Descargar la presentación
La descarga está en progreso. Por favor, espere
1
MAGÍSTER EN IGENIERÍA INFORMATICA SGSI
Internetworking MAGÍSTER EN IGENIERÍA INFORMATICA SGSI Redes
2
Internetworking David Ruete Zúñiga Director Magíster en Ingeniería Informática, FI, UNAB Director Magíster en Gestión TI y Telecomunicaciones, FI, UNAB Director Ingeniería en Telecomunicaciones, FI, UNAB Director Ingeniería en Gestión Informatica Director Ingeniería en Información y Control de Gestión, FI, UNAB PhD in Multimedia Technologies Master in Multimedia Technologies Diploma de Estudios Avanzados Ingeniero Civil Electrónico Licenciado en Ciencias de la Ingeniería Redes
3
Internetworking Internetworking Redes
4
Sumario Aspectos generales. Dispositivos Básicos
Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes
5
Internetworking Internetworking Redes
6
Definición de Internetworking
Unión de redes diferentes a cualquier nivel (físico, de enlace, etc.) de forma que desde los niveles superiores se aprecie como una única red homogénea. Las redes pueden diferir en el medio físico (Ethernet, Token Ring, LAN, WAN, etc.) o en la pila de protocolos utilizados (TCP/IP, DECNET, SNA, etc.) Redes
7
Dispositivos de una red
Internetworking Dispositivos de una red Redes
8
Internetworking Dispositivos Repetidores: retransmiten la señal a nivel físico, bit a bit (ej. Ethernet, SDH,...) Amplificadores: similares a los repetidores pero actúan sobre la señal de forma analógica Puentes y conmutadores LAN: analizan la trama a nivel de enlace. Permiten constituir redes rudimentarias (LAN-WAN) Routers y conmutadores de nivel de red (ATM, F.R., X.25): interconectan a nivel de red. Son prácticamente necesarios cuando se realiza una conexión WAN. A menudo soportan múltiples protocolos. Pasarelas: actúan a nivel de transporte o niveles superiores (aplicación). Redes
9
Internetworking Modelos de Referencia Redes
10
Dispositivos de Internetworking
Aplicación Pasarelas de aplicación Presentación Sesión Transporte Pasarelas de transporte Red Routers, Conmutadores ATM Enlace Puentes, Conmutadores LAN Física Repetidores, concentradores, amplificadores Redes
11
Sumario Aspectos generales. Dispositivos Básicos
Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes
12
Conexión entre dos LANs con routers específicos por protocolo
Internetworking Conexión entre dos LANs con routers específicos por protocolo 64 Kb/s IP IP IP IP 64 Kb/s IPX IPX IPX IPX El uso de routers específicos por protocolo obliga a mantener una red independiente en la WAN para cada protocolo Redes
13
Conexión utilizando multiplexores
Internetworking Conexión utilizando multiplexores IP IP 64 Kb/s 64 Kb/s IP 128 Kb/s IP MUX MUX 64 Kb/s 64 Kb/s IPX IPX IPX IPX Los multiplexores permiten compartir la red, pero la asignación de capacidad se ha de realizar de forma estática Redes
14
Conexión utilizando routers multiprotocolo
Internetworking Conexión utilizando routers multiprotocolo IP 128 Kb/s IP IP IP IPX IPX IPX IPX La capacidad de la red se reparte de forma dinámica entre todos los protocolos Redes
15
Routing integrado vs ‘buques en la noche’
Internetworking Routing integrado vs ‘buques en la noche’ En una red multiprotocolo se puede: Emplear un protocolo de routing diferente para cada protocolo de red utilizado Emplear un protocolo de routing integrado que indique la ruta óptima a todos los protocolos utilizados Con routing integrado los cálculos se realizan solo una vez, pero nos vemos obligados a soportar todos los protocolos en todos los routers. Redes
16
Buques en la noche IPX +NLSP IPX IP IP IP +OSPF IP IP IPX IPX IPX IPX
Internetworking IPX +NLSP IPX IP IP IP +OSPF IP IP IPX IPX IPX IPX IPX IPX Buques en la noche Redes
17
Routing integrado IPX IS-IS IP IPX IP IP IP IP IP IPX IPX IPX IPX IPX
Internetworking IPX IS-IS IP IPX IP IP IP IP IP IPX IPX IPX IPX IPX IPX Routing integrado Redes
18
Internetworking PREGUNTA Redes
19
Sumario Aspectos generales. Dispositivos Básicos
Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes
20
Internetworking Qué es NAT? Redes
21
Traducción de direcciones (NAT). RFC 1631
Internetworking Traducción de direcciones (NAT). RFC 1631 Consiste en traducir una dirección IP en otra de acuerdo con cierta tabla de equivalencias. Se utiliza mucho como mecanismo para ‘extender’ el rango de direcciones disponible en una red. NAT (Network Address Translation)se suele utilizar para conectar a Internet redes TCP/IP que utilizan rangos privados (RFC 1918): 10.*.*.*, *.* y *. La traducción la puede realizar un router o un host. En Linux se denomina ‘IP masquerade’ Redes
22
Direccionamiento privado Direccionamiento público
Internetworking Uso de NAT Servidor Web Router NAT Internet Tabla de traducción Direccionamiento privado /8 /12 /16 Direccionamiento público Redes
23
Traducción de direcciones (NAT)
Internetworking Traducción de direcciones (NAT) Si se usa NAT es conveniente que sólo haya una conexión con el exterior (un solo router). Sólo paquetes TCP, UDP e ICMP. No se intercambia info. de routing a través de un NAT. Un NAT puede configurarse como: NAT Tradicional: solo permite iniciar sesiones desde la red privada. NAT Bidireccional: permite que las sesiones se inicien desde la red privada o desde el exterior. Redes
24
Tipos de NAT Según los campos que se modifican:
Internetworking Tipos de NAT Según los campos que se modifican: NAT Básico: sólo se cambia la dirección IP NAPT (Network Address Port Translation): se modifica la dirección IP y el número de puerto TCP o UDP. Según la temporalidad de correspondencia: Estático: la tabla de conversión se introduce en la configuración del NAT y no se modifica dinámicamente Dinámico: la tabla de conversión se crea y modifica sobre la marcha en función del tráfico recibido. Las direcciones pueden reutilizarse. Requiere mantener en el NAT información de estado. Redes
25
Tipos de NAT Estático Dinámico NAT Básico
Internetworking Tipos de NAT Estático Dinámico NAT Básico El número de direcciones públicas ha de ser igual al de privadas El número de direcciones públicas puede ser menor, pero ha de ser suficiente para el número de ordenadores conectados simultáneamente NAPT En conexiones entrantes permite asociar a una sola dirección diferentes servidores Una sola dirección pública permite la conexión de múltiples ordenadores Redes
26
NAT básico estático Servidor Web Cliente Router Internet NAT Servidor
Internetworking NAT básico estático Origen: :1108 Destino: :80 Origen: :1108 Destino: :80 Servidor Web Cliente Router NAT Internet Tabla NAT estática Dentro Fuera x x Servidor FTP Cliente Origen: :1108 Destino: :21 Origen: :1108 Destino: :21 Redes
27
NAT básico dinámico Servidor Web Cliente Router Internet NAT Servidor
Internetworking NAT básico dinámico Origen: :1108 Destino: :80 Origen: :1108 Destino: :80 Servidor Web Cliente Router NAT Internet Rango NAT: Tabla NAT dinámica Dentro Fuera Servidor FTP Cliente Origen: :1108 Destino: :21 Origen: :1108 Destino: :21 Redes
28
NAPT dinámico Servidor Web Cliente Router Internet NAT Servidor FTP
Internetworking NAPT dinámico Origen: :1108 Destino: :80 Origen: :61001 Destino: :80 Servidor Web Cliente Router NAT Internet Tabla NAPT dinámica Dentro Fuera Servidor FTP Cliente : : Origen: :1108 Destino: :21 Origen: :61002 Destino: :21 Redes
29
NAPT estático Cliente Servidor FTP Router Internet NAT Servidor Web
Internetworking NAPT estático Origen: :1084 Destino: :21 Origen: :1084 Destino: :21 Cliente Servidor FTP Router NAT Internet Servidor Web Tabla NAPT estática Dentro Fuera : : Cliente Origen: :1067 Destino: :80 Origen: :1067 Destino: :80 Redes
30
Consecuencias de NAT Al cambiar la dirección IP es preciso modificar:
Internetworking Consecuencias de NAT Al cambiar la dirección IP es preciso modificar: La cabecera IP, incluido el checksum El checksum de la cabecera TCP o UDP ya que la pseudocabecera utiliza la dirección IP para calcular el checksum. En caso de utilizar NAPT hay que modificar el número de puerto TCP/UDP y los correspondientes checksums (de TCP/UDP y de IP). Los mensajes ICMP contienen direcciones IP embebidas que hay que modificar, así como el checksum embebido y el del paquete IP que lo contiene. Los mensajes SNMP incluyen direcciones IP en diversos sitios de la parte de datos del paquete que hay que cambiar. Redes
31
Limitaciones y problemas de NAT
Internetworking Limitaciones y problemas de NAT Comandos de inicio FTP incluyen direcciones IP de los hosts en ASCII; si el número de caracteres varía hay problemas: (usar ) (intercalar caracteres) Algunos protocolos de aplicación (ej. H.323, NetBIOS) incluyen las direcciones IP en diversos sitios de los datos del paquete. Esto requiere pasarelas del nivel de aplicación para funcionar a través de NAT. No puede utilizarse la función AH de IPSec. La situación mejora si se utiliza IPSec en modo túnel y el NAT se hace antes o en el mismo dispositivo que el túnel IPSec. Redes
32
Conclusiones sobre el uso de NAT
Internetworking Conclusiones sobre el uso de NAT NAT no es algo deseable en sí mismo, pues impone restricciones al realizar cambios en la cabecera IP sin conocimiento del host. Los intentos de resolver los problemas de NAT adaptando el protocolo en el host o utilizando pasarelas a nivel de aplicación son una solución compleja y no transparente y sólo deben aplicarse cuando sea inevitable. La seguridad de NAT es sólo aparente. La verdadera seguridad, que se basa en utilizar IPSec y un firewall adecuado, se ve limitada cuando se utiliza NAT. El mejor NAT es el que no existe.La solución definitiva al problema de escasez de direcciones está en la migración de IPv4 a IPv6. Redes
33
Internetworking PREGUNTA Redes
34
Sumario Aspectos generales. Dispositivos Básicos
Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes
35
Internetworking Qué es Tunneling? Redes
36
Túneles Permiten conectar un protocolo a través de otro Ejemplos:
Internetworking Túneles Permiten conectar un protocolo a través de otro Ejemplos: Túnel SNA para enviar paquetes IP MBone: túneles multicast sobre redes unicast 6Bone: túneles IPv6 sobre redes IPv4 Túneles IPv4 para hacer enrutamiento desde el origen También permiten crear redes privadas virtuales o VPNs (Virtual Private Networks) Redes
37
Ejemplo de túnel Red SNA Túnel SNA transportando datagramas IP
Internetworking Ejemplo de túnel Encapsulador Encapsulador Red SNA Red TCP/IP Red TCP/IP Paquete SNA Datagrama IP Túnel SNA transportando datagramas IP Los datagramas IP viajan ‘encapsulados’ en paquetes SNA Redes
38
Redes Privadas Virtuales (VPNs)
Internetworking Redes Privadas Virtuales (VPNs) Consiste en aprovechar una infraestructura pública para simular una red privada. El direccionamiento es independiente del de la red pública. Solución muy útil actualmente para comunicar una empresa a través de Internet. A menudo conllevan un requerimiento de seguridad (encriptación con IPSec). Se basa en la creación de túneles. Los túneles pueden conectar usuarios u oficinas remotas. Redes
39
Internetworking PREGUNTA Redes
40
restringido a usuarios POP (Point of Presence)
Internetworking Funcionamiento de un túnel VPN para usuario remoto Servidor con acceso restringido a usuarios de la red /24 Origen: Destino: Datos Servidor de Túneles Rango ISP 2 Origen: Destino: Origen: Destino: Datos Túnel VPN ISP 1 Puede ir encriptado (si se usa IPSec ESP) Red /24 POP (Point of Presence) Red /24 Ping Redes
41
Tipos de túneles VPN en Internet
Internetworking Tipos de túneles VPN en Internet Existen dos tipos de túneles VPN (dos formas de encapsular los datagramas): PPTP (Point to Point Tunel Protocol): orientada al usuario. Permite establecer un túnel de forma transparente al proveedor de Internet. L2TP (Level 2 Tunel Protocol): orientada al proveedor. Permite establecer un túnel de forma transparente al usuario. Redes
42
Internetworking PREGUNTA Redes
43
Sumario Aspectos generales. Dispositivos Básicos
Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes
44
Internetworking Qué es IPSec? Redes
45
Objetivos de la Seguridad
Internetworking Objetivos de la Seguridad El problema de la seguridad en redes comprende cuatro cuestiones fundamentales: Confidencialidad: el mensaje no puede ser interpretado por usuarios no autorizados Control de integridad: El mensaje en ruta no puede ser modificado, o si lo es la alteración debe poder ser detectada por el receptor. Autentificación: el receptor tiene la certeza de que el autor del mensaje es correcto (firma digital) No repudio: El autor de un mensaje no puede negar haberlo enviado (firma digital) Redes
46
IPSec La comunicación segura puede realizarse a diversos niveles:
Internetworking IPSec La comunicación segura puede realizarse a diversos niveles: Nivel Ejemplo Ventajas Inconvenientes Enlace Redes CATV, encriptación en líneas p. a p. Independiente del protocolo de red. Conexión transparente de LANs. Encriptar-desencriptar en cada salto introduce retardo y consume recursos. Requiere control de la infraestructura de red. Red IPSec Independiente de nivel de transporte o aplicación. Independiente de infraestructura. Adecuado para VPNs. Solo aplicable a IP (v4 y v6). Otros protocolos posibles previa encapsulación. Aplicación Mail (PEM, PGP), SNMP v3, Secure HTTP, SSL Máxima seguridad (comunicación extremo a extremo). Selectivo. Ha de implementarse en cada aplicación y en cada host. Redes
47
IPSec Está formado por:
Internetworking IPSec Está formado por: Una Arquitectura (RFC 2401) Un conjunto de protocolos Una serie de mecanismos de autenticación y encriptado. Se especifica en los RFCs 2401, 2402, 2406 y 2408. Redes
48
Principales funcionalidades de IPSec
Internetworking Principales funcionalidades de IPSec AH (Autentication Header, RFC 2402): garantiza que el datagrama fue enviado por el remitente y que no ha sido alterado durante su viaje. ESP (Encapsulating Security Payload, RFC 2406): garantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado). Opcionalmente puede incluir la función de AH. ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408): consiste en un mecanismo seguro (manual y automático) de intercambio de claves utilizadas en las tareas de encriptado y autentificación de AH y ESP. Redes
49
Modos de funcionamiento de IPSec
Internetworking Modos de funcionamiento de IPSec Modo transporte: comunicación segura extremo a extremo. Requiere implementación de IPSec en ambos hosts Modo túnel: comunicación segura entre routers únicamente; permite incorporar IPSec sin tener que modificar los hosts. Se integra cómodamente con VPNs Redes
50
IPSec modo transporte IPSec modo túnel Internet Internet Túnel IPSec
Internetworking Host con IPSec Host con IPSec Internet IPSec modo túnel Router o cortafuego con IPSec Router o cortafuego con IPSec Internet Túnel IPSec Redes
51
Encapsulado de IPSec Modo transporte Modo túnel
Internetworking Encapsulado de IPSec Modo transporte Cabecera IP Datos Cabecera IP Cabecera IPSec Datos Encriptado si se usa ESP Modo túnel Cabecera IP Datos Cabecera IP Túnel Cabecera IPSec Cabecera IP Datos Encriptado si se usa ESP Redes
52
Internetworking Encriptado en IPSec DES (Data Encryption Standard): Claves de 56 bits. Rápido, pero no 100% seguro. Triple DES: 100% seguro pero más costoso de calcular. AES (Advanced Encryption Standard): Aun no implementado en productos comerciales. Normalmente en routers y servidores de túneles la encriptación se hace por hardware cuando el tráfico es elevado (a partir de 100 sesiones, 2-4 Mb/s). Redes
53
Internetworking PREGUNTA Redes
54
Sumario Aspectos generales. Dispositivos Básicos
Internetworking Sumario Aspectos generales. Dispositivos Básicos Routing multiprotocolo NAT. Tipos y limitaciones Túneles. Redes Privadas Virtuales IPSec Cortafuegos. Arquitecturas Redes
55
Qué es un cortafuego o Firewall?
Internetworking Qué es un cortafuego o Firewall? Redes
56
Internetworking Cortafuegos Mecanismo de protección que consiste en establecer una barrera entre la red de una organización (Intranet) y el exterior (Internet). Existen varias arquitecturas de cortafuego posibles, con diversos grados de protección y de dificultad de implementación. Redes
57
Routers filtradores de paquetes
Internetworking Modelos de cortafuegos Routers filtradores de paquetes Modelo OSI Servidores Proxy Aplicación Sesión Transporte Red Enlace Física Presentación + Stateful + Direcciones ocultas + Puede ver contenidos ? Puede ejecutar servicios - Costoso - Bajo rendimiento - Normalmente UNIX No transparente + Bajo costo + Alto rendimiento + Normalmente no UNIX + Transparente - Direcciones visibles - Stateless —> Engañable Las reglas de filtrado pueden tener errores Redes
58
Router actuando como cortafuego
Internetworking Router actuando como cortafuego Internet Router filtro Un router puede filtrar paquetes de acuerdo con unas reglas definidas de antemano, actuando como cortafuegos sencillo Red interna Redes
59
Servidor proxy actuando como cortafuego
Internetworking Servidor proxy actuando como cortafuego Servidor externo Internet Servidor proxy/router (host dual homed) Un servidor proxy intercepta todo el tráfico con el exterior. Además de las funciones de cortafuego puede actuar como servidor de cache y traductor de direcciones Cliente proxy (host interno) Red interna ( /16) Redes
60
Router y servidor proxy combinados
Internetworking Router y servidor proxy combinados Servidor Proxy (Bastion host) Internet Router filtro Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a pasar por el ‘bastion host’ el resto Red interna Redes
61
permit tcp host 147.156.1.18 any eq www
Internetworking Red con servidor proxy/ cache de uso obligatorio Servidor web Filtro en el router Servidor Proxy/ cache permit tcp host any eq www deny tcp any eq www Internet Cliente web Router Los usuarios han de configurar su cliente web con el proxy para poder realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior Servidor web Red interna /16 Redes
62
Red interna Red perimetral Cortafuego Internet
Internetworking Red interna Red perimetral Internet Bastion host/ router exterior Router interior Cortafuego Redes
63
Red interna Cortafuego Red perimetral
Internetworking Red interna Cortafuego Red perimetral Internet Router exterior Bastion host/ router interior Configuración no recomendada (un ataque al Bastion host comprometería la seguridad de la red interna) Redes
64
Cortafuego Red interna Red perimetral
Internetworking Cortafuego Red interna Red perimetral Routers interiores Bastion host Internet Router exterior Configuración no recomendada (con routing dinámico el tráfico de la red interna podría usar la red perimetral como vía de tránsito) Redes
65
Cortafuego con Zona Desmilitarizada
Internetworking Cortafuego con Zona Desmilitarizada Red interna Router interior Internet Router exterior Bastion host Red perimetral Web DNS, Mail Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) Redes
66
Cortafuego con DMZ independiente
Internetworking Cortafuego con DMZ independiente Red interna Router exterior Internet Router interior Red perimetral DNS, Mail Web Bastion host Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) Redes
67
Cortafuego con DMZ conmutada
Internetworking Cortafuego con DMZ conmutada Red interna Router exterior Internet Router interior Red perimetral DNS, Mail Web Bastion host Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) Redes
68
Internetworking PREGUNTA Redes
69
NO UN PAR DE ADOLESCENTES DE 13 AÑOS CON ACNÉ
Internetworking SEAN OSCUROS, TÉCNICAMENTE SOFISTICADOS CONSIPRADORES QUE INTENTAN DOMINAR EL MUNDO ... NO UN PAR DE ADOLESCENTES DE 13 AÑOS CON ACNÉ ESPERO QUE ESTOS CIBER CRIMINALES QUE ATACAN LA INTERNET ... Redes
70
Internetworking FIN Internetworking Redes
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.