (32 bits): Identifica el primer byte del campo de datos. Número de confirmación (ACK) (32 bits): Cuando el bit ACK está activo, este campo contiene el número de secuencia del primer byte que espera recibir. Longitud de la cabecera (4 bits): Indica el número de palabras de 32 bits que hay en la cabecera. Reservado (6 bits): Se ha reservado para su uso futuro y se inicializa con ceros. Indicadores o campo de control (6 bits): Cada uno de los bits recibe el nombre de indicador (flag) y cuando está a 1 indica una función específica del protocolo: URG: Hay datos urgentes y en el campo "puntero urgente" se indica el número de datos urgentes que hay en el segmento. ACK: Indica que tiene significado el número que hay almacenado en el campo "número de confirmación". PSH: Sirve para invocar la función de carga (push). se indica al receptor que debe pasar a la aplicación todos los datos que tenga en la memoria intermedia sin esperar a que sean completados. RST: Sirve para hacer un reset de la conexión. SYN: Sirve para sincronizar los números de secuencia. FIN: Sirve para indicar que el emisor no tiene mas datos para enviar. Ventana (16 bits): Contiene el número de bytes de datos comenzando con el que se indica en el campo de confirmación . Suma de comprobación (16 bits): Este campo se utiliza para detectar errores. Cuando se pretende establecer una conexión los valores de los flags de la cabecera del mensaje presentan SYN=1 y ACK=0. Si la respuesta a la solicitud es aceptada la cabecera del mensaje establece esos flags en SYN = 1 y ACK = 1.

Redes locales

Pág. 6 de 10


U.T. 10. Resolución de incidencias en una red local

Protocolo SNMP SNMP: Protocolo Simple de Administración de Red. Este protocolo permite intercambiar información de administración entre dispositivos de red. Pertenece a la familia de protocolos TCP/IP. Por medio de él los administradores de red pueden supervisar el funcionamiento de la red. Existen dos versiones en uso: SNMPv1 y SNMPv2, que es, actualmente, la más aceptada. Este protocolo utiliza UDP para el intercambio de mensajes, y concretamente los puertos:  161: SNMP  162: SNMP-trap Debemos permitir, si interviene un cortafuegos, que nuestro sistema pueda recibir consultas a través de ambos puertos. Algunas aplicaciones que operan sobre este protocolo pueden requerir la intervención del protocolo ICMP como, por ejemplo, EliteView del fabricante SMC. En sistema Windows debemos instalar este componente desde el apartado del panel de control: Agregar o quitar programas – Agregar o quitar componentes de Windows – Herramientas de administración y supervisión.

EliteView es un software distribuido por SMC que funciona sobre SNMP. Nos permite realizar un mapa de la red y comprobar qué dispositivos están activos y cuáles no. Incluso desde aquí es posible la configuración de algunos dispositivos de red como switches gestionables. Los componentes básicos de SNMP son tres:  Dispositivos administrados. Puede ser cualquier nodo de la red administrada que contenga un agente.  Agentes. Es un módulo de software que reside en un dispositivo administrado y que se encarga de recoger información sobre éste.  Sistemas administradores de red (NMS). Recopilan la información recogida por todos los agentes.

Redes locales

Pág. 7 de 10


U.T. 10. Resolución de incidencias en una red local

2. HERRAMIENTAS DE DIAGNÓSTICO Y RECUPERACIÓN DE EQUIPOS REPASO DE LOS COMANDOS DE SISTEMA (WINDOWS Y LINUX) DE USO HABITUAL PARA EL DIAGNÓSTICO EN EL FUNCIONAMIENTO DE UNA RED Comandos explicados en la U.T. 9. 

Para comprobar la configuración TCP/IP establecida: o IPCONFIG /ALL (en Windows) o ifconfig (en Linux) Para comprobar la conectividad con otros equipos usando el protocolo ICMP: o ping (en Windows y Linux). Tiene como argumento la dirección IP de un host remoto. Con este comando se envían mensajes a un host de la red y se espera una respuesta. Hay que tener cuidado en su interpretación. El ping puede estar bloqueado en el otro host por la acción de un cortafuegos. Algunos cortafuegos bloquean el funcionamiento del protocolo ICMP. o TRACERT (en Windows). Tiene como argumento la dirección IP de un host remoto. Realiza una traza hacia un host remoto y devuelve las direcciones IP de los distintos routers por los que tiene que pasar el mensaje para llegar al host destino. o traceroute (en Linux). Es equivalente, en Linux, al comando TRACERT. Para comprobar las conexiones de red establecidas y puertos abiertos (a la escucha) o netstat (en Windows y Linux). Permite averiguar si el número de puerto asociado a una aplicación está operativo (LISTENING). También permite ver las conexiones que nuestro host tiene abiertas con otros hosts remotos. Se podría localizar la acción de algún troyano en nuestro equipo. o nmap (en Linux). Muestra los puertos abiertos en nuestro host u otro host remoto. Para comprobar el funcionamiento del servidor DNS establecido en la configuración TCP/IP. o nslookup (en Windows y Linux). Tiene como argumento el nombre de dominio de un host. Este comando envía la consulta al servidor DNS establecido y devuelve la respuesta de éste con la dirección IP asociada al nombre consultado. Con este comando se comprueba el correcto funcionamiento del protocolo DNS, que podría estar alterando el funcionamiento de otros protocolos de la red, como el protocolo http. o dig (en Linux). Es como el comando nslookup, pero ofrece una información más detallada sobre el funcionamiento del protocolo DNS. Para comprobar la tabla de rutas del host establecidas a nivel de red: o ROUTE PRINT (en Windows). Para añadir rutas estáticas usaremos la variante ROUTE ADD… o route –n (en Linux). Para añadir rutas estáticas usaremos la variante route add … Para comprobar y configurar el servicio NAT y cortafuegos del sistema: o iptables (en Linux):  Comprobar las reglas de NAT: iptables –t nat –L  Comprobar las reglas de filtrado: iptables -L

Redes locales

Pág. 8 de 10


U.T. 10. Resolución de incidencias en una red local

El visor de sucesos de Windows

Windows registra todos los eventos que suceden durante la sesión de trabajo. El visor de sucesos se puede abrir con el comando eventvwr.msc. Esta herramienta resulta muy útil para auditar lo que acontece en las sesiones de trabajo, por tanto no se debe descartar su uso para localizar problemas que tienen que ver con el funcionamiento de la red.

Los sucesos (o eventos) pueden ser de 5 tipos:  Error: Es un problema importante y se debe al fallo de un servicio del sistema.  Advertencia: No es importante pero puede generar errores en el futuro.  Información: Indica el funcionamiento correcto de un servicio o programa.  Acceso correcto auditado: Con respecto al sistema de seguridad indica el inicio de sesión correcto o que es correcto el acceso a un recurso compartido.  Acceso erróneo auditado: Registra los accesos erróneos, rechazados por el sistema de seguridad. Los eventos se agrupan, principalmente, en tres categorías: Aplicación: Eventos producidos por programas. Sistema: Eventos producidos por las aplicaciones del sistema (Windows). Seguridad: Los eventos que se producen en el inicio y cierre de sesión y acceso a recursos compartidos En la categoría Sistema se recogen eventos como los que provocan el cierre de sesión. El comentario que debemos escribir para justificar el apagado de un equipo que rueda en Windows Server 2003 lo podemos ver auditado dentro de esta categoría como un mensaje de Información.

Redes locales

Pág. 9 de 10


U.T. 10. Resolución de incidencias en una red local

3. EJEMPLOS PRÁCTICOS DE RESOLUCIÓN DE PROBLEMAS El libro “Redes Locales” de Francisco J. Molina, Ed: RA-MA (2009), describe una serie de ejemplos de incidencias que pueden ocurrir en una red, así como el procedimiento a seguir para su diagnóstico y resolución. Pág. 444.

Redes locales

Pág. 10 de 10


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.