ROMPER WPA - WPA2

Analizando el tráfico de otros usuarios

Las conexiones en redes WPA/WPA2 utilizan claves por usuario y sesión derivadas de la clave PSK para el cifrado de los datos, de esta manera se supone que cada conexión tiene la privacidad necesaria para el usuario.

No obstante, si se captura el proceso de autenticación de un usuario en la red y al conocer la clave PSK que está siendo utilizada, las direcciones MAC y el SSID, basta con capturar los números Snounce y Anounce intercambiados para conocer cuál es la clave PMK y por tanto, poder acceder a las claves PTK del usuario.

Conocidas las claves PTK es posible descifrar todo el tráfico generado por un usuario. Si el usuario se encontrara conectado previamente no sería posible realizar este proceso pues no se habría podido capturar el proceso de autenticación. Por ello, es necesario realizar un ataque 0 al usuario al que se desea analizar el tráfico.

Analisis del trafico un usuario en una red WPA/WPA2-PSK

Commview permite analizar el tráfico tanto para redes WEP como para redes WPA/WPA2-PSK. Para realizar el descifrado de tráfico de la red en el menú preferencias, en la opción Claves WEP/WPA se pueden cargar las claves conocidas de las redes wireless.

Imagen 14: Clave de cifrado WPA
A pesar de tener configurada la clave PSK de la red aún no sería posible descifrar el tráfico de red de un usuario que estuviera previamente. Para descubrir las claves que están siendo utilizadas por cada uno de los clientes es necesario lanzar un ataque 0 de des-asociación. Esto obligaría a los clientes a re-asociarse y ahora, al contar con la clave PSK de la red, Commview obtendrá la clave PMK e inmediatamente las claves de cifrado que están siendo usadas por cada cliente en concreto. Esto permitirá ver todo el tráfico de la red descifrado.

Imagen 15: Paquetes WPA2 capturados y descifrados
Recomponiendo la sesión
Al igual que con otros sniffers de red, es posible reconstruir la sesión TCP completa y ver la comunicación que se está produciendo en cada cliente. En este caso, la página Web que estaba visitando el usuario en El Lado del Mal.

Imagen 16: Sesión TCP/IP reconstruida
Conclusión

El uso de WPA/WPA2-PSK es una solución adecuada de seguridad en un entorno doméstico siempre y cuando se utilice una clave segura. Como se ha visto a lo largo del artículo la seguridad no depende de la cantidad de tráfico que circule por la red, sino de la posibilidad de obtener la clave de cifrado a partir de los paquetes donde se produce la autenticación del usuario. Basta con una pequeña cantidad de paquetes para poder obtener los paquetes derivados de la clave. Por lo tanto, es necesario utilizar frases o claves fuertes. Para determinar la fortaleza de una clave se puede recurrir a páginas como Passwordmeter, o a cualquiera de los generadores de claves WPA/WPA2 que proporcionan claves fuertes, como, por ejemplo el dehttp://www.kurtm.net/wpa-pskgen/.

Para evitar que el craqueo de la clave PSK sea trivial para un atacante hay que evitar claves que se encuentren en diccionarios, claves de poca longitud de caracteres y de poca complejidad. Así mismo, para evitar que puedan utilizar tablas pre-calculadas hay que evitar los nombres SSID simples o comunes, del tipo “Home”, “Personal”,"Wifi", “Default”, “Wireless”, “Net”, etc…

A pesar de todo, el tener una red WPA/WPA2 PSK más o menos segura contra atacantes externos mediante el uso de claves difíciles de crackear, esta infraestructura no ofrece ninguna protección contra atacantes internos. Este artículo deja claro que cualquier usuario legítimo de la red podrá acceder a todos los datos de todos los demás usuarios como se ha visto en la última parte. 

Soluciones

Para evitar que las comunicaciones pudieran ser espiadas por parejas, familiares o vecinos existen soluciones WPA/WPA2 empresariales con el uso de servidores RADIUS y sistemas de autenticación EAP basados en certificados digitales, contraseñas e incluso el uso de cifrado SSL para el intercambio EAP [Protected EAP]. Así podríamos implantar una infraestructura WPA/WPA2-EAP-MSCHAPv2, WPA/WPA2-EAP-MD5, WPA/WPA2-EAP-TLS (con autenticación del cliente mediante certificados digitales de usuario) y los más fortalecidos WPA/WPA2-PEAP-MSCHAPv2, también conocido como TLS-EAP-TLS por ser este el orden de las capas de los protocolos, dónde primero se autentica realiza una conexión SSL entre el servidor y el cliente con certificado de máquina del servidor o del servidor y el cliente, con lo que se autentica digitalmente la máquina cliente primero, luego se negocia con EAP la autenticación mediante el uso de certificados digitales de usuario y por último el usuario envía su certificado sobre la capa SSL inicial. 

CLAVE WPA - WPA2

Crackeo de clave WPA/WPA2 PSK - Teoría

En el modo WPA/WPA2 PSK la clave PMK de la cual se deriva luego la PTK se obtiene con la siguiente función:

PMK = PBKDF2(PSK, SSID, longitud SSID, 4096, 256)
Donde PBKDF2 es una función de derivación de claves que forma parte de los estándares criptográficos de clave pública de los laboratorios RSA (PKCS). Se trata de una función pseudoaleatoria que se utiliza para derivar la clave (PMK) haciendo uso de la frase PSK y SSID.

Para derivar a partir de aquí la clave de cifrado por sesión (PTK) se hace uso de la PMK, los números aleatorios intercambiados, conocidos como anonce y snonce, y las direcciones MAC de cliente y punto de acceso. Dado que todo lo que se utiliza ha sido capturado salvo la PSK, basta con probar diferentes frases ya sea por fuerza bruta o mediante el uso de diccionario, para dar con la clave que se ha utilizado en el cifrado.

Para realizar este proceso de crackeo existe la posibilidad de utilizar tablas pre-calculadas [Rainbow tables] de modo que se incremente el número de pruebas que se pueden realizar por segundo para tratar de averiguar la clave. Esto es factible, sin embargo, existe una gran diferencia con el uso de este tipo de tablas en el crackeo de otras contraseñas.

El problema radica en que los hashes precalculados dependen del SSID de la red, con lo que no es posible tener precalculados todos los hashes para todos los posibles nombres de red. Existen proyectos, como el de Renderlab donde es posible obtener hasta 33 GB de hashes precalculados, partiendo de un diccionario (en inglés) y listado de SSID. Lógicamente aquí en España su utilidad es bastante más limitada.

Crackeo de clave WPA/WPA2 PSK - Práctica

Una vez que se han capturado los paquetes de una sesión de autenticación de un cliente, entonces puede ejecutarse un proceso de cracking de la clave PSK. Para realizar este proceso es posible utilizar Cain, una herramienta de auditoría de seguridad que entre otros módulos trae uno especial para craquear contraseñas. En la pestaña Cracker de Cain, en el apartado “802.11 Captures” se debe importar el fichero .cap que contiene la captura de la autenticación de un cliente. Cain analiza el fichero de captura e indica si dentro del fichero .cap se encuentra algún Handshake válido del que se pueda extraer la clave PSK.

Imagen 8: Hanshake WPA2 capturado
Una vez que se tiene capturado el intercambio se envía a craquear, es posible utilizar un ataque por fuerza bruta o basarse en un diccionario para tratar de agilizar el proceso.

Imagen 9: Ataque sobre el hash de autenticación
El éxito del ataque ahora radica única y exclusivamente en la fortaleza de las password que haya utilizado el administrador de la red. Si ha colocado una clave de red que aparezca en un diccionario o la clave es suficientemente pequeña e insegura será factible romperla. Para tratar de romperla por fuerza bruta es necesario elegir el alfabeto a utilizar, las longitudes mínimas y máximas y empezar a probar.

Imagen 10: Ataque por fuerza bruta sobre el hash de autenticación
Para el ataque basado en diccionario, es necesario contar con un buen diccionario, e indicar las posibles pruebas a realizar con cada una de las palabras disponibles en el diccionario.

Imagen 11: Ataque por diccionario sobre el hash de autenticación
En cualquiera de los dos casos si consigue dar con la clave nos lo mostrará en la parte inferior con un mensaje como el siguiente:

Imagen 12: Resultado exitoso en el ataque sobre el hash de autenticación
La última versión de Cain tiene como limitación que no es capaz de trabajar con ciertos caracteres, con lo cual no sería posible crackear algunos hash de autenticación. Como alternativa a Cain se puede utilizar la suite aircrack, disponible tanto en Linux como en Windows, que permite trabajar con todo el abanico posible de caracteres.

Imagen 13: Éxito en el ataque sobre el hash de autenticación con aircrak

ROMPER CLAVE WPA-WPA2

[Este artículo ha sido escrito por Alejandro Martín y Chema Alonso]
Capturar el Handshake

Cómo se ha indicado en el punto anterior, un atacante que quiera vulnerar o romper una red WPA/WPA2 debe monitorizar todas las tramas que se intercambian en la red Wireless durante el proceso de autenticación PSK para obtener los números aleatorios intercambiados. De esta forma se podrá descubrir la clave PSK que se está utilizando en la red para autenticar a los clientes.

Para monitorizar la red en un entorno Windows se puede utilizar Commview for Wifiu Omnipeek según el soporte que proporcionen a las tarjetas que vamos a utilizar, por supuesto existen más herramientas.

En este articulo se ha utilizado Commview for Wifi, junto con el chipset Intel Centrino Pro Wireless 2200BG, mientras que para las inyecciones de tráfico se ha utilizado la tarjeta Orinoco 11a/b/g ComboCard 8480-FC.

En primer lugar es necesario cargar el driver que proporciona Commview, bien a través del asistente del programa o a través del administrador de dispositivos, en cualquier caso el controlador de la tarjeta debe quedar con el driver como se indica en la imagen 2.

Imagen 2: Driver de commview instalado
Una vez instalado correctamente el driver, en la barra de herramientas principal deCommview se debe activar la captura de tráfico con el botón de Play. Con la captura de tráfico activada se podrá comenzar la exploración de los canales WI-FI accesibles, como se muestra en la Imagen 3.

Imagen 3: Exploración de puntos de acceso
Commview mostrará todas las redes disponibles en todos los canales ofreciendo una visión global del espacio WI-FI del área. Una vez seleccionada la red objetivo, basta con activar la captura de paquetes de esa red con el botón de capturar que se encuentra en el panel de opciones de la derecha.

Commview muestra, en la pestaña Nodos, los puntos de acceso y clientes asociados que usan el canal en un determinado instante.

Imagen 4: Nodos usando el canal
En la imagen 4 se puede ver un punto de acceso usando WPA2-PSK con cifrado CCMP y dos clientes que se encuentran asociados a la red. En estos momentos Commviewse encuentra capturando todos los paquetes que circulan por el canal. Para no saturar el equipo, dado que el objetivo en un primer momento, es capturar el intercambio de los números aleatorios en el proceso de autenticación WPA/WPA2, es suficiente con capturar únicamente los paquetes de datos. Para realizar esta selección de paquetes es posible añadir filtros en la captura, por ejemplo por direcciones MAC de los equipos.

Imagen 5: Configuración de las reglas de captura
El ataque 0

Para obtener el intercambio de números aleatorios entre un equipo y el punto de acceso de forma rápida, es decir, sin esperar a que un nuevo equipo se conecte a la red, se lanza un ataque de desasociación de modo que se desconecte el equipo obligándolo a conectar de nuevo. Este proceso es automático en sistemas operaitos Windows XP pero se requiere de la intervención del usuario en Windows Vista. Para hacer esto desde Commview basta con acudir al menú herramientas y pulsar sobreReasociación de Nodos.

Imagen 6: Ataque para obligar a un nodo a reasociarse
Para tener acceso a estas opciones es necesario que la tarjeta wireless permita la inyección de paquetes. En caso de estar usando el chipset de Intel 2200BG, no será posible realizar la inyección, con lo que la única solución es esperar a que algún cliente se autentifique con el punto de acceso.

En este cuadro de diálogo se selecciona el punto de acceso que va a ser spoofeado, es decir, la dirección que va ser simulada como origen de envío de la trama de desasociación, y el cliente que se quiere desasociar. Además, se debe indicar el número de paquetes a enviar.

Una vez lanzado el ataque, y dado que Commview ha estado capturando todos los paquetes, bastaría con almacenar los mismos en formato .cap, de modo que se tendrían todos los paquetes, incluidos aquellos donde se realiza el intercambio de números aleatorios listos para craquear la PSK que está siendo utilizada en esa red.

Imagen 7: Guardar los paquetes capturados

HACKEAR, WPA/WPA2

Hablar de seguridad Wireless en el ámbito domestico es hablar, irremediablemente, de WPA/WPA2 PSK, dejando a un lado el viejo y vulnerado cifrado WEP. Sí, existen puntos de Acceso WiFi con servidor RADIUS incorporados, pero no es lo más común que se encuentra en el router que utiliza una familia para conectarse a Internet en su casa.

En el presente artículo vamos a ver de forma práctica cómo funcionan las amenazas en WPA/WPA-2 PSK en el ámbito domestico. Para ello se verá como se puede atacar una infraestructura de estas características y cuáles son las recomendaciones de seguridad.

WPA/WPA2

WPA [Wifi Protected Access] surge como una solución temporal de la Wi-Fi Alliance mientras que en IEEE se trabajaba sobre el estándar IEEE 802.11i para securizar las redes Wireless una vez que quedó de manifiesto la debilidad de WEP [Wired Equivalent Privacy]. Cuando IEEE sacó a la luz 802.11i, la Wi-Fi Alliance proporcionó la certificación WPA2 a todos aquellos dispositivos que cumplían con las especificaciones marcadas por el nuevo estándar. Ambas soluciones, WPA y WPA2, soportan el protocolo 802.1x para la autenticación en ámbitos empresariales y la autenticación mediante clave compartida (PSK) [Pre-Shared Key] para los entornos SOHO [Small Office and Home Office] y ámbitos domésticos.

WPA y WPA2 se diferencian poco conceptualmente y difieren principalmente en el algoritmo de cifrado que emplean. Mientras WPA basa el cifrado de las comunicaciones en el uso del algoritmo TKIP [Temporary Key Integrity Protocol], que está basado en RC4 al igual que WEP, WPA2 utiliza CCMP [Counter-mode/CBC-MAC Protocol] basado en AES [Advanced Encrytion System]. La segunda diferencia notable se encuentra en el algoritmo utilizado para controlar la integridad del mensaje. Mientras WPA usa una versión menos elaborada para la generación del código MIC [Message Integrity Code], o código “Michael”, WPA2 implementa una versión mejorada de MIC.

Lógicamente, a la hora de elegir cómo securizar la red domestica, mejor decantarse por WPA2-PSK debido a que la fortaleza de cifrado de AES es netamente superior a la de TKIP. Sin embargo, si no se cuenta con el hardware que soporte esta tecnología es perfectamente válido el uso de WPA-PSK pues la principal vulnerabilidad de WPA-PSK y WPA2-PSK no se encuentra en el algoritmo de cifrado sino en la fortaleza de la clave utilizada.

Arquitectura WPA/WPA2 PSK

Tanto WPA-PSK como WPA2-PSK adolecen de vulnerabilidad y es posible atacar estas tecnologías con el objetivo de poder hacer uso de la red e incluso escuchar y analizar el tráfico que por ella se propaga. En este articulo se pretenden reflejar por qué y dónde es vulnerable WPA-PSK y WPA2-PSK, cómo explotar esta vulnerabilidad y cómo proteger adecuadamente la red.

Para entender las vulnerabilidades hemos primero de analizar el proceso de asociación de un cliente a la red wireless. Independientemente del sistema de seguridad que se elija para la red (WEP, WPA-PSK o WPA2-PSK), el proceso de asociación es siempre el mismo. Este proceso va a depender de si el punto de acceso está emitiendo tramas “Beacon Frame” para el anuncio de la red mediante la publicación de su ESSID [Extended Service Set Indentifier] o no.

Si el punto de acceso está emitiendo tramas “Beacon frame” el cliente se conecta a la red en dos fases, una primera Fase de Autenticación, que podrá ser abierta o con clave compartida, y una segunda Fase de Asociación.

En el supuesto caso de que el punto de acceso no esté emitiendo “Beacon frames”existe una Fase de Prueba inicial dónde el cliente envía el ESSID de la red wireless a la que quiere conectarse esperando que el punto de acceso responda y así iniciar las fases de Autenticación y Asociación. Todo este proceso, para una conexión WPA2-PSK puede verse en la imagen siguiente. En ella se pueden ver las tres fases descritas.

Imagen 1: Negociación WPA2-PSK en una red sin publicación de ESSID
La única diferencia con una red Abierta o WEP, es que punto de acceso y cliente acuerdan la política de seguridad a seguir, siendo ésta la primera fase del proceso de autenticación de una red WPA/WPA2.

Esta forma de funcionar es importante conocerla, pues como puede verse en al imagen, el cliente se conecta inicialmente a la red sin que haya comenzado el proceso de autenticación WPA/WPA2, tanto si es por medio de PSK como si no, por lo que el tráfico enviado todavía no está siendo cifrado. Debido a esta situación un atacante podría mandar una trama de des-asociación a un cliente de la red provocando que éste se desasocie e inicie un proceso de asociación nuevamente y un nuevo proceso de autenticación WPA/WPA2. A esto se le conoce como el ataque 0 o de des-asociación.

Este proceso de re-autenticación se realizaría únicamente si la conexión se tratase de WPA/WPA2 empresarial, es decir, la conexión está configurada utilizando 802.1x para la autenticación del puerto y EAP [Extended Authetication Protocol] contra un servidor RADIUS [Remote Authentication Dial-In Service] para autenticar la conexión. En el caso de WPA/WPA2 con PSK se pasa directamente a la fase de intercambio de claves.

En la fase de Intercambio de claves el cliente y el AP utilizan la PSK para generar un clave llamada PMK [Pairwise Master Key]. Esta PMK es una derivada cuando el sistema es WPA/WPA2 empresarial pero es la misma PSK en los entornos WPA/WPA2 PSK. 

Con la PMK se genera una clave de cifrado para cada proceso de autenticación de un cliente llamada PTK que básicamente se genera a partir de dos números aleatorios, uno de ellos generado por el cliente y el otro por el punto de acceso que intercambian para obtener ambos la misma clave PTK. Este proceso se llama 4-way-Handshake.

Una vez que el cliente está autenticado, el protocolo TKIP utiliza 6 claves de cifrado por cada sesión, 4 de ellas son utilizadas para comunicaciones unicast y 2 para comunicaciones broadcast. Estas claves son únicas por cliente y sesión y se cambian periódicamente. Estas claves se generan a partir de derivadas de las direcciones MAC, ESSID y la PTK.

¿Cómo puede ser vulnerada la red WPA/WPA2 PSK?

Un atacante que quiera vulnerar una red WPA-PSK va a tratar de capturar ese intercambio de números aleatorios, para una vez conocidos estos, junto con el SSID y las direcciones MAC del cliente y el punto de acceso de la red obtener la frase o secreto compartido que se utilizó. Una vez que el atacante tenga la clave compartida se podrá conectar a la red.

¿Podrá el atacante acceder al tráfico generado por otro usuario?

En teoría no debería poder, pues las claves TKIP que se generan son únicas y por sesión pero sí el atacante está conectado a la red y captura todo el proceso de autenticación de otro usuario podría acceder a los números aleatorios intercambiados y al poder conocer el ESSID, la PSK y la MAC del cliente y el punto de acceso, podría generar la PTK. Con la PTK podría descubrir cuáles son las claves TKIP que se intercambian cifradas. Una vez que el atacante tiene las claves TKIP tiene acceso a todo el tráfico y por tanto SÍ puede acceder a los datos transmitidos. El proceso con WPA2-PSK es similar y el atacante buscará las claves que se intercambian en AES-CCMP.

¿Se podrá modificar la información en tránsito?

WPA y WPA2 implementan de forma distinta el MIC [Message Integrity Code] y, aunque en teoría el MIC de WPA podría ser engañado, las condiciones para poder realizar dicho cambio no se dan en la implementación práctica que se hace. Está bien explicado este aspecto y puedes leer más sobre él en el trabajo “Observations on the Message Integrity Code in IEEE802.11Wireless LANs” de Jianyong Huang, Willy Susilo y Jennifer Seberry de la School of Information Technology and Computer Science de la University of Wollongong en Australia.

No obstante, si deseas conocer a fondo la teoría de los ataques a los protocolos Wireless, el artículo de Guillaume Lehembre, publicado en la revista Hackin9 es de lo mejor que existe. Y además, está traducido al castellano: Seguridad WiFi – WEP, WPA y WPA2

Comandos para enrutar vlans

SWITCH
Cambiar el modo de la interfaz(trunk)

S1(config-if)#interface [INTERNFAZ]
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan [NUMERO DE VLAN]

Cambiar el modo de la interfaz(access)

S2(config)#interface [INTERFAZ]
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan [NUMERO DE VLAN]
S2(config-if)#

Configurar la ip de default gateway en un Switch

S1(config)#ip default-gateway [IP DE ROUTER]

Asignar una IP a una Vlan

S1(config)#interface vlan [NUMERO DE VLAN]
S1(config-if)#ip address [IP] [MASCARA DE RED]

ROUTER
Configurar una subinterfaz

Router(config)#interface [INTERFAZ.UnNumero] (1)
Router(config-subif)#encapsulation dot1Q [NUMERO DE VLAN] (2)
Router(config-subif)#ip address [IP] [MASCARA DE RED]

Configurar interfaz para Vlan Nativa

Router(config-subif)#interface [INTERFAZ.UnNumero]
Router(config-subif)#encapsulation dot1Q [NUMERO DE VLAN] native
Router(config-subif)#ip address [IP] [MASCARA DE RED]

Enrutamiento entre VLANS

Introducción

Las VLAN dividen dominios de transmisión en un entorno LAN. Siempre que los host en una VLAN necesitan comunicarse con host en otra VLAN, debe enrutarse el tráfico entre ellos. Esto se denomina ruteo interVLAN. En switches Catalyst, se logra al crear interfaces de Capa 3 (interfaces virtuales conmutadas [SVI]). Este documento proporciona los pasos de configuración y solución de problemas que se aplican a esta capacidad.

Nota: En este documento se utiliza un Catalyst 3550 como ejemplo. Sin embargo, los conceptos también se pueden aplicar a otros switches de capa 3 que ejecuten Cisco IOS® (por ejemplo, Catalyst 3560, 3750, Catalyst 4500/4000 con Sup II+ o posterior, o bien Catalyst 6500/6000 que ejecuten el software del sistema Cisco IOS).

Requisitos previos

Requisitos

Los modelos de switch de Catalyst 3560, 3750, Catalyst 4500/4000 con Sup II+ o posterior, o bien Catalyst 6500/6000 que ejecutan el software del sistema Cisco IOS soportan funciones básicas de ruteo interVLAN en todas las versiones de software compatibles. Antes de utilizar esta configuración en un switch serie 3550, asegúrese de que cumple con los siguientes requisitos:

• El ruteo InterVAN del Catalyst 3550 tiene ciertos requisitos de software para soportar el ruteo interVLAN en el switch. Consulte esta tabla para determinar si su switch soporta el ruteo entre VLAN.

  Versión y tipo de imagen	Capacidad de ruteo interVLAN
  Imagen multicapa mejorada (EMI): todas las versiones	Sí
  Imagen multicapa estándar (SMI): anterior a la versión 12.1(11)EA1 del software Cisco IOS	No
  Imagen multicapa estándar (SMI): versión 12.1(11)EA1 o posterior del software Cisco IOS	Sí

  Para obtener más información acerca de las diferencias entre SMI y EMI, consulte Actualización de las imágenes del software de switches Catalyst serie 3550 usando la interfaz de la línea de comandos. En este documento también se incluye el procedimiento para actualizar el código de IOS a la versión que soporta el ruteo interVLAN.
• Este documento presupone que la capa 2 ha sido configurada y que los dispositivos que están dentro de la misma VLAN conectados al 3550 se comunican entre sí. Si necesita información acerca de la configuración de VLAN, puertos de acceso y conexiones troncales en Catalyst 3550, consulte Creación de varias Ethernet VLAN en switches Catalyst o la Guía de configuración del software de Catalyst 3550para obtener la versión IOS concreta que se ejecuta en el switch.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Catalyst 3550-48 que ejecuta la versión 12.1(12c)EA1 EMI del software Cisco IOS

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Convenciones

Si desea más información sobre convenciones de documentos, consulte las Cisco Technical Tips Conventions (Convenciones de consejos técnicos de Cisco).

Configuración de ruteo de InterVLAN

Tarea

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Este diagrama lógico explica un escenario sencillo de ruteo entre VLAN. El escenario puede ser expandido para incluir un entorno de switches múltiples configurando y probando en primer lugar la conectividad entre switches a través de la red antes de configurar la capacidad de ruteo. Para un escenario que utilice Catalyst 3550, consulte Configuración de ruteo interVLAN con switches Catalyst 3550.

Instrucciones paso a paso

Complete estos pasos para configurar un switch para realizar un ruteo entre VLAN.

1. Habilite el ruteo en el switch mediante el comando ip routing. Incluso si se habitó previamente el IP Routing, este paso asegura que esté activado.

   Switch(config)#ip routing

   Nota: Si el switch no acepta el comando ip routing, actualice a la imagen SMI de la versión 12.1(11)EA1 o posterior del software Cisco IOS, o a una imagen EMI, y repita este paso. Para obtener mayor información, consulte la sección Requisitos previos.
   Recomendación: Compruebe el comando show running-configuration. Verifique si ip routing está habilitado. Si el comando está activado, aparece en la parte superior de la salida.

   hostname Switch
   
   !
   
   !
   
   ip subnet-zero
   
   IP Routing
   
   !
   
   vtp domain Cisco
   
   vtp mode transparent

2. Anote entre qué VLAN que desea enrutar. En este ejemplo, se desea enrutar el tráfico entre las VLAN 2, 3 y 10.
3. Utilice el comando show vlan para verificar que existen las VLAN en la base de datos VLAN. Si no existen, agréguelas al switch. Este es un ejemplo de cómo agregar las VLAN 2, 3 y 10 a la base de datos de VLAN del switch

   Switch#vlan database
   
   Switch(vlan)#vlan 2
   
   VLAN 2 added:
   
       Name: VLAN0002
   
   Switch(vlan)#vlan 3
   
   VLAN 3 added:
   
       Name: VLAN0003
   
   Switch(vlan)#vlan 10
   
   VLAN 10 added:
   
       Name: VLAN0010
   
   Switch(vlan)#exit
   
   APPLY completed.
   
   Exiting....

   Recomendación: Puede usar el protocolo de conexión troncal de VLAN (VTP) para propagar las VLAN a otros switches. ConsulteIntroducción y configuración del protocolo de conexión troncal de VLAN (VTP).
4. Determine las direcciones IP que desea asignar a la interfaz VLAN del switch. Para que el switch pueda enrutar entre las VLAN, las interfaces deben estar configuradas con una dirección IP. Cuando el switch recibe un paquete destinado a otra subred o VLAN, este busca en la tabla de ruteo para determinar a dónde debe reenviar el paquete. El paquete se pasa después a la interfaz VLAN del destino. A su vez, se envía al puerto al que está conectado el dispositivo final.
5. Configure las interfaces VLAN con la dirección IP que se ha identificado en el paso 4.

   Switch#configure terminal
   
   Enter configuration commands, one per line.  End with CNTL/Z.
   
   Switch(config)#interface Vlan2
   
   Switch(config-if)#ip address 10.1.2.1 255.255.255.0
   
   Switch(config-if)#no shutdown

   Repita este proceso para todas las VLAN que se han identificado en el paso 1.
6. Configure la interfaz al router predeterminado. En este escenario, tiene un puerto FastEthernet de capa 3.

   Switch(config)#interface FastEthernet 0/1
   
   Switch(config-if)#no switchport
   
   Switch(config-if)#ip address 200.1.1.1 255.255.255.0
   
   Switch(config-if)#no shutdown

   El comando no switchport capacita la interfaz de capa 3. La dirección IP se encuentra en la misma subred que el router predeterminado.
   Nota: Este paso puede omitirse si el switch alcanza el router predeterminado a través de una VLAN. En su lugar, configure una dirección IP para esa interfaz VLAN.
7. Configure la ruta predeterminada para el switch.

   Switch(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2

   En el diagrama de la sección Tareas, observe que la dirección IP del router predeterminado es 200.1.1.2. Si el switch recibe un paquete para una red que no se encuentra en la tabla de ruteo, lo reenviará a la gateway predeterminada para su procesamiento. Desde el switch, verifique que puede enviar un ping al router predeterminado.
   Nota: El comando ip default-gateway se utiliza para especificar la gateway predeterminada cuando no se encuentra habilitado el ruteo. Sin embargo, en este caso, el ruteo está habilitado (en el paso 1). Por lo que el comando ip default-gateway no es necesario.
8. Configure los dispositivos finales para usar la interfaz VLAN respectiva de Catalyst 3550 como gateway predeterminada. Por ejemplo, los dispositivos en VLAN 2 deben usar la dirección IP de la interfaz VLAN 2 como gateway predeterminada. Para obtener más información sobre cómo designar la gateway predeterminada, consulte la guía de configuración del cliente apropiado.

Verificación

En esta sección encontrará información que le permitirá confirmar que la configuración funciona correctamente.

Algunos comandos show son compatibles con la herramienta intérprete de resultados (solamente clientes registrados). Esto permite ver un análisis de la salida del comando show.

• show ip route: proporciona una instantánea de las entradas de la tabla de ruteo.

  Cat3550#show ip route
  
  Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
  
         D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
  
         N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
  
         E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
  
         i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
  
         * - candidate default, U - per-user static route, o - ODR
  
         P - periodic downloaded static route
  
  
  
  Gateway of last resort is 200.1.1.2 to network 0.0.0.0
  
  
  
       200.1.1.0/30 is subnetted, 1 subnets
  
  C       200.1.1.0 is directly connected, FastEthernet0/48
  
       10.0.0.0/24 is subnetted, 3 subnets
  
  -c is directly connected, Vlan10
  
  -c is directly connected, Vlan3
  
  -c is directly connected, Vlan2
  
  S*   0.0.0.0/0 [1/0] via 200.1.1.2

  Tenga en cuenta que la tabla de ruteo tiene una entrada para cada subred de interfaz VLAN. Por lo tanto, los dispositivos en VLAN 3 pueden comunicarse con los dispositivos en VLAN 10, VLAN 2 y viceversa. La ruta predeterminada con el siguiente salto (next hop) 200.1.1.2 permite que el switch reenvíe tráfico a la gateway del último recurso (para tráfico que el switch no puede enrutar).
• show ip interface brief: muestra un breve resumen del estado e información de IP de la interfaz. Este comando se utiliza para verificar que las interfaces VLAN y los puertos en el switch estén activos.

Resolución de problemas

En esta sección se incluye información que puede utilizarse para solucionar problemas de configuración.

Procedimiento de resolución de problemas

Esta información es importante para la solución de problemas en esta configuración. Siga las instrucciones para solucionar el problema de configuración.

1. Envíe pings de protocolo de mensajes de control de Internet (ICMP) para verificar la conectividad de la capa 2.
   • Si no puede enviar un ping entre dos dispositivos de la misma VLAN en el mismo switch, verifique que haya dispositivos conectados a los puertos de origen y destino, y que estén asignados a la misma VLAN. Para obtener más información, consulteCreación de VLAN de Ethernet en switches Catalyst.
   • Si no puede enviar un ping entre dos dispositivos de la misma VLAN que no están en el mismo switch, verifique que la conexión troncal está configurada correctamente y que la VLAN nativa coincide en ambos extremos del troncal.
2. Inicie un ping ICMP desde un dispositivo final conectado a Catalyst 3550 hasta su interfaz VLAN correspondiente. En este ejemplo, se puede utilizar un host en VLAN 2 (10.1.2.2) y una interfaz ping VLAN 2 (10.1.2.1). Si no puede enviar un ping a la interfaz, verifique que la gateway predeterminada del host apunta hacia la dirección IP de la interfaz VLAN y que las máscaras de subred coinciden. Por ejemplo, la gateway predeterminada del dispositivo en VLAN 2 debe apuntar a la interfaz VLAN 2 (10.1.2.1). Además, ejecute el comando show ip interface brief para verificar el estado de la VLAN de la interfaz.
   • Si la interfaz se encuentra administrativamente inactiva, ejecute el comando no shutdown en el modo de configuración de la interfaz VLAN.
   • Si el estado de la interfaz es inactivo/inactivo, verifique que la configuración VTP y las VLAN se hayan agregado a la base de datos de VLAN. Compruebe si se ha asignado un puerto a la VLAN y si se encuentra en estado de reenvío del árbol de expansión.
3. Inicie un ping desde un dispositivo final de la VLAN hasta la VLAN de la interfaz de otra VLAN para verificar que el switch enruta las VLAN. En este ejemplo, envíe un ping desde la VLAN 2 (10.1.2.1) a la VLAN 3 (10.1.3.1) o la VLAN 10 (10.1.10.1) de la interfaz. Si el ping falla, verifique que el IP Routing está habilitado y que las interfaces VLAN están activas mediante la ejecución del comando show ip interface brief.
4. Inicie un ping desde el dispositivo final de una VLAN hasta el dispositivo final de otra VLAN. Por ejemplo, un dispositivo en la VLAN 2 debe poder enviar un ping hasta un dispositivo de la VLAN 3. Si la prueba de envío del ping es correcta en el paso 3, pero no logra alcanzar el dispositivo final de la otra VLAN, verifique que la gateway predeterminada del dispositivo conectado está configurada correctamente.
5. Si no puede conectarse a Internet o a la red corporativa, verifique que la ruta predeterminada en Catalyst 3550 apunta a la dirección IP correcta en el router predeterminado. Verifique también que la dirección IP y la máscara de subred del switch están configuradas correctamente.

Origen de OPENOFFICE

Es un componente de la suite ofimática de OpenOffice.org. de Sun Microsystems. Es en esencia, un procesador de texto multiplataforma. The Free and Open Productivity Suite

Sun compró el programa StarOffice a la compañía germana StarDivision y la renombró como OpenOffice.org bajo las licencias GNU LGPL y la SISSL, colaborando de esta forma con el movimiento del software libre. Es similar a la suite de Microsoft Office y es multiplataforma.

StarOffice continúa existiendo como un producto comercial de software propietario asentado en el desarrollo de OpenOffice.org. Sus ventajas son, el servicio o mantenimiento propio de Sun, ante un problema por ejemplo, además de incluir una abundante documentación, o una amplia variedad de fuentes y plantillas.
http://www.openoffice.org/
Actualmente, soporta el formato propietario .doc de Microsoft Word casi en su totalidad, además de otros formatos clásicos de documentos.
El formato nativo para exportar documentos es XML.
Puede exportar a ficheros PDF nativamente sin usar programas intermedios.
Tambien soporta gran número de formatos. (Ver, por ejemplo, la lista recolectada por Wikipedia* de otras fuentes):

Writer es también un potente editor HTML

*http://es.wikipedia.org/wiki/OpenOffice....

RESUMEN y concreción de las diferencias:

http://www.laflecha.net/canales/empresas...
http://www.google.es/search?client=firef...
Actualmente la mayoría de los procesadores de texto son del tipo WYSIWYG (por ejemplo, los editores web).

La "antigua"**versión OpenOffice.org 1.1 presentaba ya características como la exportación a PDF, las cuales lo hacen más flexible en cuanto a la publicación y difusión de documentos en la Internet.
**La última versión es la 3.1.1
http://download.openoffice.org/index.htm...

LO MÁS IMPORTANTE es una alternativa GRATUITA, DE CÓDIGO ABIERTO, ETC, a microsoft office.

OpenOffice.org es una suite totalmente compatible con el popular Microsoft Office, que sin duda te sorprenderá por su fiabilidad, su potencia y sobre todo su precio: es gratuita.

Se trata de un PROYECTO que además de facilitar la descarga del software gratuitamente, pone a disposición de los internautas el código fuente del mismo e invita a colaborar en el desarrollo de la suite, corrección de bugs, programación de parches, etc.

OpenOffice incluye un procesador de textos, una hoja de cálculo y una herramienta para crear presentaciones, compatibles respectivamente con Word, Excel y PowerPoint.

Todas ellas ofrecen una extensa variedad de herramientas y opciones que "nada tienen que envidiar" a otras aplicaciones del mismo estilo: conexión directa con cliente de e-mail, gestor de plantillas, maquetación y diseño, utilidades de importación y exportación, etc.

También tienes acceso a diversas herramientas de edición de gráficos, con soporte para sesiones de diapositivas y creación de presentaciones multimedia.
OpenOffice.org soporta los siguientes formatos:

ODT, ODS, ODG, ODP, ODC, ODF, ODI, ODB, ODM, DOC, XLS, PPT, PNG, JPG, TXT, RTF, DOCX, XLSX, PPTX, OTT, OTS, OTP, OTG

Para utilizar OpenOffice.org necesitas:

* Sistema operativo: Win95/98/98SE/Me/2000/NT/XP/Vista
http://images.google.es/images?client=fi...
http://es.tldp.org/Manuales-LuCAS/doc-ma...

CONCLUSIÓN Como consecuencia del dominio del mercado de Microsoft, yo mismo uso Microsoft Office (2002). De suyo se comprende que un producto de 150-200 Euros ofrecerá algo más que un producto gratuito, pero el monopolio de Microsoft, como cualquier monopolio impide la competencia de la cual surguió, cosa que no favorece a producto alguno, excepto a sus propietarios.

Source:

http://es.openoffice.org/

GANAR DINERO

GANAR DINERO CLIKAR , EN LA SIGUIENTE IMG

hackear facebook

Esta duda, es rutinaria, es duda pa muchos, es para jactarse para otros, total que esta duda la he tenido en la cabeza madurándola, y dándole de vueltas como explicarlo, pero creo que al fin tengo la solución.
Empezemos.

que es hackear?:
es violentar o vulnerar (osea pasarse) la seguridad de un sistema informático (llamese programa, pagina), osea que hackear podria referirse a lo siguiente:

a) Coger algun soft y editarlo, o coger una fuente y lograr hacer algunas moficicaciones a su estado natural.
 b) coger algun soft y modificarlo para que reciba cierto serial, o key, o crear un keygen, o crearle alguncrack, o parche.
c) lograr dejar una pagina fuera de servicio atacandolo (puro Anonymous) violando su seguridad ytodo eso.
d) para muchos el robar un serial, una contraseña, o andar de ladronzuelo no es hackear para otros lo es, el asunto es que logra su cometido de violar la privacidad de la pagina. 

entendiendo que es hackiar ahora vamos a las meras respuestas.

Se puede hackear facebook?:
Facebook la pagina como tal, no se puede hackear, y si han habido algunos bugs que ha tenido (se ha podido hackear claro que si), pero lo han logrado personas extremadamente buenos en esto del hackeo.

Se puede hackear un perfil? SI  se puede hackear (si se toma en cuenta que robar una contraseña eshackear, cuando en realidad es mas atacar y descodificar el dato o algo asi jajaja), de verdad se puede o no hackear el PERFIL de una persona en facebook, SI, pero no cualquiera lo puede hacer.
en pocas palabras NO se puede hackear jajajaja, perdon pero es cierto.

que el SI Y NO desmedido que hando escribiendo no los confunda la posibilidad de que ha nosotros nos hackeen el Face es 50-50% posible.

Que puedo hacer para que no me hackeen el Face (o como pueden hackearme):
1. siempre cierra tu perfil (No importa si es tu pc personal)
2. para hackear hasta donde yo se se necesita la pc de la victima
3. contradiciendo la 2 , se puede via internet, asi que fijo verifiquen que la pagina de Face sea laoficial cada vez que entren a su Face (www.Facebook.com)
4. se puede conseguir correo y contraseña via los navegadores (asi que cuidado heee)
5. se pueden enviar soft que consigan los datos de correo y face, asi que eviten abrir correos sin ver quien los manda
6. existen varias formas de recoger los datos de las pcs, para poder hackear el face.
7. ningun programa que dice tirar o coger la contraseña de la victima funciona, ninguno, cuidado con andar bajando virus en su pc, o programas fake (falsos pue).
8. espero entiendan que se puede hackear perooooooo el hackeador tiene que tener cierto nivel, no es cualquiera quien lo puede hacer.
9. porque se te olvido cerrar tu face y tus cuates se metieron a colocar cosas en tu perfil no quiere decir que te hackearon, eso se llama descuido.
10. Con un buen antivirus, una excelente Malware, con eso evitaran cualquier soft fake (falsos que dicen conseguir contraseñas y cosas asi), y tambien los softs que si logran hackear su pc, osea que con antivirus actualizado, no logran entrar soft aunque anden disfrazados de imagenes.

Listo alli esta la respuesta, espero haber podido darme a explicar.
a los que quieren probrar les dejo un soft para hackear.