Curso: Redes y telecomunicaciones 08 Redes LAN

REDES Y TELECOMUNICACIONES
Ing. CIP Jack Daniel Cáceres Meza
REDES LAN
TEMA 8

2
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Temas a tratar
Unidad de aprendizaje 2
 Tema 8:
 REDES LAN:
 Entorno operativo
 VPN -Virtual Private Network
 DHCP -Dynamic Host Configuration Protocol
 Firewall
 Proxy
 Wake On LAN

3
Entorno operativo
 Un sistema operativo de red (Network Operating System) es un
componente software de una computadora que tiene como
objetivo coordinar y manejar las actividades de los recursos de
la computadora en una red de equipos.
 Un sistema operativo de red:
 Conecta todos los equipos y periféricos.
 Coordina las funciones de todos los periféricos y equipos.
 Proporciona seguridad controlando el acceso a los datos y
periféricos.
 Los dos componentes principales del software de red son:
 El software de red que se instala en los clientes.
 El software de red que se instala en los servidores.

4
Entorno operativo
 Categorías:
 Multitarea -> ejecutar más de un programa a la vez
 Multiusuario -> atender a más de un usuario a la vez
 Multiproceso -> coordinar las operaciones de las computadoras
multiprocesador
 Distribuido -> acceder a recursos remotos de la misma manera en
que lo hacen para los recursos locales
 Aspectos de diseño
 Transparencia
 Flexibilidad
 Fiabilidad
 Rendimiento
 Escalabilidad

5
VPN
Seguridad
Confiabilidad
Escalabilidad
Gestión de la red
Gestión de políticas

6
VPN -Protocolos
 PPP -Point-to-Point Protocol (RFC1661)
 Para el establecimiento del túnel se requiere de este protocolo para
autenticar al cliente dentro de la Intranet: se utiliza por los
protocolos de túnel de nivel 2.
 Conexiones dial-up.
 EAP -Extensible Authentication Protocol (RFC3748, RFC5247)
 EAP es una extensión de PPP que permite mecanismos variados
de autenticación para la validación de la conexión. Permite añadir
módulos de verificación en ambos extremos.
 EAP está basado en clave pública: el cliente presenta su certificado
de usuario al otro extremo, y el servidor presenta un certificado de
maquina al cliente: para verificar la autenticidad de ambos
certificados, hacen una petición a un centro de autenticación o CA
para verificarlo.
 CHAP -Challenge Handshake Authentication Protocol (RFC1994)
 Método de autentificación usado por servidores accesibles vía
PPP.

7
VPN -Protocolos
• PPTP -Point to Point Tunnelling Protocol (RFC 2637)
– Trabaja a nivel de enlace.
– Usado por las características VPN de Windows basado en el protocolo PPP.
– Puerto 1723
– Soporta protocolos no IP (IPX/SPX, NetBEUI, Appletalk, etc.).
• IPsec -Internet Protocol Security (RFC 2401, 2402 y 2406)
– Trabaja a nivel de red.
– Método estandarizado de encriptación y coordinación de encriptación entre
extremos VPN, una característica que tanto PPTP como L2TP carecen.
– Proporciona confidencialidad de datos, integridad y autenticacion entre extremos.
– IPSec actúa como una capa del nivel de red protegiendo los paquetes IP a través
de los elementos de red que participan en la conexión.
• L2TP -Layer Two Tunnelling Protocol ( RFC 2661)
– Al igual que PPTP, soporta protocolo no-IP.
– Trabaja a nivel de enlace.
– Frame relay, ATM, etc.
© 2007 Cisco Systems, Inc. All Rights Reserved. CISCO CONFIDENTIAL – Non-Disclosure Agreement Required

8
VPN -Autenticación y gestión de usuarios
 LDAPv3 -Lightweight Directory Access Protocol (RFC4510)
 Protocolo que opera a nivel de aplicación.
 Puerto 389.
 Permite el acceso a un servicio de directorio (X.500) ordenado y
distribuido para buscar diversa información en un entorno de red.
 Un directorio es un conjunto de objetos con atributos organizados
en una manera lógica y jerárquica.
 RADIUS -Remote Authentication Dial-In User Server (RFC 2865
(autentificación y autorización) y RFC 2866 (accounting))
 Puerto 1812
 Para aplicaciones de acceso a la red o movilidad IP.
 Maneja sesiones, notificando cuando comienza y termina una
conexión.
 Implementación Microsoft: RRAS (Routing and Remote Access
service).

9
Ejemplo

10
Funcionamiento

11
Funcionamiento

12
Ejemplo de implementación

13
DHCP (RFC2131)
 Permite a los nodos de una red IP obtener sus parámetros de
configuración automáticamente.
 Usa UDP como protocolo de transporte (puertos 67 y 68)
 Asignación:
 Permanente: utiliza direcciones estáticas pre-definidas
 Manual: ofrece direcciones fijas.
 Automática: asigna una dirección permanente del conjunto de
direcciones (pool - scope).
 Dinámica: asigna direcciones por un tiempo limitado y se retorna al
conjunto.
 Opciones configurables:
 Dirección del servidor DNS
 Nombre DNS
 Puerta de enlace de la dirección IP
 Dirección de broadcast


14
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
• El cliente envía un mensaje DCHPDISCOVER en
broadcast (si múltiples redes, se habilita el
broadcast de mensajes DHCP en los routers)

15
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPOFFER
@IPsrc = servidor
@IPdst = broadcast
• Uno o mas servidores DHCP contestan al cliente con un
mensaje DHCPOFFER donde se ofrece una dirección IP y
otros parámetros

16
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPOFFER
@IPsrc = servidor
@IPdst = broadcast
• El cliente envía un mensaje DHCPREQUEST a los
servidores que han contestado haciendo una petición a una
oferta en concreto y rechazando las otras
DHCPREQUEST
@IPsrc = 0.0.0.0
@IPdst = broadcast

17
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPOFFER
@IPsrc = servidor
@IPdst = broadcast
• El servidor elegido acepta la petición
DHCPREQUEST
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPACK
@IPsrc = servidor
@IPdst = broadcast
• El cliente se configura con la dirección IP y los parámetros
que le ofreció el servidor
@IP =cliente

18
Formato

19
Frame

20
Frame (cont.)

21
Network Security Strategies
 Least Privilege
 Most fundamental principle
 User or service is given privileges just for performing specific
tasks
 Defense In depth
 Don’t just depend on one security mechanism
 Choke point
 Forces the attacker to use a narrow channel
 So now one can monitor activities closely
 'honey pot'

22
Security Strategies
 Weakest link or “low hanging fruit”
 “a chain is as strong as its weakest link”
 Attacker is going to go after the weakest link
 So if you cannot eliminate it, be cautious about it.
 Fail Safe Stance
 If a system fails, it should deny access to the attacker
 Default Deny Stance
 That which is not expressly permitted is prohibited
 Default Permit Stance
 That which is not expressly prohibited is Permitted
 Universal Participation
 Every system is involved in defense
 Every one is involved in defense
 Diversity of defense
 Use different types of mechanisms
 Never depend on security through obscurity
 Assume your system(s) is the last thing standing
 Plan on failure

23
Elemento de hardware o software utilizado en una red de
computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”=
¿Qué es un Firewall?

24
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
¿Dónde opera un Firewall?

25
• De capa de red o de filtrado de paquetes
• Inspección de estado
• De capa de aplicación
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como
filtro de paquetes IP. A este nivel se pueden realizar filtros según los
distintos campos de los paquetes IP: dirección IP origen, dirección IP
destino. A menudo se permiten filtrados según campos de nivel de
transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de
datos (nivel 2) como la dirección MAC.
Trabaja en el nivel de aplicación (nivel 7), por ejemplo, si se trata de tráfico
HTTP se pueden realizar filtrados según la URL a la que se está
intentando acceder. En este caso es denominado Proxy.
Filtran paquetes en la capa de red, determinan si los paquetes de sesión
son legítimos y evalúan el contenido de los paquetes en la capa de
aplicación. Se basan en algoritmos para reconocer y procesar los datos de
la capa de aplicación en lugar de ejecutar proxy de aplicación específica.
Tipos de Firewall

26
Descripción
Gateway de aplicación
Gateway de circuito
Filtro de paquetes
Inspección de estado

27
Posibles funciones
 NAT
 Proxy

28
Posibles funciones
 QoS
 Balanceo de carga

29
A packet filter is a set of rules that determine whether
a packet gets through an interface, or gets dropped.
permit <test 1>
deny <test 2>
deny <test 3>
permit <test 4>
(deny <everything else>)
rules are evaluated in order;
if test is true, action is taken;
if test is not true , go to next rule
Packet filters are inherently paranoid --
packets are denied if not explicitly allowed
i.e.: all that is not expressly permitted is prohibited
-if you do not need it, eliminate it
Packet Filters
INET97

30
Internet
Router
my net A
my net B
my net C
filters work here ...
...and here ...
Router
... in each direction, independently
inout
Packet Filter Locations
INET97
When a filter is applied to a packet the packet
may cause one or more of the following
actions to occur
 Forwarded the packet to the destination
 Drop the packet without notifying the sender
 Drop the packet with a notifying error
message returned to the sender
 Log information about the packet (for possible
later analysis)
 Notify an administrator about the packet (for
potentially dangerous packets
Janice Regan, 2006

31
permit <src-ip, src-port> <dst-ip, dst-port>
deny <src-ip, src-port> <dst-ip, dst-port>
a packet filter rule looks like this:
Rules
INET97
CSC 382: Computer Security
Dir Src Dest Proto S.Port D.Port ACK? Action
In Ext Int TCP >1023 25 Either Accept
Out Int Ext TCP 25 >1023 Yes Accept
Out Int Ext TCP >1023 25 Either Accept
In Ext Int TCP 25 >1023 Yes Accept
Either Any Any Any Any Any Either Deny

32
• No protege de ataques fuera de su área.
•No protege lo que no puede ver.
• No protege de espías o usuarios inconscientes.
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos,
cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.
Limitaciones del Firewall

33
Proxy
 Un servidor que se encuentra entre una aplicación cliente, como
un navegador Web y un servidor real. Intercepta todas las
peticiones hacia el servidor real para ver si se puede cumplir con
las peticiones él mismo; si no, se envía la solicitud al servidor
real.
 Propósitos:
 Filtrar requerimientos
 Permitir el análisis de patrones de consumo
 Incrementar rendimiento ->menor latencia/lentitud
 Reducir consumo de ancho de banda ->reduce el tráfico/congestión
 Funciones:
 Compartición de conexión
 Caché (su efectividad depende del patrón de tráfico, miss/hit)
 Filtrado

34
Elementos de la función compartición de conexión

35
Elementos de la función caché
Jia Wang
request
client
Does proxy have
requested pageyes no
Does cooperative proxies
have web page
yes
no
Find web page on server
hit
hit
miss
miss

36
Desirable properties of WWW caching system
 Fast access
 reducir latencia
 Robustness
 Disponibilidad
 caída sin complicación
 recuperación rápida
 no existir un solo punto de falla
 Transparency
 el usuario solo debe notar mayor velocidad y disponibilidad
 Scalability
 de acuerdo con las exigencias de la red
 Efficiency
 evitar el sobre control y la sub-utilización
Jia Wang

37
Desirable properties of WWW caching system
 Adaptivity
 al cambio dinámico en la demanda del usuario y ambiente de red
 Stability
 no introducir inestabilidades
 Load balance
 sin cuellos de botella, distribución uniforme
 Ability to deal with heterogeneity
 sin importar el hardware o software
 Simplicity
 para su adopción e implementación, preferentemente empleando
estándares internacionales
Jia Wang
¿Organización, ubicación, contenido, cooperación, compartición,
consistencia, control, ...?

38
Recursos requeridos
 Disk
 Stores cached objects
 Memory
 Metadata and index
 In-transit object data
 Networking
 CPU
 Probable cuello de botella
 Distribución de controladores
 Distribución de discos
 Lo más necesario
 Podría incrementarse el tráfico
 Tarjetas de alta velocidad
 Mejor multiprocesadores que
un solo procesador potente

39
Elementos de la función filtrado
 acl manager proto cache_object
 acl localhost src 127.0.0.1/32
 acl managerhost src
204.248.51.34/32
204.248.51.39/32
204.248.51.40/32
 acl cawtech src 204.248.51.0/24
 acl cawtech-internal src
172.16.0.0/16
 acl all src 0.0.0.0/0.0.0.0
 acl SSL_ports port 443 563
 acl www_ports port 80 81
 acl ftp_ports port 21
 acl Safe_ports port 1025-65535
 acl CONNECT method CONNECT
 acl FTP proto FTP
 acl HTTP proto HTTP
 http_access deny manager !localhost !
managerhost
 http_access deny CONNECT !SSL_ports
 http_access deny HTTP !www_ports !
Safe_ports
 http_access deny FTP !ftp_ports !
Safe_ports
 http_access allow localhost
 http_access allow cawtech
 http_access allow cawtech-internal
 http_access deny all

40
Otros filtros
 acl redlocal src 192.168.0.1-192.168.0.100
 acl equipo5 src 192.168.0.5
 acl negados dstdom_regex -i youtube hotmail yahoo gmail
 acl equipos_restringidos src "/etc/squid/restringidos"
 acl horario MTW 18:00-21:00
 acl archivosmime rep_mime_type -i ^application/x-icq$
 acl archivosmime rep_mime_type -i ^video/x-ms-asf$
 acl archivosmime rep_mime_type -i ^application/x-msn-
messenger$
 acl file urlpath_regex -i .avi.*$ .asf.*.*$ .asx.*$ .mp4.*$
 acl multimedia urlpath_regex “/var/log/squid/docs/multimedia”
 acl maxconfile maxconn 3
 acl maxconweb maxconn 8
 http_access allow !multimedia

/var/log/squid/docs/multimedia: (uno por línea)
.m4v.*$ .mp3.*$ .ogm.*$ .mpg.*$ .mpeg.*$
.mov.*$ .moov.*$ .qt.*$ .qtvr.*$ .ram.*$
.vob.*$ .wmp.*$ .wma.*$ .wmv.*$ .wav.*$
.amv.*$ .scr.*$ .sys.*$ .iso.*$ .bin.*$ .exe.*$
.dll.*$ .msi.*$ .nrg.*$ .raw.*$ .rv.*$ .flv.*$
.swf.*$ .zip.*$ .rar.*$ .tar.*$ .tar.gz.*$
.tar.gz2.*$ .lha.*$ .arj.*$ .7z.*$ .vqf.*$
.tar.bz.*$ .tar.bz2.*$ .gz.*$ .rpm.*$ .mpe.*$
.mpg.*$ .mpg.*$ .doc.*$ .xls.*$ .pps.*$ .ppt.*$
.z.*$ .wmf.*$ .lzh.*$ .gzip.*$ .gzip.*$

41
Microsoft ISA Server 2000 Architecture

42
Firewall vs. Filter
Examples of Firewalls
Network-based: Cisco PIX/ASA/FWSM, Juniper Netscreen, Check Point VPN-1,
Microsoft ISA, Fortinet, Watchguard.
Host-based: ISS BlackICE (home) & Desktop Protector (enterprise)
Examples of Filters
Mail: Barracuda Spam Firewall, Symantec Mail Security, SurfControl Risk Filter,
MailScanner
Web/P2P/IM: Bluecoat ProxySG, SurfControl Threat Filter, FaceTime, Websense,
Barracuda Spyware Firewall
Web/Mail: Aladdin eSafe Gateway
Examples of Firewalls + Filters
Host-based: Norton Personal Firewall/Internet Security (home) & Symantec Client
Security (enterprise)
Network-based: Symantec Enterprise Firewall, Securiant SpiderISA

43
Wake-On LAN
 The ability to switch on remote computers that are part of the local
network.
 Magic packet - FF FF FF FF FF FF
 Example MAC address – 00:11:11:E6:A2:66 * 16
 HEX:
FF FF FF FF FFFF 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66
00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2
66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6
A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11
E6 A2 66 00 11 11 E6 A2 66
 All networked devices receive the ‘magic packet’.
 The NIC adapter will react to a "Magic Packet" containing its own
MAC address by toggling a signal connected to the computer
power control circuitry.
 The power control circuitry, in response, would activate power to
the computer resulting in the computer booting the OS.

44
Beneficio de emplear WOL

45
Otros
 Netstat
 dig/nslookup
 Route
 traceroute

46
NETSTAT
jcaceres@pc-001:~$ netstat -l
Conexiones activas de Internet (solo servidores)
Protocolo Recv-Q Send-Q Dirección Local Dirección Externa Estado
tcp 0 0 localhost:ipp *:* ESCUCHAR
tcp 0 0 *:1720 *:* ESCUCHAR
udp 0 0 *:54019 *:*
udp 0 0 224.0.0.56:9875 *:*
udp 0 0 pc-6-208.rcp.net.pe:sip *:*
udp 0 0 *:bootpc *:*
udp 0 0 *:mdns *:*
Activar zócalos de dominio UNIX (solo servidores)
Proto RefCnt Flags Type State I-Node Ruta
unix 2 [ ACC ] FLUJO ESCUCHANDO 22960 /tmp/orbit-
jcaceres/linc-2f92-0-425b3e003d19e
jcaceres/linc-2f99-0-294db9356641
jcaceres/linc-772a-0-76993a9c33935
jcaceres/linc-2e04-0-486ff7379a52d
jcaceres/linc-5c54-0-21bc0cc27f731

47
DIG
jcaceres@pc-001:~$ dig polifemo.rcp.net.pe
; <<>> DiG 9.5.1-P2 <<>> polifemo.rcp.net.pe
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56807
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2,
ADDITIONAL: 2
;; QUESTION SECTION:
;polifemo.rcp.net.pe. IN A
;; ANSWER SECTION:
polifemo.rcp.net.pe. 3674 IN A 161.132.8.45
;; AUTHORITY SECTION:
rcp.net.pe. 2913 IN NS ns.rcp.net.pe.
rcp.net.pe. 2913 IN NS ns2.rcp.net.pe.
jcaceres@pc-001:~$ nslookup polifemo.rcp.net.pe
Server: 161.132.6.2
Address: 161.132.6.2#53
Non-authoritative answer:
Name: polifemo.rcp.net.pe
Address: 161.132.8.45

48
ROUTE
jcaceres@pc-001:~$ route
Tabla de rutas IP del núcleo
Destino Pasarela Genmask Indic Métric Ref Uso Interfaz
161.132.6.0 * 255.255.255.0 U 1 0 0 eth0
link-local * 255.255.0.0 U 1000 0 0 eth0
default 161.132.6.1 0.0.0.0 UG 0 0 0 eth0

49
ROUTE
jcaceres@pc-001:~$ route -C
Caché de ruteado IP del núcleo
Fuente Destino Puerta de Enlace Banderas Metrica Ref Uso
Interfaz
alpha.rcp.net.p 161.132.6.255 161.132.6.255 ibl 0 0 0 lo
pc-6-208.rcp.ne 224.0.0.251 224.0.0.251 ml 0 0 3
eth0
pc-6-21.rcp.net 161.132.6.255 161.132.6.255 ibl 0 0 0
lo
pc-6-5.rcp.net. 161.132.6.255 161.132.6.255 ibl 0 0 0 lo
pc-6-208.rcp.ne 161.132.14.18 161.132.6.1 0 0 3
eth0
pc-6-208.rcp.ne intranet.rcp.ne intranet.rcp.ne 0 1 0
eth0
pc-6-82.rcp.net 161.132.6.255 161.132.6.255 ibl 0 0 0
lo
pc-6-208.rcp.ne intranet.rcp.ne intranet.rcp.ne 0 1 10
eth0
pc-6-82.rcp.net 161.132.6.255 161.132.6.255 ibl 0 0 0

50
TRACEROUTE
jcaceres@pc-001:~$ traceroute www.yahoo.com
traceroute to www.yahoo.com (209.191.93.52), 30
hops max, 60 byte packets
1 161.132.6.1 (161.132.6.1) 0.422 ms 0.364 ms
0.331 ms
2 RCP-Pe-SI.rcp.net.pe (161.132.0.1) 1.054 ms
0.806 ms 0.818 ms
3 host249.200.62.49.ifxnetworks.com
(200.62.49.249) 1.767 ms 1.726 ms 1.462 ms
4 200.62.1.245 (200.62.1.245) 79.228 ms 79.218
ms 79.195 ms
5 pos1-0.cr01.mia02.pccwbtn.net (63.218.113.93)
79.180 ms 79.162 ms 79.107 ms
6 ge5-2.br01.mia02.pccwbtn.net (63.218.112.70)
79.158 ms 80.677 ms 80.670 ms
7 207.138.112.125 (207.138.112.125) 80.638 ms
83.160 ms 83.600 ms
8 te6-4-10GE.ar4.DAL2.gblx.net (67.16.136.29)

REDES Y TELECOMUNICACIONES
Ing. CIP Jack Daniel Cáceres Meza

Curso: Redes y telecomunicaciones 08 Redes LAN

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Curso: Redes y telecomunicaciones 08 Redes LAN

Similar a Curso: Redes y telecomunicaciones 08 Redes LAN (20)

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Último

Último (11)

Curso: Redes y telecomunicaciones 08 Redes LAN