Post on 01-Jul-2015
Switch
SwitchSirve para conectar varios nodos de una red, pero a diferencia del hub solo envía a
puertos que lo necesiten
Características:
• Puede trabajar con velocidades distintas, es decir, reconoce puestos que pueden
funcionar desde 10 Mbps hasta 100 Mbps
• Mejora la seguridad e integridad de la red ya que es capaz de codificar los datos
• Es mejor que un hub para una red de un gran número de puestos
• Se puede conectar a una misma red ambos, los switch y los hub
SWITCH
• Funcionamiento
• Es un dispositivo de capa 2, (enlace de datos)
• Conoce los dispositivos que tiene conectados a cada uno de sus
puertos (enchufes). Cuando en la especificación del un “switch”
leemos algo como “8k MAC address table” se refiere a la memoria
que el “switch” destina a almacenar las direcciones. Un “switch”
cuando se enchufa no conoce las direcciones de los disposivos de sus
puertos, las aprende a medida que circula información a través de él.
SWITCH
• Cuando un “switch” no conoce la dirección MAC de destino envía la trama
por todos sus puertos, al igual que un HUB. Cuando hay más de un
ordenador conectado a un puerto de un “switch” este aprende sus
direcciones MAC y cuando se envían información entre ellos no la
propaga al resto de la red, a esto se llama filtrado.
• El “switch” almacena la trama antes de reenviarla. Tiene una serie de
métodos, para saber hacia dónde va la información. Uno de ellos consiste
en recibir los 6 primeros bytes de una trama que contienen la dirección
MAC y a partir de aquí ya empezar a enviar al destinatario. Y no permite
descartar paquetes defectuosos. También permite adaptar velocidades
de distintos dispositivos de una forma más cómoda.
• Un “switch” moderno también suele tener lo que se llama “Auto-
Negotation”, es decir, negocia con los dispositivos que se conectan a él la
velocidad de funcionamiento, 10 megabit ó 100, así como si se
funcionara en modo “full-duplex” o “half-duplex”
SWITCH
• Velocidad de proceso: todo lo anterior explicado requiere que el
“switch” tenga un procesador y claro, debe ser lo más rápido
posible. También hay un parámetro conocido como “back-plane” o
plano trasero que define el ancho de banda máximo que soporta
un “switch”. El “back plane” dependerá del procesador, del
número de tramas que sea capaz de procesar. Si hacemos
números vemos lo siguiente: 100megabits x 2 (cada puerto puede
enviar 100 megabit y enviar 100 más en modo “full-duplex”) x 8
puertos = 1,6 gigabit. Así pues, un “switch” de 8 puertos debe
tener un “back-plane” de 1,6 gigabit para ir bien. Lo que sucede
es que para abaratar costos esto se reduce ya que es muy
improbable que se produzca la situación de tener los 8 puertos
enviando a tope...
El switch permite construir redes escalables
• Ventajas• Los switches, al interconectarse unos con otros, permiten cubrir
grandes áreas geográficas (además, toleran la latencia). Permiten
construir grandes redes
• Pueden soportar un gran número de nodos (ancho de banda es
escalable).
• Colocar un nuevo host al switch no necesariamente carga más la
red.
• las redes con switches son más escalables que con concentradores
Tipos de switches• Cut-through: Alta velocidad, puede re-enviar frames malos
• Store-and-forward: Revisa el frame antes de enviarlo
• FramengFree (Cut-Through modificado): Antes de enviar, espera que
lleguen 64 bytes
• ATM (Asynchronous Transfer Mode): transfiere celdas fijas, soportan
voz, video y datos.
• LAN: Interconecta múltiples segmentos LAN, separa dominios de
colisión.
• Switches nivel 3
Cortafuegos “Firewall”
Definición de cortafuegos
• Un firewall o cortafuegos es un sistema o grupo de sistemas que
hace cumplir una política de control de acceso entre dos redes, es
decir, cualquier sistema utilizado para separar, en cuanto a
seguridad se refiere, una máquina o subred del resto,
protegiéndolos de servicios y protocolos que desde el exterior
pueden suponer una amenaza de seguridad.
• El espacio protegido perímetro de seguridad
• Red externa no confiable zona de riesgo
¿ Por qué utilizar un firewall?
• Riesgo de confidencialidad
• Riesgo de integridad de datos
• Riesgo de disponibilidad
Puntos fuertes
• Los firewalls son excelentes para reforzar la política de una empresa.
• Los firewalls se utilizan para restringir el acceso a servicios específicos
• Los firewalls solo tienen un propósito
• Los firewalls son excelentes auditores
• Los firewalls son excelentes para alertar a las personas apropiadas acerca de los sucesos que se producen
Puntos débiles
• Los firewalls no ofrecen protección ante lo que está autorizado.
• Los firewalls son tan eficaces como las reglas que tienen que aplicar de acuerdo con su configuración.
• El firewall no puede detener la ingeniería social o a un usuario autorizado que utilice su acceso con propósitos maliciosos.
• Los firewalls no pueden solucionar las prácticas administrativas débiles o un diseño inadecuado de una directiva de seguridad.
• Los firewalls no pueden detener ataques si el tráfico no pasa a través de ellos.
Características de diseño
• Existen tres decisiones básicas en el diseño o la configuración de un firewall:
• Primera: la política de seguridad de la organización
• Segunda: decisión de diseño es el nivel de monitorización, redundancia y control deseado en la organización
• Tercera: económica
Tipos de Firewall• Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como
filtro de paquetes IP. A este nivel se pueden realizar filtros según los
distintos campos de los paquetes IP: dirección IP origen, dirección IP
destino, etc. A menudo en este tipo de cortafuegos se permiten
filtrados según campos de nivel de transporte (nivel 4) como el puerto
origen y destino, o a nivel de enlace de datos (nivel 2) como la
dirección MAC.
• Cortafuegos de capa de aplicación
Trabaja en el nivel de aplicación (nivel 7), de manera que los filtrados
se pueden adaptar a características propias de los protocolos de este
nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar
filtrados según la URL a la que se está intentando acceder.
Filtrado de paquetes
• En función de una serie de reglas preestablecidas la trama es bloqueada o se le permite seguir su camino. Las reglas normalmente se expresan con una simple tabla de condiciones:
Origen Destino Tipo Puerto Acción
165.56.0.0/16
* * * Denegar
124.12.12.0/24
* * * Aceptar
195.5.5.1 TCP 80 Aceptar
Filtrado de paquetes
• Si llegara un paquete que no encajara dentro de ninguna de las reglas lo mejor que podemos hacer es añadir siempre al final de la tabla una última regla donde se exprese la acción que deseamos realizar por defecto.
Origen Destino Tipo Puerto Acción
* * * * Denegar
Arquitecturas de cortafuegos
Cortafuegos de filtrado de paquetes
Dual-Homed Host
Screened Host
Screened Subnet (DMZ)
Cortafuegos de filtrado de paquetes
• Arquitectura sencilla• Consta de un enrutador (screening routers)
• Contacto directo con las máquinas externas (No existen proxies)
• Para organizaciones que no precisan de grandes medidas de seguridad
Dual-Homed Host
• Máquina Unix equipadas con dos o más tarjetas de red:
• Una tarjeta se conecta a la red interna para protegerla.
• Otra tarjeta a la red externa de la organización.
• Un servidor proxy para cada uno de los servicios.
• Deshabilitado el IP Fordwarding
Screened Host
• Combina un router con un host bastión
• Router: línea de defensa más importante gracias al filtrado de paquetes.
• Host bastión: único sistema accesible desde el exterior, donde se ejecutan los proxies de las aplicaciones
Screened Subnet (DMZ)
• Subred entre la red interna y la externa.
• Aislamiento del Host bastión en la subred.
• Aísla otros servidores potencialmente peligrosos (servidores Web, correo, etc.)
Puntos fuertes y débiles de un firewall
• Un firewall sólo es una parte de una arquitectura de seguridad general. Sin embargo, como pieza individual de la arquitectura, está diseñado para cumplir un requisito muy importante dentro del diseño general.
ROUTER
Conexiones del Router
Los routers conectan dos o más redes, cada una de las cuales debe tener un número de red exclusivo para que el enrutamiento se produzca con éxito. El número de red exclusivo se incorpora a la dirección IP que se le asigna a cada dispositivo conectado a esa red.
UN ROUTER TRADICIONAL
Packet switching
fabric
Line card
Line card Line card
Routing processor
Main forwarding
engine
Cuenta con varias interfaces de red (line cards) a donde llegan los paquetes.
Los paquetes son dirigidos al procesador central quien calcula la ruta y los devuelve a las LC
Esta forma de operar es altamente centralizada y la causa de que un router tradicional no pueda ser más eficiente
Más específicamente:
El procesador de ruteo realiza la mayoría de las operaciones de ruteo ayudado por una tabla de ruteo maestra mantenida por el procesador de red, quien además implementa los protocolos de ruteo.Cada LC incluye un procesador y una memoria caché con las últimas rutas.
Packet switching
fabric
Line card
Line card Line card
Routing processor
Main forwarding
engine
Aquellos paquetes cuyas rutas se desconozcan son enviados al procesador de ruteo.Entre una LC y el procesador se ruteo sólo se envían headers, paquetes enteros son enviados solamente entre LC’s.
Arquitectura distribuida
LFE: Local forwarding engine
El MFE contiene la tabla de ruteo maestra y el procesador de ruteo
Un paquete es enviado al MFE sólo cuando una ruta no puede ser calculada.
Packet switching
fabric
Line card
Line card Line card
Network processor
Main forwarding
engine
LFE
LFE LFE El procesador de
ruteo baja tablas de ruteo y las distribuye a cada LFE
Arquitectura paralela IPS: IP
Switching controller
Las unidades de cálculo de rutas están separadas de las LC’s y son compartidas entre ellas.
Se emplea un modelo cliente-servidor: cada vez que llega un paquete a una LC esta hace una solicitud al grupo de MFE y aguarda por la respuesta.
Packet switching
fabric
Line card
Line card Line card
Routing processor
IPS
IPS IPS
Forwarding engines
Todas estas unidades mantienen las mismas tablas de ruteo
Interfaz del Router
En el enrutamiento IP, cada interfaz debe tener una dirección de red (o de subred) individual y única.
Protocolos enrutables:
Los protocolos como:
- IP, IPX y AppleTalk suministran soporte de Capa 3 y, en consecuencia, son enrutables.
Sin embargo, hay protocolos que no soportan Capa 3, que se clasifican como protocolos no enrutables.
El más común de estos protocolos es NetBEUI.NetBEUI es un protocolo pequeño, veloz y eficiente que está limitado a ejecutarse en un segmento.
Protocolos de enrutamientoDeterminan las rutas que siguen los protocolos enrutados hacia los destinos.
Entre los ejemplos de protocolos de enrutamiento se pueden incluir:
el Protocolo de Información de Enrutamiento (RIP)el Protocolo de enrutamiento de gateway interior (IGRP)el Protocolo de enrutamiento de gateway interior mejorado (EIGRP)el Primero la ruta libre más corta (OSPF) e ISIS.
Los protocolos de enrutamiento permiten que los routers conectados creen un mapa interno de los demás routers de la red o de Internet.
Esto permite que se produzca el enrutamiento (es decir, la selección de la mejor ruta y conmutación).
Estos mapas forman parte de la tabla de enrutamiento de cada router.
Enrutamiento Multiprotocolo
Esta capacidad le permite al router entregar paquetes desde varios protocolos enrutados a través de los mismos
enlaces de datos
TIPOS DE ROUTERS
RouterTipos:
• Router Adsl: Es el router que nos proporciona el proveedor de internet
(ISP).
• Router Software. Es una pc que permite pasar los paquetes de una red a
otra. Linux da soporte para este tipo de software, llamado reenvio
(forwarding).
• Router Hardware. Es un router que permite pasar de una subred a otra.
Hace de enmáscaramiento. Es una opción interesante si la red es nueva, y
no se disponen de computadoras antiguas para hacerlos por software.
• Los router tienes dos IPs, por lo que permite comunicarse con las redes de
esas ips
3COMLANPLEX
2500
Clasificación
- LAN/Workgroup
Técnica de Conmutación de IP
- Fast IP
Arquitectura
- Ethernet 16 (TX, FL), Fast Ethernet 2 (TX, FX), FDDI 2 (UTP, fiber), ATM
OC-3 2 (fiber)
- ASIC- RISC
Filtro de paquetes
Sopota IP, IP multicast, IPX y Apple Talk
CISCOSERIE7500
Clasificación LAN/WorkgroupTécnica de Conmutación de IP Tag Swiching de Cisco
Arquitectura Modelos con 5, 7 y 13 slots Pueden ser utilizados con interfaces ethernet, fast-ethernet, token ring, FDDI y ATMDesarrollado para funcionar como un Tag Edge Router
• Soporta ATM Forum UNI 3.0/3.1• Soporta todos los tipos de tráficos (CBR, VBR, ABR, UBR)• No bloqueante (de acuerdo con el fabricante)• Procesador RISC R4000 a 100MHz
Capacidad
Capacidad de conmutación de 1,066Gbps (7505) y 2132Gbps
(7507 y 7513)
Tolerancia a fallas
Redundancia de fuentes de alimentación con balance de cargas
Redundancia de procesador
Hot-Swappability de dos módulos de sistema y fuente de
alimentación
Direccionamiento
SNMP vía IP. Funciones adicionales a través de software
Cisco 7200
CISCOSERIE12000
Clasificación
WAN/Enterprise
Técnica de Conmutación de IP
Tag Swiching de Cisco
Arquitectura
Modelos con 4 y 12 slots
Los slots pueden ser ocupados por diversas placas: 4 puertas Packet-
Over-SONET OC3/STM-1 155Mbps; 1 puerta Packet-Over-SONET
OC12/STM-4 622Mbps; 1 puerta Packet-Over-SONET OC12/STM-4
622Mbps
No bloqueante
Procesador RISC R5000 a 200MHz
CISCOSERIE12000
Capacidad
Capacidad de conmutación de 5Gbps
(12004) y 60Gbps (12012)
Tolerancia a fallas
Redundancia de fuentes de alimentación
con balance de cargas y módulos, del
subsistema de ventilación y de la matriz
de conmutación
Hot-Swappability de dos módulos de
sistema y fuente de alimentación
CISCOSERIE12000
Direccionamiento• SNMP vía IP. Funciones adicionales
a través de software
• Los puertos de administración son el de consola y AUX, no se utilizan para
el envío de paquetes.
• El término interfaz en los routers Cisco se refiere a un conector físico en el
router cuyo principal propósito es recibir y enviar paquetes.
• El IOS de Cisco no permitirá que dos interfaces activas en el mismo router
pertenezcan a la misma red.
Cisco 12008
Router
• Un router es un elemento de un red capaz de dirigir y filtrar el tráfico de una red. Por ejemplo, si un router trabajara en Correos sería la persona encargada de decidir hacia dónde va una carta ya que es capaz de leer la dirección y dirigirla al lugar de destino.
NAPT (Network Adress Port Translation):• Esta parte es una de las más importantes del router,
proporciona seguridad y es la que da más problemas. • Se distingue el tráfico de paquetes mediante el puerto. Por
ejemplo, si tenemos dos computadoras conectados y los dos visitan www.hotmail.com el router recibirá sus paquetes y traducirá la IP pero a cada ordenador le asignará un puerto distinto, el servidor de HOTMAIL recibirá paquetes con la misma dirección IP (la del router) pero con distintos puertos y responderá a cada uno por separado. La respuesta llegará al router donde este separará los paquetes destinados a cada ordenador, distinguiéndolos mediante el puerto
ROUTER
• Este proceso también ofrece seguridad ya que los paquetes que se reciben si no están en la tabla son descartados evitando las temidas intrusiones. Es por esto que todos los programas que inician una conexión no tienen ningún problema ya que crean una entrada en la tabla anterior y el tráfico que generan pasa a través del router sin problemas, por otro lado los programas que esperan una respuesta de Internet por algún puerto sin tener iniciada alguna comunicación por el mismo no funcionan.
GATEWAY
• Formalmente, el Gateway o Pasarela se define como• “Dispositivo que tenía la función de comunicar
dos redes (de distinto medio de transmisión o no)”.
• En la práctica, el objetivo de las Pasarelas de comunicaciones es:• “Facilitar la convergencia de los tipos de redes
presentes en el entorno doméstico (control, datos y entretenimiento) y conectar estas redes con el exterior, dando de esta manera acceso a las redes de banda ancha (ADSL, Cable, etc)”.
GATEWAY
• Consiste en una computadora u otro dispositivo que actúa como traductor entre dos sistemas que no utilizan los mismos protocolos de comunicaciones, formatos de estructuras de datos, lenguajes y/o arquitecturas. Un gateway (compuerta) no es como un puente, que simplemente transfiere información entre dos sistemas sin realizar conversión. Este modifica el empaquetamiento de la información o su sintaxis para acomodarse al sistema destino. Los Gateways trabajan en el nivel más alto del modelo OSI ( el de Aplicación ). Son el método más sofisticado de interconectar redes. Se pueden conectar redes con arquitecturas completamente distintas; por ejemplo, una red Novell PC con una red con arquitectura SNA o TCP/IP, o con una red Ethernet. Las compuertas no hacen funciones de enrutamiento en la red, simplemente transmiten paquetes para que puedan ser leídos. Cuando una compuerta recibe un paquete de una red, ésta traduce el paquete del formato usado en la red a un formato común entre compuertas, y luego lo envía a otra compuerta, la cual después de recibirlo lo traduce del formato común al formato usado en la red destino, y por último lo envía a ésta.
• Existen dos tipos de Gateways :
· Board and software Devices. · Box Level Devices.
GATEWAY
Board And Software Devices. Estos dispositivos vienen siendo computadoras equipadas con adaptadores de comunicaciones de diferentes protocolos correspondientes a los segmentos de los diferentes tipos de red que se desea interconectar. Además, del software que nos permita traducir los diferentes elementos de los protocolos a comunicar. Por lo general, son computadoras dedicadas. En la mayoría de los casos un servidor de archivos se puede habilitar como un Gateway de este tipo.
Box Level Devices. Son dispositivos inteligentes dedicados que nos permiten no solamente la traducción de protocolos sino también la comunicación entre dispositivos de diferentes arquitecturas y aún bajo diferentes ambientes operativos.
GATEWAY
Ventajas: • Puedes conectar desde cualquier máquina, o de todas al
mismo tiempo!! • Puedess ofrecer servicios a Internet desde distintas maquinas
en la red interna • Tener control de donde se navega, o donde no se puede.
Desventajas• Si tienes una conexión de baja velocidad, digamos un acceso
telefónico, el ancho de banda será distribuido entre las diferentes máquinas que generen peticiones a Internet. Esto no es tan terrible si vas a navegar y verificar correo correo, pero si quieres jugar algún juego en red con gráficos pesados y demás, vas a tener menor rendimiento.
• Tener control de donde se navega, o donde no se puede
Protocolos de GatewayLos protocolos de enrutamiento de gateway interior (IGP) y los protocolos de enrutamiento de gateway exterior (EGP) son dos tipos de protocolos de enrutamiento.
Los protocolos de gateway exterior enrutan datos entre sistemas autónomos. Un ejemplo de EGP es BGP (Protocolo de gateway fronterizo), el principal protocolo de enrutamiento exterior de Internet.
Los protocolos de gateway interior enrutan los datos en un sistema autónomo. Entre los ejemplos de los protocolos IGP se incluyen: • RIP • IGRP • EIGRP • OSPF
Firewalls
Grupo de Seguridad del CEM 29/04/2000
¿ Que es un Firewall ?
• Existen 2 Tipos básicos de Firewall• Hardware Firewall: Normalmente es un
ruteador, tiene ciertas reglas para dejar o no dejar pasar los paquetes.
• Software Firewall: Es un programa que esta corriendo preferentemente en un bastioned host, que verifica los paquetes con diferentes criterios para dejarlos pasar o descartarlos.
Hardware Firewall
Software Firewall
¿ Que hace un Firewall ?
• Basicamente examina el trafico en la red, tanto entrante como saliente y lo examina en base a ciertos criterios, para determinar si lo deja pasar o lo descarta. Si detectan algo anormal pueden tener procedimientos a seguir o poner en aviso al administrador.
Operación básica de un Firewall
¿En que capa trabaja el Firewall?
Tipos de Firewalls
• Packet filters•Circuit Level Gateways•Aplication Level Gateways•Stateful Multilayer Inspection
Firewall
Paquet Filters
Circuit Level Gateways
Aplication Level Gateways
Stateful Multilayer Inspection Firewall
Como Implementar un Firewall
• Determinar el nivel de Seguridad requerido.
• Determinar el trafico que va a entrar a la red.
• Determinar el trafico que va a salir de la red.
• Alternativas.
¿ Qué es un Proxy Server ?
• Es un intermediario entre la red interna y el internet, puede implementar ciertos criterios de seguridad, asi como tambien cache, lo que significa que si el proxy tiene una petición, lo primero que hace es buscar en su cache, si lo encuentra responde a la petición.
Proxy Cache Server
Proxy Cache Server
Proxy Cache Server