Embed Size (px)
Citation preview
Internetworking
Sumario
• Aspectos generales. Dispositivos Básicos
• Routing multiprotocolo
• NAT. Tipos y limitaciones
• Túneles. Redes Privadas Virtuales
• IPSec
• Cortafuegos. Arquitecturas
Definición de Internetworking
Unión de redes diferentes a cualquier nivel (físico, de enlace, etc.) de forma que desde los niveles superiores se aprecie como una única red homogénea. Las redes pueden diferir en el medio físico (Ethernet, Token Ring, LAN, WAN, etc.) o en la pila de protocolos utilizados (TCP/IP, DECNET, SNA, etc.)
Dispositivos• Repetidores: retransmiten la señal a nivel físico, bit a bit
(ej. Ethernet, SDH,...)• Amplificadores: similares a los repetidores pero actúan
sobre la señal de forma analógica• Puentes y conmutadores LAN: analizan la trama a nivel
de enlace. Permiten constituir redes rudimentarias (LAN-WAN)
• Routers y conmutadores de nivel de red (ATM, F.R., X.25): interconectan a nivel de red. Son prácticamente necesarios cuando se realiza una conexión WAN. A menudo soportan múltiples protocolos.
• Pasarelas: actúan a nivel de transporte o niveles superiores (aplicación).
Dispositivos de Internetworking
Aplicación
Sesión
Transporte
Red
Enlace
Física
Presentación
Pasarelas de aplicación
Pasarelas de transporte
Routers, Conmutadores ATM
Puentes, Conmutadores LAN
Repetidores, concentradores, amplificadores
Sumario
• Aspectos generales. Dispositivos Básicos
• Routing multiprotocolo
• NAT. Tipos y limitaciones
• Túneles. Redes Privadas Virtuales
• IPSec
• Cortafuegos. Arquitecturas
IPIP IP
IP
IPX
IPX IPX
IPX
64 Kb/s
64 Kb/s
Conexión entre dos LANs con routers específicos por protocolo
El uso de routers específicos por protocolo obliga a mantener una red independiente en la WAN para cada protocolo
IP
IP
IPX IPX
IP
IP
IPX IPX
128 Kb/s
MUXMUX
Los multiplexores permiten compartir la red, pero la asignación de capacidad se ha de realizar de forma estática
Conexión utilizando multiplexores
64 Kb/s
64 Kb/s64 Kb/s
64 Kb/s
IP
IP
IPX
IPXIP
IP
IPX
IPX
128 Kb/s
La capacidad de la red se reparte de forma dinámica entre todos los protocolos
Conexión utilizando routers multiprotocolo
Routing integrado vs ‘buques en la noche’
• En una red multiprotocolo se puede:– Emplear un protocolo de routing diferente para cada
protocolo de red utilizado
– Emplear un protocolo de routing integrado que indique la ruta óptima a todos los protocolos utilizados
• Con routing integrado los cálculos se realizan solo una vez, pero nos vemos obligados a soportar todos los protocolos en todos los routers.
IP
IP
IPX
IPXIP
IP
IPX
IPX
Buques en la noche
IPX
IPX
IPX
IPXIP+OSPF +OSPF +OSPF
+NLSP+NLSP+NLSP
+NLSP
IP
IP
IPX
IPXIP
IP
IPX
IPX
Routing integrado
IPX
IPX
IPX
IPXIP
IP
IS-IS
IS-IS
IS-IS
IS-IS
Sumario
• Aspectos generales. Dispositivos Básicos
• Routing multiprotocolo
• NAT. Tipos y limitaciones
• Túneles. Redes Privadas Virtuales
• IPSec
• Cortafuegos. Arquitecturas
Traducción de direcciones (NAT). RFC 1631
• Consiste en traducir una dirección IP en otra de acuerdo con cierta tabla de equivalencias.
• Se utiliza mucho como mecanismo para ‘extender’ el rango de direcciones disponible en una red.
• NAT (Network Address Translation)se suele utilizar para conectar a Internet redes TCP/IP que utilizan rangos privados (RFC 1918): 10.*.*.*, 172.16-31.*.* y 192.168.0-255.*.
• La traducción la puede realizar un router o un host. En Linux se denomina ‘IP masquerade’
RouterNAT
Internet
Uso de NAT
Direccionamiento públicoDireccionamiento privado10.0.0.0/8
172.16.0.0/12192.168.0.0/16
Tabla de traducción
ServidorWeb
Traducción de direcciones (NAT)• Si se usa NAT es conveniente que sólo haya una
conexión con el exterior (un solo router).• Sólo paquetes TCP, UDP e ICMP. No se
intercambia info. de routing a través de un NAT.• Un NAT puede configurarse como:
– NAT Tradicional: solo permite iniciar sesiones desde la red privada.
– NAT Bidireccional: permite que las sesiones se inicien desde la red privada o desde el exterior.
Tipos de NAT• Según los campos que se modifican:
– NAT Básico: sólo se cambia la dirección IP– NAPT (Network Address Port Translation): se
modifica la dirección IP y el número de puerto TCP o UDP.
• Según la temporalidad de correspondencia:– Estático: la tabla de conversión se introduce en la
configuración del NAT y no se modifica dinámicamente
– Dinámico: la tabla de conversión se crea y modifica sobre la marcha en función del tráfico recibido. Las direcciones pueden reutilizarse. Requiere mantener en el NAT información de estado.
Estático Dinámico
NAT Básico
El número de direcciones públicas ha de ser igual al de privadas
El número de direcciones públicas puede ser menor, pero ha de ser suficiente para el número de ordenadores conectados simultáneamente
NAPT
En conexiones entrantes permite asociar a una sola dirección diferentes servidores
Una sola dirección pública permite la conexión de múltiples ordenadores
Tipos de NAT
192.168.0.3
192.168.0.2Router
NAT
205.197.101.111
207.29.194.84
Internet
192.168.0.1 206.245.160.1
Tabla NAT estáticaDentro Fuera
192.168.0.x 206.245.160.x
Origen: 192.168.0.2:1108Destino: 207.29.194.84:80
Origen: 192.168.0.3:1108Destino: 205.197.101.111:21
Origen: 206.245.160.2:1108Destino: 207.29.194.84:80
Origen: 206.245.160.3:1108Destino: 205.197.101.111:21
NAT básico estático
Cliente
Cliente
ServidorWeb
ServidorFTP
192.168.0.3
192.168.0.2
205.197.101.111
207.29.194.84
Internet
192.168.0.1 206.245.160.1
Origen: 192.168.0.2:1108Destino: 207.29.194.84:80
Origen: 192.168.0.3:1108Destino: 205.197.101.111:21
Origen: 206.245.160.5:1108Destino: 207.29.194.84:80
Origen: 206.245.160.6:1108Destino: 205.197.101.111:21
NAT básico dinámico
Rango NAT: 206.245.160.5-10Tabla NAT dinámica
Dentro Fuera
RouterNAT
Cliente
Cliente
ServidorWeb
ServidorFTP
192.168.0.2 206.245.160.5192.168.0.3 206.245.160.6
192.168.0.3
192.168.0.2
205.197.101.111
207.29.194.84
Internet
192.168.0.1 206.245.160.1
Origen: 192.168.0.2:1108Destino: 207.29.194.84:80
Origen: 192.168.0.3:1108Destino: 205.197.101.111:21
Origen: 206.245.160.1:61001Destino: 207.29.194.84:80
Origen: 206.245.160.1:61002Destino: 205.197.101.111:21
NAPT dinámico
Tabla NAPT dinámicaDentro Fuera
RouterNAT
Cliente
Cliente
ServidorWeb
ServidorFTP
192.168.0.2:1108 61001192.168.0.3:1108 61002
Transport LAN WAN NAPTProtocol Port IP Address Port IP Address Port IP Address--------------------------------------------------------------------- udp 27960 192.168.1.11 27960 212.142.28.226 60218 192.76.100.7 tcp 1098 192.168.1.11 8000 205.149.163.62 60020 192.76.100.7 tcp 1661 192.168.1.10 8000 192.160.165.89 60007 192.76.100.7
Ejemplo: Tabla NAPT dinámica en un router ADSL
El ordenador 192.168.1.11 está jugando al Quake 3 (puertoUDP 27960) y a la vez oye una emisora MP3 (puerto TCP 8000). Al mismo tiempo el ordenador 192.168.1.10 oye otra emisora MP3.
Ejemplo obtenido de: http://adsl.internautas.org/sections.php?op=viewarticle&artid=1
RouterNAT
Internet
192.168.0.1 206.245.160.1
NAPT estático
192.168.0.5209.15.7.2
Origen: 209.15.7.2:1067Destino: 192.168.0.5:80
Origen: 209.15.7.2:1067Destino: 206.245.160.1:80
Tabla NAPT estáticaDentro Fuera192.168.0.4:21 21192.168.0.5:80 80
192.168.0.4
211.23.5.6
Origen: 211.23.5.6:1084Destino: 192.168.0.4:21
Origen: 211.23.5.6:1084Destino: 206.245.160.1:21
ServidorWeb
ServidorFTP
Cliente
Cliente
Consecuencias de NAT• Al cambiar la dirección IP es preciso modificar:
– La cabecera IP, incluido el checksum– El checksum de la cabecera TCP o UDP ya que la
pseudocabecera utiliza la dirección IP para calcular el checksum.
– En caso de utilizar NAPT hay que modificar el número de puerto TCP/UDP y los correspondientes checksums (de TCP/UDP y de IP).
– Los mensajes ICMP contienen direcciones IP embebidas que hay que modificar, así como el checksum embebido y el del paquete IP que lo contiene.
– Los mensajes SNMP incluyen direcciones IP en diversos sitios de la parte de datos del paquete que hay que cambiar.
Limitaciones y problemas de NAT• Comandos de inicio FTP incluyen direcciones IP de los
hosts en ASCII; si el número de caracteres varía hay problemas: 206.245.160.2 192.168.0.2 (usar 192.168.000.2) 192.168.0.2 206.245.160.2 (intercalar caracteres)
• Algunos protocolos de aplicación (ej. H.323, NetBIOS) incluyen las direcciones IP en diversos sitios de los datos del paquete. Esto requiere pasarelas del nivel de aplicación para funcionar a través de NAT.
• No puede utilizarse la función AH de IPSec. La situación mejora si se utiliza IPSec en modo túnel y el NAT se hace antes o en el mismo dispositivo que el túnel IPSec.
Conclusiones sobre el uso de NAT• NAT no es algo deseable en sí mismo, pues impone
restricciones al realizar cambios en la cabecera IP sin conocimiento del host.
• Los intentos de resolver los problemas de NAT adaptando el protocolo en el host o utilizando pasarelas a nivel de aplicación son una solución compleja y no transparente y sólo deben aplicarse cuando sea inevitable.
• La seguridad de NAT es sólo aparente. La verdadera seguridad, que se basa en utilizar IPSec y un firewall adecuado, se ve limitada cuando se utiliza NAT.
• El mejor NAT es el que no existe.La solución definitiva al problema de escasez de direcciones está en la migración de IPv4 a IPv6.
Sumario
• Aspectos generales. Dispositivos Básicos
• Routing multiprotocolo
• NAT. Tipos y limitaciones
• Túneles. Redes Privadas Virtuales
• IPSec
• Cortafuegos. Arquitecturas
Túneles
• Permiten conectar un protocolo a través de otro• Ejemplos:
– Túnel SNA para enviar paquetes IP
– MBone: túneles multicast sobre redes unicast
– 6Bone: túneles IPv6 sobre redes IPv4
– Túneles IPv4 para hacer enrutamiento desde el origen
• También permiten crear redes privadas virtuales o VPNs (Virtual Private Networks)
Red SNA
Ejemplo de túnel
Red TCP/IP
Túnel SNA transportando datagramas IPLos datagramas IP viajan ‘encapsulados’ en paquetes SNA
Encapsulador Encapsulador
Datagrama IPPaquete
SNA
Red TCP/IP
Redes Privadas Virtuales (VPNs)
• Consiste en aprovechar una infraestructura pública para simular una red privada.
• El direccionamiento es independiente del de la red pública.
• Solución muy útil actualmente para comunicar una empresa a través de Internet.
• A menudo conllevan un requerimiento de seguridad (encriptación con IPSec).
• Se basa en la creación de túneles. Los túneles pueden conectar usuarios u oficinas remotas.
Puede ir encriptado(si se usa IPSec ESP)
200.1.1.20
ISP 1
ISP 2
199.1.1.69
199.1.1.10Servidor de Túneles
Rango 199.1.1.245-254
Túnel VPN199.1.1.245
Origen: 200.1.1.20 Destino: 199.1.1.10
Origen: 199.1.1.245Destino: 199.1.1.69
Datos
Funcionamiento de un túnel VPN para usuario remoto
POP (Point of Presence)Red 200.1.1.0/24
Ping 199.1.1.69
Origen: 199.1.1.245Destino: 199.1.1.69
Datos
Servidor con accesorestringido a usuariosde la red 199.1.1.0/24
Red 199.1.1.0/24
Tipos de túneles VPN en Internet
• Existen dos tipos de túneles VPN (dos formas de encapsular los datagramas):– PPTP (Point to Point Tunel Protocol): orientada
al usuario. Permite establecer un túnel de forma transparente al proveedor de Internet.
– L2TP (Level 2 Tunel Protocol): orientada al proveedor. Permite establecer un túnel de forma transparente al usuario.
Sumario
• Aspectos generales. Dispositivos Básicos
• Routing multiprotocolo
• NAT. Tipos y limitaciones
• Túneles. Redes Privadas Virtuales
• IPSec
• Cortafuegos. Arquitecturas
Objetivos de la Seguridad
• El problema de la seguridad en redes comprende cuatro cuestiones fundamentales:– Confidencialidad: el mensaje no puede ser interpretado
por usuarios no autorizados– Control de integridad: El mensaje en ruta no puede ser
modificado, o si lo es la alteración debe poder ser detectada por el receptor.
– Autentificación: el receptor tiene la certeza de que el autor del mensaje es correcto (firma digital)
– No repudio: El autor de un mensaje no puede negar haberlo enviado (firma digital)
IPSec
La comunicación segura puede realizarse a diversos niveles:
Nivel Ejemplo Ventajas Inconvenientes
Enlace Redes CATV, encriptación en líneas p. a p.
Independiente del protocolo de red.
Conexión transparente de LANs.
Encriptar-desencriptar en cada salto introduce retardo y consume recursos.
Requiere control de la infraestructura de red.
Red IPSec Independiente de nivel de transporte o aplicación.
Independiente de infraestructura.
Conexión transparente de LANs.
Adecuado para VPNs.
Solo aplicable a IP (v4 y v6). Otros protocolos posibles previa encapsulación.
Aplicación
Mail (PEM, PGP),
SNMP v3,
Secure HTTP, SSL
Máxima seguridad (comunicación extremo a extremo).
Selectivo.
Ha de implementarse en cada aplicación y en cada host.
IPSec
• Está formado por:– Una Arquitectura (RFC 2401)– Un conjunto de protocolos– Una serie de mecanismos de autenticación y
encriptado.
• Se especifica en los RFCs 2401, 2402, 2406 y 2408.
Principales funcionalidades de IPSec
• AH (Autentication Header, RFC 2402): garantiza que el datagrama fue enviado por el remitente y que no ha sido alterado durante su viaje.
• ESP (Encapsulating Security Payload, RFC 2406): garantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado). Opcionalmente puede incluir la función de AH.
• ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408): consiste en un mecanismo seguro (manual y automático) de intercambio de claves utilizadas en las tareas de encriptado y autentificación de AH y ESP.
Modos de funcionamiento de IPSec
• Modo transporte: comunicación segura extremo a extremo. Requiere implementación de IPSec en ambos hosts
• Modo túnel: comunicación segura entre routers únicamente; permite incorporar IPSec sin tener que modificar los hosts. Se integra cómodamente con VPNs
IPSec modo transporte
Internet
Túnel IPSec
Internet
Router o cortafuegocon IPSec
IPSec modo túnel Router o cortafuegocon IPSec
Host con IPSec Host con IPSec
Encapsulado de IPSec
DatosCabecera
IP
Cabecera IPSec
Cabecera IP Túnel
DatosCabecera
IP
DatosCabecera IP
Cabecera IPSec
DatosCabecera IP
Encriptado si se usa ESP
Encriptado si se usa ESP
Modo transporte
Modo túnel
Encriptado en IPSec
• DES (Data Encryption Standard): Claves de 56 bits. Rápido, pero no 100% seguro.
• Triple DES: 100% seguro pero más costoso de calcular.
• AES (Advanced Encryption Standard): Aun no implementado en productos comerciales.
• Normalmente en routers y servidores de túneles la encriptación se hace por hardware cuando el tráfico es elevado (a partir de 100 sesiones, 2-4 Mb/s).
Sumario
• Aspectos generales. Dispositivos Básicos
• Routing multiprotocolo
• NAT. Tipos y limitaciones
• Túneles. Redes Privadas Virtuales
• IPSec
• Cortafuegos. Arquitecturas
Cortafuegos
• Mecanismo de protección que consiste en establecer una barrera entre la red de una organización (Intranet) y el exterior (Internet).
• Existen varias arquitecturas de cortafuego posibles, con diversos grados de protección y de dificultad de implementación.
Modelos de cortafuegos
+ + Bajo costoBajo costo+ + Alto rendimientoAlto rendimiento+ + Normalmente no UNIXNormalmente no UNIX+ Transparente+ Transparente
- - Direcciones visiblesDirecciones visibles
- - Stateless —> Stateless —> EngañableEngañable-Las reglas de filtrado Las reglas de filtrado pueden tener errorespueden tener errores
+ Stateful + Stateful + + Direcciones ocultasDirecciones ocultas++ Puede ver contenidosPuede ver contenidos
? ? Puede ejecutar serviciosPuede ejecutar servicios
- Costoso - Costoso - - Bajo rendimientoBajo rendimiento- - Normalmente UNIXNormalmente UNIX- No transparenteNo transparente
Aplicación
Sesión
Transporte
Red
Enlace
Física
Presentación
ModeloOSI
Routers filtradores de
paquetesServidores
Proxy
Internet
Un router puede filtrar paquetes de acuerdo con unas reglas definidas de antemano,
actuando como cortafuegos sencillo Red interna
Router actuando como cortafuego
Router filtro
Internet
Un servidor proxy intercepta todo el tráfico con el exterior. Además de las funciones de cortafuego puede actuar como servidor de
cache y traductor de direcciones
Red interna (172.16.0.0/16)
Servidor externo
Servidor proxy/router (host dual homed)
193.145.246.12
172.16.0.1
Cliente proxy (host interno) 172.16.0.4
Servidor proxy actuando como cortafuego
Internet
Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a
pasar por el ‘bastion host’ el restoRed interna
Router y servidor proxy combinados
Servidor Proxy (Bastion host)
Router filtro
Internet
Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 para poder realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web
internos desde el exteriorRed interna
147.156.0.0/16
Red con servidor proxy/ cache de uso obligatorio
Servidor Proxy/ cache
Router
147.156.1.18
permit tcp host 147.156.1.18 any eq www
deny tcp 147.156.0.0 0.0.255.255 any eq www
Filtro en el router
Cliente web
Servidor web
Servidor web
Internet
Red interna
Router interior
Bastion host/ router exterior
Red perimetral
Cortafuego
Internet
Red interna
Router exterior
Bastion host/ router interior
Red perimetral
Cortafuego
Configuración no recomendada (un ataque al Bastion host comprometería la seguridad de la red interna)
Internet
Red interna
Routers interiores Bastion host
Red perimetral
Cortafuego
Router exterior
Configuración no recomendada (con routing dinámico el tráfico de la red interna podría usar la red perimetral como vía de tránsito)
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)
Red interna
Router interior
Internet
Router exterior
Bastion host
Red perimetral
Web
DNS, Mail
Cortafuego con Zona Desmilitarizada
Red interna
Router interior
Internet
Router exterior
Bastion host
Red perimetral
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)
WebDNS, Mail
Cortafuego con DMZ independiente
Red interna
Router interior
Internet
Router exterior
Bastion host
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)
WebDNS, Mail
Cortafuego con DMZ conmutada
Red perimetral
Ser Hacker es fácil
Alert….
HackingParaTontos
Incluye CDRom
Ejemplo: Herramienta de ataque NetBus
ESPERO QUE ESTOS CIBER CRIMINALES
QUE ATACAN LA INTERNET ...
SEAN OSCUROS, TÉCNICAMENTE SOFISTICADOS
CONSIPRADORES QUE INTENTAN
DOMINAR EL MUNDO ...
NO UN PAR DE ADOLESCENTES DE 13 AÑOS CON
ACNÉ
Ataques DDoS (Distributed Denial of Service) 1ª fase: ‘Craquear’ ordenadores
Atacante
Craquear un grán número de Craquear un grán número de ordenadores utilizando vulnerabilidades ordenadores utilizando vulnerabilidades conocidas. Puede ser con herramientasconocidas. Puede ser con herramientasautomáticas.automáticas.
Ataques DDoS Segunda fase:
Instalar caballos de troya
Atacante
Repetidor inocente
1) Crear una jerarquía de repetidores1) Crear una jerarquía de repetidores y agentes y agentes2) Comunicación con paquetes ICMP2) Comunicación con paquetes ICMP
Agentes inocentes
Repetidorinocente Agentes
inocentes
Ataques DDoS tercera fase:Lanzar el ataque
Víctima
A
Atacar aAlicia ahora
Atacante
Repetidor inocente
Agentes inocentes
Repetidorinocente Agentes
inocentes
¿Cómo prevenir Ataques DDoS ?
Instalar filtros (RFC 2267) para prevenir IP spoofing (falseo de la dirección IP de origen). Por ejemplo:
Internet
Red 147.156.0.0/16
No aceptar paquetes con IP origen
147.156.0.0/16
No aceptar paquetes con IP origen 147.156.0.0/16
permit ip 147.156.0.0 0.0.255.255 any
deny ip any any
deny ip 147.156.0.0 0.0.255.255 any
permit ip any any
FIN
Internetworking
