Hola a todos…. Jugando un poco con el comando netsh para administrar el dhcp encontre la interesante opcion de agregar reservas por linea de comando.

¿ y como se hace ?

netsh dhcp server scope 192.168.100.0 add reservedip 192.168.100.45 08002b30369b "Reserva Pablo Campos" "Administrador del DHCP" BOTH

En palabras normales es : netsh dhcp server scope <ID de la red> add reservedip <IP> <MAC> <Nombre> <Descripcion> <tipo>

En el tipo puede ser DHCP BOOTP o BOTH

Para eliminar la reserva

netsh dhcp server scope 192.168.100.0 delete reservedip 192.168.100.45 08002b30369b

Eso es todo un saludo

 
Primero que todo ¿ Que es Ipsec ? : IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. “WikiPedia”

Despues de estudiar un pokito ipsec queria hacer una prueba real de su funcionamiento, asiq me decidi ha cifrar el trafico de telnet, el cual viaja plano por la red, y si un usuario inescrupuloso pone un sniffer de por medio, nos podria visualizar la data.

Escenario:

XP1: 192.168.100.9
server2003: 192.168.100.10

Network monitor, para anilizar el trafico de la red.

Paso 1: Conexion telnet entre XP1 y Server2003 sin ipsec

telnet 192.168.100.10

Ahora muestro el trafico capturado
Nota: mi password es uc

1. Como se puede ver en la primera imagen en el extremo inferior derecho, podemos ver claramente la palabra password:
2. En la siguiente imagen podemos ver claramente el numero 75 es exadecimal, que es equivalente a la letra u, que es la primera letra de mi password :(
3. En la siguiente imagen podemos ver claramente el numero 63 es exadecimal, que es equivalente a la letra c, que es la segunda letra de mi password :(

Entonces… Manos a la obra

En el servidor ejecutamos secpol.msc y nos vamos al submenu “Directivas de suguridad IP del equipo local” ,habilitamos ipsec en modo Servidor Seguro (requerir seguridad), este modo nos permite requerir que el trafico sea cifrado, es decir el cliente y el servidor deben hablar ipsec

Intentamos conectarnos por telnet 

telnet 192.168.100.10

Error no se pudo establecer la conexion

P:¿porq?
R:porq el cliente no estaba configurado con ipsec

P : ¿ que podemos hacer?
R : habilitar el cliente ipsec en el XP

En nuesto xp ejecutamos secpol.msc y habilitamos el “cliente (solo responder)”

Intentamos conectarnos por telnet 

telnet 192.168.100.10

Ahora muestro el trafico capturado
Nota: mi password es uc

Podemos ver claramente que los paquetes que viajan ya nos son telnet si no que son ESP Encapsulating Security Payload el cual  proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad.

Los caracteres que viajan entre el cliente y el servidor son puros “garabatos” encriptados.

Pero ahora alguien me podria decir ¿ pero con eso esta cifrando todo el trafico hacia el servidor y no solo el telnet ?

La respuesta es SI

Entonces como pudo cifrar el trafico solo telnet a mi servidor al puerto 23.

Para eso debemos crear una nueva politica de seguridad Ipsec

Eso es todo ufffff

Estudiando un poquito mas DNS me encontre con estos 2 terminos que me confundieron un poco, asi que los explicare con unos breves ejemplos.

Pero primero veamos un diagrama tipico de una consulta DNS al dominio www.microsoft.com
Q= Consulta “Query”
A=Respuesta “Answer”

• Ahora, para que sirve la opcion No usar Resursividad para este dominio



Esta opcion esta en la pestaña reenviadores y es para que cuando le preguntan a mis servidor DNS por un nombre que no conoce, lo reenvie al servidor 192.168.100.10 y no use la recursividad, es decir nunca ira a los servidores de sugerencia Raiz.

• Ahora, para que sirve la opcion Desabilitar Resursividad

La opcion Desabilitar Recursividad, sirve para que nuestro servidor DNS responda solo a nombres que conosca en sus zonas o cache, es decir nunca ira a los servidores de sugerencia Raiz.

En el diagrama anterior, si preguntamos por www.google.cl y mi servidor no lo tiene en sus zonas ni en su cache, no ira a preguntar  a otro servidor.

¿ para que demonios me puede servir esto ?

Me podria servir para que mis servidores dns solo resuelvan direcciones de mis zonas de intranet y no de internet

Recordemos que cuando habilitamos esta opcion, queda deshabilitada la opcion en os reenviadores.