ICARED.ES
  • INICIO
  • SEVICIOS MSP
  • INGENIERIA DE REDES
  • SEGURIDAD
  • HANDS&EYES
    • HANDS&EYES English
  • CONTACTO
  • APPs
  • SOPORTE CLIENTES

blog de capa 8 
​sobre redes y sistemas

SWITCH UBIQUITI UNIFI: La alternativa económica

8/11/2017

0 Comentarios

 

Ubiquiti Networks, es un fabricante que nos tiene acostumbrados a fabricar buenos productos, a un precio muy muy competitivo. En su catálogo de productos tenemos la gama Unifi destinada al despliegue de redes wifi para acceso, con monitorización mediante su software de gestión Unifi Controller. A continuación os damos nuestra impresión sobre este producto y sus posibilidades.

Imagen
​​Una de las principales ventajas de los switch Unifi de Ubiquiti es su precio, un switch de 24 puertos, todos Gigabit, PoE+, con un maximo de 250 w de consumo y dos slots SFP tiene un coste aproximado de 370 € . Este precio para un switch de estas características y con una gestión centralizada es un precio muy razonable. Por ejemplo, si comparamos con otro fabricante, que también nos tiene acostumbrados a buenos precios, TP LINK tiene uno similar, el T2600-28MPS, con 24 puertos PoE +, gigabit y su precio es de 383 €, incluido IVA. Como vemos el precio es mas que razonable para este tipo de switch y ademas tiene una gestión centralizada que nos permite monitorizar no solo el switch, sino también los puntos de acceso unifi, teléfonos VoIP y el Gateway de seguridad que nos da la capa 3.

​También tenemos una versión de 500 w, para aplicaciones más exigentes en consumo. Estos switch son de capa 2. Unifi delega la capa 3 a su gateway o a un router externo, ninguno de los switch unifi tiene características de capa 3, esto es algo muy a tener en cuenta cuando nos encontramos en instalaciones mas complejas. Yo habitualmente me encuentro con instalaciones que eligen la combinación Unifi + Mikrotik,  delegando la capa 3 a Mikrotik, que es fabricante con soluciones muy buenas y a precios muy económicos. Es muy importante tener presente esta característica, porque en WiFi no podremos dar rangos de DHCP o crear subredes sino contamos con un dispositivo de capa 3 que haga esta función. Gestión. Los switch Unifi están pensados para integrarse junto con el resto de la gama unifi y gestionarlo todo desde el controlador Unifi Controller.

Imagen
​El unifi controller es un software de gestión que podemos instalar en un ordenador conectado a la red local, en un ordenador instalado en Amazon AWS o podemos tener un mini controlador que nos vende Ubiquiti, que se llama Cloud Key, que tiene un mini linux con el Unifi Controller y que podemos conectar en nuestra red y tener acceso desde internet o bien directamente redirigiendo el puerto de acceso, o asociándolo a una cuenta cloud de unifi. Sea cual sea la forma que hayamos escogido para tener el Controlador instalado, este nos permite de forma centralizada configurar/gestionar/monitorizar toda la red Unifi y todos los dispositivos de la gama Unifi: Puntos de Acceso WiFi, Switch, VoIP y Gateway de seguridad. Esto es claramente una ventaja frente a otros fabricantes, por ejemplo, si tenemos 10 Switchs de TP-LINK, su gestión será mas engorrosa porque tendremos que acceder uno a uno, pero con el Unifi Controller la ventaja es que podemos gestionarlos todos desde un mismo sitio, el Controlador de Unifi. La desventaja que vemos a este sistema es que actualmente está situado en lo que podríamos llamar una situación híbrida, es decir, no es gestionable de forma individual como pueda ser un switch Cisco, pero tampoco es gestionable completamente Cloud, como Aerohive, Meraki o Open Mesh, requiere del Unifi Controller, y esto requiere o pagar un servicio en Amazon AWS, o tener un ordenador en la misma red local, o pagar por el Cloud Key, todas las soluciones tienen un coste extra de mantenimiento y una variable más de fallo. Las soluciones completamente cloud, no tienen controlador local, se conectan directamente a su controlador cloud y la ventaja de esto es que no tenemos que preocuparnos por ese controlador, no tenemos que estar pendientes de problemas de mantenimiento, caída de red, fallo de sistema, actualizaciones, etc…., la única ventaja clara del Unifi Controller es el precio. En cuanto al Cloud Key, hay que destacar que su potencia es limitada, según el foro de ubiquiti no tiene capacidad para gestionar más de 1000 clientes, y algunos distribuidores lo desaconsejan para instalaciones de mas de 30 equipos unifi, debemos tener muy presente estas limitaciones.
Imagen
El manejo del Unifi Controller en general es sencillo, aunque tiene detalles muy enrevesados, por ejemplo la configuración vlan de los puertos del switch. Configurar un puerto del switch para que trabaje en modo acceso o trunk, debería ser algo muy fácil de hacer, solo sería cuestión de editar el puerto, seleccionar el tipo: access o Trunk, y especificar la vlan en el caso de Access y las vlans permitidas en el caso de trunk así como la vlan nativa, es así de simple, pero en el unifi Controller complican algo tan sencillo, mezclando conceptos de capa 3 en un dispositivo de capa 2 y esto complica la gestión del switch, teniendo que dar varios pasos para hacer algo que se puede hacer fácilmente en uno. Hardware. El acabado del switch es muy bueno, da la sensación de ser un buen producto, con sus slots SFP que cuentan con módulos SFP de muy bajo coste, permitiéndonos conectar uplinks de fibra a muy bajo coste. La única pega es que algunos modelos como el 24 puertos de 250 w, es un poco ruidoso. Sus ventiladores de velocidad variable son ruidosos y debemos tener presente esto cuando vamos a instalarlos en zonas donde hay especial sensibilidad al ruido, como en oficinas o viviendas. Cada vez mas, se instalan redes informáticas en viviendas para interconectar todas las zonas, con red cableada gigabit PoE, permitiendo conectar equipos multimedia, TV, WiFi, cámaras, etc…, 

Conclusión. Los switch de ubiquiti son productos a tener muy presentes en la mayoría de proyectos en los que las restricciones en el presupuesto no permiten otras alternativas profesionales como  Cisco Meraki o Aerohive.

Gracias a la experiencia de HYXION14 podemos ofrecer esta solución probada y realmente económica. Si necesitan más información no duden en contactar con nosotros a través de nuestro portal o directamente con los ingenieros de HYXION14. Estamos deseando conocer su proyecto y dar solución a sus necesidades.

Daniel Lopera.
Ingeniero de redes.
0 Comentarios

Empresas y CIOs extorsionaDDoS

8/2/2016

1 Comentario

 

Ataques de alto nivel DDoS de organizaciones criminales ponen en jaque los servicios online de pequeñas y grandes compañías.

Imagen
Los ataques DDoS que en los últimos meses que han puesto en el punto de mira a grandes compañías (principalmente del sector financiero) evidencian que la seguridad en INTERNET es un factor decisivo en la estrategia de cualquier empresa e institución que quiera prestar sus servicios online o parte de su proceso de negocio se encuentre en la nube (ERP, CRM, DATA WAREHOUSE…).​

Qué es un ataque DDoS

En seguridad informática, un ataque de denegación de servicios, también llamado ataque DoS (de las siglas en inglés Denial of Service) o DDoS (de Distributed Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Los ataques DDoS podrían clasificarse en 2 tipos

■ Directos: Direct DDoS attacks. Es este caso el atacante (desde su servidor o un enjambre de servidores) envía un número suficiente de PACKETS con el objeto de inundar el servidor independientemente del tipo de protocolo o aplicación usada.
​
■Reflexión: En este caso el servidor atacante engaña a servidores terceros haciéndose pasar como servidor perteneciente al pool de servidores de la organización objetivo para que respondan con PACKETS al servidor objetivo. Hay una variante de este ataque cuando los PACKETS que se envían a servidores terceros son respondidos con PACKETS de mucho mayor tamaño al servidor objetivo en lugar de al atacante.

El hecho de derribar temporalmente mediante estos ataques los servidores que albergan las plataformas de servicios, comercio electrónico o información no solo atañe a la reputación del propietario del sitio web sino que en la mayoría de las ocasiones supone un grave perjuicio económico al no poder prestar servicio durante el ataque y el los momentos posteriores a la restauración del sistema.

¿Estoy sufriendo un ataque DDoS? ¿Porqué a nosotros?

Imagen
Enterarse de que la organización está sufriendo uno de estos ataques por llamadas de clientes que no pueden acceder al servicio es algo que, al margen de la reputación y los quebraderos de cabeza del Dpto de Marketing, es un indicativo de falta de control sobre las infraestructuras TIC. Cierto es que no todas las empresas pueden destinar recursos a un departamento de seguridad de sistemas y redes, pero también es cierto que existen multitud de servicios y software asequible que puede detectar si nuestras infraestructuras están sufriendo un ataque y, al menos, paliar los efectos. SI, decimos paliar, a fecha de hoy nadie está a salvo de este vector de ataque si la organización criminal que hay detrás tiene los medios y la motivación suficiente.

Existen tres motivos genéricos para este tipo de ataques: Económicos (extorsión o competencia desleal), Hacktivismo y geopolíticos.  De cada uno de ellos se puede escribir un libro, pero el que con mayor medida afecta a la empresas es el primero: “O pagas o te tiramos el/los servidor/es”. Atrás quedan los tiempos del hacktivismo siendo hoy en día el principal motivo de ataques DDoS la extorsión o rescate por anticipado para evitar un posible ataque. Otro motivo, también económico, es el de un competidor que no comprenda lo que significa FAIR PLAY derribando los servidores de la competencia para atraer tráfico a su plataforma de servicios online.

El problema es que mientras existan empresas que prefieran pagar un rescate (pueden ir desde 100€ hasta más de 1.000.000€  para evitar una merma en sus operaciones online, habrá delincuentes y organizaciones criminales que vean en el ataque DDos una fuente rentable de ingresos. Según el último informe de Worldwide Infrastructure Security Report from Arbor Networks, de entre los distintos tipos de amenazas a las infraestructuras TIC, este tipo de ataques está en alza siendo los ataques cada vez más efectivos: Si en 2014 el 34% de empresas que participaron en la encuesta de WISR reconocieron la caída de sus servidores en uno de estos ataques, en 2015 la cifra asciende por encima del 50%.

El software o los servicios de estas organizaciones criminales cada vez son más asequibles y eficaces. Es más, en ocasiones cuando una empresa está sufriendo uno de estos ataques en pequeña escala , la motivación no es directamente la económica, sino que puede ser una pequeña demostración (no dañina y que no levante sospechas) que se esté efectuando por parte de estas organizaciones a un tercero interesado en tirar los servidores de nuestra compañía. Por eso es importante monitorizar las redes y no subestimar un ataque por ridículo que sea porque puede ser la antesala de uno de proporciones mayores.

No es intención siquiera didáctica informar en estas líneas de cómo ejecutar un DDoS se pero sí decir que estos ataques pueden efectuarse de forma muy rudimentaria (botnets, fuerza bruta coordinada en foros, bbs) o mediante tecnología muy avanzada sólo disponible para organizaciones con recursos financieros suficientes y departamentos de defensa. En el WISR se ha detectado incluso ataques DDoS en entornos IPv6 lo cual indica que este vector de ataque va evolucionando con la tecnología existente.

Agradecemos a Arbor Networks la información facilitada y recomendamos al lector técnico descargar los White Papers de esta empresa de seguridad de redes y sistemas.

1 Comentario

ICARED(CONFIG-IF)# NO SHUTDOWN

8/2/2016

0 Comentarios

 
Imagen

Luces verdes parpadeando y mensaje en CLI: %LINK-5-CHANGED: Interface ICARED0/0/0, changed state to up

Lo que se inició como una idea finalmente se ha materializado en un proyecto empresarial de un grupo de jóvenes -algunos ya canosos- apasionados por la tecnología que se iniciaron en la informática aporreando las teclas coloridas de un AMSTRAD CPC464 y las de goma de un ZX Spectrum Sinclair copiando los POCKETS de MICROMANIA . Arrancamos esta nueva etapa desde ICARED.ES con la ilusión de servir al tejido empresarial desde el sur de España en materia de redes y sistemas directamente o bien como  -perdonar el anglicismo- Eyes&Hands de empresas TIC que deseen implantar/mantener sus proyectos en nuestro ámbito de actuación. 

Planificar, implementar, mantener y securizar redes de datos y sistemas es nuestro núcleo de trabajo y hay que decir que es un trabajo satisfactorio en las ocasiones en que lo haces con los mejores partner tecnológicos (CISCO, Juniper, VEEAM por dar sólo unos ejemplos). Lo mejor de todo es que no es un trabajo tedioso ya que todas las redes que nos encontramos y encontraremos son distintas, muchas de ellas infrautilizadas en cuanto a Hardware y Software con funcionalidades no activadas desconocidas por el Dpto. Informático del Cliente (propio o externalizado). Muchas de estas opciones aumentan el rendimiento, seguridad y optimizan el coste del uso de las infraestructuras.

Estamos experimentando un boom en nuevas tecnologías y arquitecturas de redes que a buen seguro van a cambiar radicalmente en poco tiempo la fisonomía de las infraestructuras organizacionales de las empresas e instituciones y, como derivada, los nuevos servicios que éstas pueden ofrecer a la sociedad en su conjunto. Queremos estar en primera línea y este Blog es el medio perfecto para trasladar desde las trincheras nuestras experiencias, conocimientos e inquietudes.

Sabemos que esto es un Blog y no un libro  pero queremos hacer lo mismo que se hace en muchos de ellos: agradecer a nuestras familias y amigos el apoyo y tiempo que le hemos pedido y pediremos prestado. También agradecemos al profesor Laz Díaz por su inspiración y a Todd Lammle  por el soporte que se ha prestado a darnos así como por el material de estudio y consultas el cual nos es siempre IMPRESCINDIBLE. GRACIAS!

0 Comentarios
    Imagen

    Autores

    ​FJimenez

    Archivos

    Noviembre 2017
    Febrero 2016

    Categorías

    Todos
    Networking
    Seguridad

    Fuente RSS

Servicios

SAT/CAU Soporte TI. 
Ingeniería de redes.
Seguridad.

Hands&Eyes.

Soporte

Contacto.
Terminos de uso.
Disponibilidad.

APPs

appS icared  >
Copyright 2018 ICARED.ES
  • INICIO
  • SEVICIOS MSP
  • INGENIERIA DE REDES
  • SEGURIDAD
  • HANDS&EYES
    • HANDS&EYES English
  • CONTACTO
  • APPs
  • SOPORTE CLIENTES