Internetworking Internetworking Redes

Sumario Aspectos generales. Dispositivos Básicos Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes

Definición de Internetworking Unión de redes diferentes a cualquier nivel (físico, de enlace, etc.) de forma que desde los niveles superiores se aprecie como una única red homogénea. Las redes pueden diferir en el medio físico (Ethernet, Token Ring, LAN, WAN, etc.) o en la pila de protocolos utilizados (TCP/IP, DECNET, SNA, etc.) Redes

Internetworking Dispositivos Repetidores: retransmiten la señal a nivel físico, bit a bit (ej. Ethernet, SDH,...) Amplificadores: similares a los repetidores pero actúan sobre la señal de forma analógica Puentes y conmutadores LAN: analizan la trama a nivel de enlace. Permiten constituir redes rudimentarias (LAN-WAN) Routers y conmutadores de nivel de red (ATM, F.R., X.25): interconectan a nivel de red. Son prácticamente necesarios cuando se realiza una conexión WAN. A menudo soportan múltiples protocolos. Pasarelas: actúan a nivel de transporte o niveles superiores (aplicación). Redes

Dispositivos de Internetworking Aplicación Pasarelas de aplicación Presentación Sesión Transporte Pasarelas de transporte Red Routers, Conmutadores ATM Enlace Puentes, Conmutadores LAN Física Repetidores, concentradores, amplificadores Redes

Sumario Aspectos generales. Dispositivos Básicos Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes

Conexión entre dos LANs con routers específicos por protocolo Internetworking Conexión entre dos LANs con routers específicos por protocolo 64 Kb/s IP IP IP IP 64 Kb/s IPX IPX IPX IPX El uso de routers específicos por protocolo obliga a mantener una red independiente en la WAN para cada protocolo Redes

Conexión utilizando multiplexores Internetworking Conexión utilizando multiplexores IP IP 64 Kb/s 64 Kb/s IP 128 Kb/s IP MUX MUX 64 Kb/s 64 Kb/s IPX IPX IPX IPX Los multiplexores permiten compartir la red, pero la asignación de capacidad se ha de realizar de forma estática Redes

Conexión utilizando routers multiprotocolo Internetworking Conexión utilizando routers multiprotocolo IP 128 Kb/s IP IP IP IPX IPX IPX IPX La capacidad de la red se reparte de forma dinámica entre todos los protocolos Redes

Routing integrado vs ‘buques en la noche’ Internetworking Routing integrado vs ‘buques en la noche’ En una red multiprotocolo se puede: Emplear un protocolo de routing diferente para cada protocolo de red utilizado Emplear un protocolo de routing integrado que indique la ruta óptima a todos los protocolos utilizados Con routing integrado los cálculos se realizan solo una vez, pero nos vemos obligados a soportar todos los protocolos en todos los routers. Redes

Buques en la noche IPX +NLSP IPX IP IP IP +OSPF IP IP IPX IPX IPX IPX Internetworking IPX +NLSP IPX IP IP IP +OSPF IP IP IPX IPX IPX IPX IPX IPX Buques en la noche Redes

Routing integrado IPX IS-IS IP IPX IP IP IP IP IP IPX IPX IPX IPX IPX Internetworking IPX IS-IS IP IPX IP IP IP IP IP IPX IPX IPX IPX IPX IPX Routing integrado Redes

Sumario Aspectos generales. Dispositivos Básicos Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes

Traducción de direcciones (NAT). RFC 1631 Internetworking Traducción de direcciones (NAT). RFC 1631 Consiste en traducir una dirección IP en otra de acuerdo con cierta tabla de equivalencias. Se utiliza mucho como mecanismo para ‘extender’ el rango de direcciones disponible en una red. NAT (Network Address Translation)se suele utilizar para conectar a Internet redes TCP/IP que utilizan rangos privados (RFC 1918): 10.*.*.*, 172.16-31.*.* y 192.168.0-255.*. La traducción la puede realizar un router o un host. En Linux se denomina ‘IP masquerade’ Redes

Direccionamiento privado Direccionamiento público Internetworking Uso de NAT Servidor Web Router NAT Internet Tabla de traducción Direccionamiento privado 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Direccionamiento público Redes

Traducción de direcciones (NAT) Internetworking Traducción de direcciones (NAT) Si se usa NAT es conveniente que sólo haya una conexión con el exterior (un solo router). Sólo paquetes TCP, UDP e ICMP. No se intercambia info. de routing a través de un NAT. Un NAT puede configurarse como: NAT Tradicional: solo permite iniciar sesiones desde la red privada. NAT Bidireccional: permite que las sesiones se inicien desde la red privada o desde el exterior. Redes

Tipos de NAT Según los campos que se modifican: Internetworking Tipos de NAT Según los campos que se modifican: NAT Básico: sólo se cambia la dirección IP NAPT (Network Address Port Translation): se modifica la dirección IP y el número de puerto TCP o UDP. Según la temporalidad de correspondencia: Estático: la tabla de conversión se introduce en la configuración del NAT y no se modifica dinámicamente Dinámico: la tabla de conversión se crea y modifica sobre la marcha en función del tráfico recibido. Las direcciones pueden reutilizarse. Requiere mantener en el NAT información de estado. Redes

Tipos de NAT Estático Dinámico NAT Básico Internetworking Tipos de NAT Estático Dinámico NAT Básico El número de direcciones públicas ha de ser igual al de privadas El número de direcciones públicas puede ser menor, pero ha de ser suficiente para el número de ordenadores conectados simultáneamente NAPT En conexiones entrantes permite asociar a una sola dirección diferentes servidores Una sola dirección pública permite la conexión de múltiples ordenadores Redes

NAT básico estático Servidor Web Cliente Router Internet NAT Servidor Internetworking NAT básico estático Origen: 192.168.0.2:1108 Destino: 207.29.194.84:80 Origen: 206.245.160.2:1108 Destino: 207.29.194.84:80 Servidor Web Cliente 192.168.0.1 206.245.160.1 207.29.194.84 192.168.0.2 Router NAT Internet Tabla NAT estática Dentro Fuera 192.168.0.x 206.245.160.x Servidor FTP Cliente 192.168.0.3 205.197.101.111 Origen: 192.168.0.3:1108 Destino: 205.197.101.111:21 Origen: 206.245.160.3:1108 Destino: 205.197.101.111:21 Redes

NAT básico dinámico Servidor Web Cliente Router Internet NAT Servidor Internetworking NAT básico dinámico Origen: 192.168.0.2:1108 Destino: 207.29.194.84:80 Origen: 206.245.160.5:1108 Destino: 207.29.194.84:80 Servidor Web Cliente 192.168.0.1 206.245.160.1 207.29.194.84 192.168.0.2 Router NAT Internet Rango NAT: 206.245.160.5-10 Tabla NAT dinámica Dentro Fuera Servidor FTP Cliente 192.168.0.3 205.197.101.111 192.168.0.2 206.245.160.5 192.168.0.3 206.245.160.6 Origen: 192.168.0.3:1108 Destino: 205.197.101.111:21 Origen: 206.245.160.6:1108 Destino: 205.197.101.111:21 Redes

NAPT dinámico Servidor Web Cliente Router Internet NAT Servidor FTP Internetworking NAPT dinámico Origen: 192.168.0.2:1108 Destino: 207.29.194.84:80 Origen: 206.245.160.1:61001 Destino: 207.29.194.84:80 Servidor Web Cliente 192.168.0.1 206.245.160.1 207.29.194.84 192.168.0.2 Router NAT Internet Tabla NAPT dinámica Dentro Fuera Servidor FTP Cliente 192.168.0.2:1108 61001 192.168.0.3 205.197.101.111 192.168.0.3:1108 61002 Origen: 192.168.0.3:1108 Destino: 205.197.101.111:21 Origen: 206.245.160.1:61002 Destino: 205.197.101.111:21 Redes

Ejemplo: Tabla NAPT dinámica en un router ADSL Internetworking Ejemplo: Tabla NAPT dinámica en un router ADSL Transport LAN WAN NAPT Protocol Port IP Address Port IP Address Port IP Address --------------------------------------------------------------------- udp 27960 192.168.1.11 27960 212.142.28.226 60218 192.76.100.7 tcp 1098 192.168.1.11 8000 205.149.163.62 60020 192.76.100.7 tcp 1661 192.168.1.10 8000 192.160.165.89 60007 192.76.100.7 El ordenador 192.168.1.11 está jugando al Quake 3 (puerto UDP 27960) y a la vez oye una emisora MP3 (puerto TCP 8000). Al mismo tiempo el ordenador 192.168.1.10 oye otra emisora MP3. Ejemplo obtenido de: http://adsl.internautas.org/sections.php?op=viewarticle&artid=1 Redes

NAPT estático Cliente Servidor FTP Router Internet NAT Servidor Web Internetworking NAPT estático Origen: 211.23.5.6:1084 Destino: 192.168.0.4:21 Origen: 211.23.5.6:1084 Destino: 206.245.160.1:21 Cliente Servidor FTP 192.168.0.1 206.245.160.1 211.23.5.6 192.168.0.4 Router NAT Internet Servidor Web Tabla NAPT estática Dentro Fuera 192.168.0.4:21 21 192.168.0.5:80 80 Cliente 209.15.7.2 192.168.0.5 Origen: 209.15.7.2:1067 Destino: 192.168.0.5:80 Origen: 209.15.7.2:1067 Destino: 206.245.160.1:80 Redes

Consecuencias de NAT Al cambiar la dirección IP es preciso modificar: Internetworking Consecuencias de NAT Al cambiar la dirección IP es preciso modificar: La cabecera IP, incluido el checksum El checksum de la cabecera TCP o UDP ya que la pseudocabecera utiliza la dirección IP para calcular el checksum. En caso de utilizar NAPT hay que modificar el número de puerto TCP/UDP y los correspondientes checksums (de TCP/UDP y de IP). Los mensajes ICMP contienen direcciones IP embebidas que hay que modificar, así como el checksum embebido y el del paquete IP que lo contiene. Los mensajes SNMP incluyen direcciones IP en diversos sitios de la parte de datos del paquete que hay que cambiar. Redes

Limitaciones y problemas de NAT Internetworking Limitaciones y problemas de NAT Comandos de inicio FTP incluyen direcciones IP de los hosts en ASCII; si el número de caracteres varía hay problemas: 206.245.160.2  192.168.0.2 (usar 192.168.000.2) 192.168.0.2  206.245.160.2 (intercalar caracteres) Algunos protocolos de aplicación (ej. H.323, NetBIOS) incluyen las direcciones IP en diversos sitios de los datos del paquete. Esto requiere pasarelas del nivel de aplicación para funcionar a través de NAT. No puede utilizarse la función AH de IPSec. La situación mejora si se utiliza IPSec en modo túnel y el NAT se hace antes o en el mismo dispositivo que el túnel IPSec. Redes

Conclusiones sobre el uso de NAT Internetworking Conclusiones sobre el uso de NAT NAT no es algo deseable en sí mismo, pues impone restricciones al realizar cambios en la cabecera IP sin conocimiento del host. Los intentos de resolver los problemas de NAT adaptando el protocolo en el host o utilizando pasarelas a nivel de aplicación son una solución compleja y no transparente y sólo deben aplicarse cuando sea inevitable. La seguridad de NAT es sólo aparente. La verdadera seguridad, que se basa en utilizar IPSec y un firewall adecuado, se ve limitada cuando se utiliza NAT. El mejor NAT es el que no existe.La solución definitiva al problema de escasez de direcciones está en la migración de IPv4 a IPv6. Redes

Sumario Aspectos generales. Dispositivos Básicos Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes

Túneles Permiten conectar un protocolo a través de otro Ejemplos: Internetworking Túneles Permiten conectar un protocolo a través de otro Ejemplos: Túnel SNA para enviar paquetes IP MBone: túneles multicast sobre redes unicast 6Bone: túneles IPv6 sobre redes IPv4 Túneles IPv4 para hacer enrutamiento desde el origen También permiten crear redes privadas virtuales o VPNs (Virtual Private Networks) Redes

Ejemplo de túnel Red SNA Túnel SNA transportando datagramas IP Internetworking Ejemplo de túnel Encapsulador Encapsulador Red SNA Red TCP/IP Red TCP/IP Paquete SNA Datagrama IP Túnel SNA transportando datagramas IP Los datagramas IP viajan ‘encapsulados’ en paquetes SNA Redes

Redes Privadas Virtuales (VPNs) Internetworking Redes Privadas Virtuales (VPNs) Consiste en aprovechar una infraestructura pública para simular una red privada. El direccionamiento es independiente del de la red pública. Solución muy útil actualmente para comunicar una empresa a través de Internet. A menudo conllevan un requerimiento de seguridad (encriptación con IPSec). Se basa en la creación de túneles. Los túneles pueden conectar usuarios u oficinas remotas. Redes

restringido a usuarios POP (Point of Presence) Internetworking Funcionamiento de un túnel VPN para usuario remoto Servidor con acceso restringido a usuarios de la red 199.1.1.0/24 199.1.1.69 Origen: 199.1.1.245 Destino: 199.1.1.69 Datos 199.1.1.10 Servidor de Túneles Rango 199.1.1.245-254 ISP 2 Origen: 200.1.1.20 Destino: 199.1.1.10 Origen: 199.1.1.245 Destino: 199.1.1.69 Datos Túnel VPN 199.1.1.245 ISP 1 200.1.1.20 Puede ir encriptado (si se usa IPSec ESP) Red 199.1.1.0/24 POP (Point of Presence) Red 200.1.1.0/24 Ping 199.1.1.69 Redes

Tipos de túneles VPN en Internet Internetworking Tipos de túneles VPN en Internet Existen dos tipos de túneles VPN (dos formas de encapsular los datagramas): PPTP (Point to Point Tunel Protocol): orientada al usuario. Permite establecer un túnel de forma transparente al proveedor de Internet. L2TP (Level 2 Tunel Protocol): orientada al proveedor. Permite establecer un túnel de forma transparente al usuario. Redes

Sumario Aspectos generales. Dispositivos Básicos Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes

Objetivos de la Seguridad Internetworking Objetivos de la Seguridad El problema de la seguridad en redes comprende cuatro cuestiones fundamentales: Confidencialidad: el mensaje no puede ser interpretado por usuarios no autorizados Control de integridad: El mensaje en ruta no puede ser modificado, o si lo es la alteración debe poder ser detectada por el receptor. Autentificación: el receptor tiene la certeza de que el autor del mensaje es correcto (firma digital) No repudio: El autor de un mensaje no puede negar haberlo enviado (firma digital) Redes

IPSec La comunicación segura puede realizarse a diversos niveles: Internetworking IPSec La comunicación segura puede realizarse a diversos niveles: Nivel Ejemplo Ventajas Inconvenientes Enlace Redes CATV, encriptación en líneas p. a p. Independiente del protocolo de red. Conexión transparente de LANs. Encriptar-desencriptar en cada salto introduce retardo y consume recursos. Requiere control de la infraestructura de red. Red IPSec Independiente de nivel de transporte o aplicación. Independiente de infraestructura. Adecuado para VPNs. Solo aplicable a IP (v4 y v6). Otros protocolos posibles previa encapsulación. Aplicación Mail (PEM, PGP), SNMP v3, Secure HTTP, SSL Máxima seguridad (comunicación extremo a extremo). Selectivo. Ha de implementarse en cada aplicación y en cada host. Redes

IPSec Está formado por: Internetworking IPSec Está formado por: Una Arquitectura (RFC 2401) Un conjunto de protocolos Una serie de mecanismos de autenticación y encriptado. Se especifica en los RFCs 2401, 2402, 2406 y 2408. Redes

Principales funcionalidades de IPSec Internetworking Principales funcionalidades de IPSec AH (Autentication Header, RFC 2402): garantiza que el datagrama fue enviado por el remitente y que no ha sido alterado durante su viaje. ESP (Encapsulating Security Payload, RFC 2406): garantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado). Opcionalmente puede incluir la función de AH. ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408): consiste en un mecanismo seguro (manual y automático) de intercambio de claves utilizadas en las tareas de encriptado y autentificación de AH y ESP. Redes

Modos de funcionamiento de IPSec Internetworking Modos de funcionamiento de IPSec Modo transporte: comunicación segura extremo a extremo. Requiere implementación de IPSec en ambos hosts Modo túnel: comunicación segura entre routers únicamente; permite incorporar IPSec sin tener que modificar los hosts. Se integra cómodamente con VPNs Redes

IPSec modo transporte IPSec modo túnel Internet Internet Túnel IPSec Internetworking Host con IPSec Host con IPSec Internet IPSec modo túnel Router o cortafuego con IPSec Router o cortafuego con IPSec Internet Túnel IPSec Redes

Encapsulado de IPSec Modo transporte Modo túnel Internetworking Encapsulado de IPSec Modo transporte Cabecera IP Datos Cabecera IP Cabecera IPSec Datos Encriptado si se usa ESP Modo túnel Cabecera IP Datos Cabecera IP Túnel Cabecera IPSec Cabecera IP Datos Encriptado si se usa ESP Redes

Internetworking Encriptado en IPSec DES (Data Encryption Standard): Claves de 56 bits. Rápido, pero no 100% seguro. Triple DES: 100% seguro pero más costoso de calcular. AES (Advanced Encryption Standard): Aun no implementado en productos comerciales. Normalmente en routers y servidores de túneles la encriptación se hace por hardware cuando el tráfico es elevado (a partir de 100 sesiones, 2-4 Mb/s). Redes

Sumario Aspectos generales. Dispositivos Básicos Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes

Internetworking Cortafuegos Mecanismo de protección que consiste en establecer una barrera entre la red de una organización (Intranet) y el exterior (Internet). Existen varias arquitecturas de cortafuego posibles, con diversos grados de protección y de dificultad de implementación. Redes

Routers filtradores de paquetes Internetworking Modelos de cortafuegos Routers filtradores de paquetes Modelo OSI Servidores Proxy Aplicación Sesión Transporte Red Enlace Física Presentación + Stateful + Direcciones ocultas + Puede ver contenidos ? Puede ejecutar servicios - Costoso - Bajo rendimiento - Normalmente UNIX No transparente + Bajo costo + Alto rendimiento + Normalmente no UNIX + Transparente - Direcciones visibles - Stateless —> Engañable Las reglas de filtrado pueden tener errores Redes

Router actuando como cortafuego Internetworking Router actuando como cortafuego Internet Router filtro Un router puede filtrar paquetes de acuerdo con unas reglas definidas de antemano, actuando como cortafuegos sencillo Red interna Redes

Servidor proxy actuando como cortafuego Internetworking Servidor proxy actuando como cortafuego Servidor externo 193.145.246.12 Internet Servidor proxy/router (host dual homed) 172.16.0.1 Un servidor proxy intercepta todo el tráfico con el exterior. Además de las funciones de cortafuego puede actuar como servidor de cache y traductor de direcciones Cliente proxy (host interno) 172.16.0.4 Red interna (172.16.0.0/16) Redes

Router y servidor proxy combinados Internetworking Router y servidor proxy combinados Servidor Proxy (Bastion host) Internet Router filtro Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a pasar por el ‘bastion host’ el resto Red interna Redes

permit tcp host 147.156.1.18 any eq www Internetworking Red con servidor proxy/ cache de uso obligatorio 147.156.1.18 Servidor web Filtro en el router Servidor Proxy/ cache permit tcp host 147.156.1.18 any eq www deny tcp 147.156.0.0 0.0.255.255 any eq www Internet Cliente web Router Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 para poder realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior Servidor web Red interna 147.156.0.0/16 Redes

Red interna Red perimetral Cortafuego Internet Internetworking Red interna Red perimetral Internet Bastion host/ router exterior Router interior Cortafuego Redes

Red interna Cortafuego Red perimetral Internetworking Red interna Cortafuego Red perimetral Internet Router exterior Bastion host/ router interior Configuración no recomendada (un ataque al Bastion host comprometería la seguridad de la red interna) Redes

Cortafuego Red interna Red perimetral Internetworking Cortafuego Red interna Red perimetral Routers interiores Bastion host Internet Router exterior Configuración no recomendada (con routing dinámico el tráfico de la red interna podría usar la red perimetral como vía de tránsito) Redes

Cortafuego con Zona Desmilitarizada Internetworking Cortafuego con Zona Desmilitarizada Red interna Router interior Internet Router exterior Bastion host Red perimetral Web DNS, Mail Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) Redes

Cortafuego con DMZ independiente Internetworking Cortafuego con DMZ independiente Red interna Router exterior Internet Router interior Red perimetral DNS, Mail Web Bastion host Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) Redes

Cortafuego con DMZ conmutada Internetworking Cortafuego con DMZ conmutada Red interna Router exterior Internet Router interior Red perimetral DNS, Mail Web Bastion host Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) Redes

Ser Hacker es fácil Hacking Para Tontos Alert…. Incluye CDRom Internetworking Ser Hacker es fácil Alert…. Hacking Para Tontos Incluye CDRom Redes

Ejemplo: Herramienta de ataque NetBus Internetworking Ejemplo: Herramienta de ataque NetBus Redes

NO UN PAR DE ADOLESCENTES DE 13 AÑOS CON ACNÉ Internetworking SEAN OSCUROS, TÉCNICAMENTE SOFISTICADOS CONSIPRADORES QUE INTENTAN DOMINAR EL MUNDO ... NO UN PAR DE ADOLESCENTES DE 13 AÑOS CON ACNÉ ESPERO QUE ESTOS CIBER CRIMINALES QUE ATACAN LA INTERNET ... Redes

Internetworking Ataques DDoS (Distributed Denial of Service) 1ª fase: ‘Craquear’ ordenadores Atacante Craquear un grán número de ordenadores utilizando vulnerabilidades conocidas. Puede ser con herramientas automáticas. Redes

Ataques DDoS Segunda fase: Instalar caballos de troya Internetworking Ataques DDoS Segunda fase: Instalar caballos de troya Repetidor inocente Atacante Agentes inocentes 1) Crear una jerarquía de repetidores y agentes 2) Comunicación con paquetes ICMP Repetidor inocente Agentes inocentes Redes

Ataques DDoS tercera fase: Lanzar el ataque Internetworking Ataques DDoS tercera fase: Lanzar el ataque Repetidor inocente Atacante Agentes inocentes Atacar a Alicia ahora Víctima Repetidor inocente A Agentes inocentes Redes

¿Cómo prevenir Ataques DDoS ? Internetworking ¿Cómo prevenir Ataques DDoS ? Instalar filtros (RFC 2267) para prevenir IP spoofing (falseo de la dirección IP de origen). Por ejemplo: permit ip 147.156.0.0 0.0.255.255 any deny ip any any deny ip 147.156.0.0 0.0.255.255 any permit ip any any Internet No aceptar paquetes con IP origen  147.156.0.0/16 No aceptar paquetes con IP origen  147.156.0.0/16 Red 147.156.0.0/16 Redes

Internetworking FIN Internetworking Redes