Curso: Redes y telecomunicaciones 08 Redes LAN.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2009-2 (agosto/2009), 2011-0 (enero/2011).
2. 2
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Temas a tratar
Unidad de aprendizaje 2
Tema 8:
REDES LAN:
Entorno operativo
VPN -Virtual Private Network
DHCP -Dynamic Host Configuration Protocol
Firewall
Proxy
Wake On LAN
3. 3
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Entorno operativo
Un sistema operativo de red (Network Operating System) es un
componente software de una computadora que tiene como
objetivo coordinar y manejar las actividades de los recursos de
la computadora en una red de equipos.
Un sistema operativo de red:
Conecta todos los equipos y periféricos.
Coordina las funciones de todos los periféricos y equipos.
Proporciona seguridad controlando el acceso a los datos y
periféricos.
Los dos componentes principales del software de red son:
El software de red que se instala en los clientes.
El software de red que se instala en los servidores.
4. 4
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Entorno operativo
Categorías:
Multitarea -> ejecutar más de un programa a la vez
Multiusuario -> atender a más de un usuario a la vez
Multiproceso -> coordinar las operaciones de las computadoras
multiprocesador
Distribuido -> acceder a recursos remotos de la misma manera en
que lo hacen para los recursos locales
Aspectos de diseño
Transparencia
Flexibilidad
Fiabilidad
Rendimiento
Escalabilidad
5. 5
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
VPN
Seguridad
Confiabilidad
Escalabilidad
Gestión de la red
Gestión de políticas
6. 6
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
VPN -Protocolos
PPP -Point-to-Point Protocol (RFC1661)
Para el establecimiento del túnel se requiere de este protocolo para
autenticar al cliente dentro de la Intranet: se utiliza por los
protocolos de túnel de nivel 2.
Conexiones dial-up.
EAP -Extensible Authentication Protocol (RFC3748, RFC5247)
EAP es una extensión de PPP que permite mecanismos variados
de autenticación para la validación de la conexión. Permite añadir
módulos de verificación en ambos extremos.
EAP está basado en clave pública: el cliente presenta su certificado
de usuario al otro extremo, y el servidor presenta un certificado de
maquina al cliente: para verificar la autenticidad de ambos
certificados, hacen una petición a un centro de autenticación o CA
para verificarlo.
CHAP -Challenge Handshake Authentication Protocol (RFC1994)
Método de autentificación usado por servidores accesibles vía
PPP.
8. 8
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
VPN -Autenticación y gestión de usuarios
LDAPv3 -Lightweight Directory Access Protocol (RFC4510)
Protocolo que opera a nivel de aplicación.
Puerto 389.
Permite el acceso a un servicio de directorio (X.500) ordenado y
distribuido para buscar diversa información en un entorno de red.
Un directorio es un conjunto de objetos con atributos organizados
en una manera lógica y jerárquica.
RADIUS -Remote Authentication Dial-In User Server (RFC 2865
(autentificación y autorización) y RFC 2866 (accounting))
Puerto 1812
Para aplicaciones de acceso a la red o movilidad IP.
Maneja sesiones, notificando cuando comienza y termina una
conexión.
Implementación Microsoft: RRAS (Routing and Remote Access
service).
13. 13
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
DHCP (RFC2131)
Permite a los nodos de una red IP obtener sus parámetros de
configuración automáticamente.
Usa UDP como protocolo de transporte (puertos 67 y 68)
Asignación:
Permanente: utiliza direcciones estáticas pre-definidas
Manual: ofrece direcciones fijas.
Automática: asigna una dirección permanente del conjunto de
direcciones (pool - scope).
Dinámica: asigna direcciones por un tiempo limitado y se retorna al
conjunto.
Opciones configurables:
Dirección del servidor DNS
Nombre DNS
Puerta de enlace de la dirección IP
Dirección de broadcast
14. 14
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
• El cliente envía un mensaje DCHPDISCOVER en
broadcast (si múltiples redes, se habilita el
broadcast de mensajes DHCP en los routers)
15. 15
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPOFFER
@IPsrc = servidor
@IPdst = broadcast
• Uno o mas servidores DHCP contestan al cliente con un
mensaje DHCPOFFER donde se ofrece una dirección IP y
otros parámetros
16. 16
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPOFFER
@IPsrc = servidor
@IPdst = broadcast
• El cliente envía un mensaje DHCPREQUEST a los
servidores que han contestado haciendo una petición a una
oferta en concreto y rechazando las otras
DHCPREQUEST
@IPsrc = 0.0.0.0
@IPdst = broadcast
17. 17
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Ejemplo
cliente
servidor DHCP
tiempo
@IP = 0.0.0.0
@IP = servidor
DHCPDISCOVER
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPOFFER
@IPsrc = servidor
@IPdst = broadcast
• El servidor elegido acepta la petición
DHCPREQUEST
@IPsrc = 0.0.0.0
@IPdst = broadcast
DHCPACK
@IPsrc = servidor
@IPdst = broadcast
• El cliente se configura con la dirección IP y los parámetros
que le ofreció el servidor
@IP =cliente
21. 21
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Network Security Strategies
Least Privilege
Most fundamental principle
User or service is given privileges just for performing specific
tasks
Defense In depth
Don’t just depend on one security mechanism
Choke point
Forces the attacker to use a narrow channel
So now one can monitor activities closely
'honey pot'
22. 22
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Security Strategies
Weakest link or “low hanging fruit”
“a chain is as strong as its weakest link”
Attacker is going to go after the weakest link
So if you cannot eliminate it, be cautious about it.
Fail Safe Stance
If a system fails, it should deny access to the attacker
Default Deny Stance
That which is not expressly permitted is prohibited
Default Permit Stance
That which is not expressly prohibited is Permitted
Universal Participation
Every system is involved in defense
Every one is involved in defense
Diversity of defense
Use different types of mechanisms
Never depend on security through obscurity
Assume your system(s) is the last thing standing
Plan on failure
23. 23
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Elemento de hardware o software utilizado en una red de
computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”=
¿Qué es un Firewall?
24. 24
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
¿Dónde opera un Firewall?
25. 25
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
• De capa de red o de filtrado de paquetes
• Inspección de estado
• De capa de aplicación
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como
filtro de paquetes IP. A este nivel se pueden realizar filtros según los
distintos campos de los paquetes IP: dirección IP origen, dirección IP
destino. A menudo se permiten filtrados según campos de nivel de
transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de
datos (nivel 2) como la dirección MAC.
Trabaja en el nivel de aplicación (nivel 7), por ejemplo, si se trata de tráfico
HTTP se pueden realizar filtrados según la URL a la que se está
intentando acceder. En este caso es denominado Proxy.
Filtran paquetes en la capa de red, determinan si los paquetes de sesión
son legítimos y evalúan el contenido de los paquetes en la capa de
aplicación. Se basan en algoritmos para reconocer y procesar los datos de
la capa de aplicación en lugar de ejecutar proxy de aplicación específica.
Tipos de Firewall
26. 26
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Descripción
Gateway de aplicación
Gateway de circuito
Filtro de paquetes
Inspección de estado
28. 28
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Posibles funciones
QoS
Balanceo de carga
29. 29
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
A packet filter is a set of rules that determine whether
a packet gets through an interface, or gets dropped.
permit <test 1>
deny <test 2>
deny <test 3>
permit <test 4>
(deny <everything else>)
rules are evaluated in order;
if test is true, action is taken;
if test is not true , go to next rule
Packet filters are inherently paranoid --
packets are denied if not explicitly allowed
i.e.: all that is not expressly permitted is prohibited
-if you do not need it, eliminate it
Packet Filters
INET97
30. 30
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Internet
Router
my net A
my net B
my net C
filters work here ...
...and here ...
Router
... in each direction, independently
inout
Packet Filter Locations
INET97
When a filter is applied to a packet the packet
may cause one or more of the following
actions to occur
Forwarded the packet to the destination
Drop the packet without notifying the sender
Drop the packet with a notifying error
message returned to the sender
Log information about the packet (for possible
later analysis)
Notify an administrator about the packet (for
potentially dangerous packets
Janice Regan, 2006
31. 31
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
permit <src-ip, src-port> <dst-ip, dst-port>
deny <src-ip, src-port> <dst-ip, dst-port>
a packet filter rule looks like this:
Rules
INET97
CSC 382: Computer Security
Dir Src Dest Proto S.Port D.Port ACK? Action
In Ext Int TCP >1023 25 Either Accept
Out Int Ext TCP 25 >1023 Yes Accept
Out Int Ext TCP >1023 25 Either Accept
In Ext Int TCP 25 >1023 Yes Accept
Either Any Any Any Any Any Either Deny
32. 32
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
• No protege de ataques fuera de su área.
•No protege lo que no puede ver.
• No protege de espías o usuarios inconscientes.
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos,
cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.
Limitaciones del Firewall
33. 33
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Proxy
Un servidor que se encuentra entre una aplicación cliente, como
un navegador Web y un servidor real. Intercepta todas las
peticiones hacia el servidor real para ver si se puede cumplir con
las peticiones él mismo; si no, se envía la solicitud al servidor
real.
Propósitos:
Filtrar requerimientos
Permitir el análisis de patrones de consumo
Incrementar rendimiento ->menor latencia/lentitud
Reducir consumo de ancho de banda ->reduce el tráfico/congestión
Funciones:
Compartición de conexión
Caché (su efectividad depende del patrón de tráfico, miss/hit)
Filtrado
34. 34
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Elementos de la función compartición de conexión
35. 35
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Elementos de la función caché
Jia Wang
request
client
Does proxy have
requested pageyes no
Does cooperative proxies
have web page
yes
no
Find web page on server
hit
hit
miss
miss
36. 36
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desirable properties of WWW caching system
Fast access
reducir latencia
Robustness
Disponibilidad
caída sin complicación
recuperación rápida
no existir un solo punto de falla
Transparency
el usuario solo debe notar mayor velocidad y disponibilidad
Scalability
de acuerdo con las exigencias de la red
Efficiency
evitar el sobre control y la sub-utilización
Jia Wang
37. 37
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desirable properties of WWW caching system
Adaptivity
al cambio dinámico en la demanda del usuario y ambiente de red
Stability
no introducir inestabilidades
Load balance
sin cuellos de botella, distribución uniforme
Ability to deal with heterogeneity
sin importar el hardware o software
Simplicity
para su adopción e implementación, preferentemente empleando
estándares internacionales
Jia Wang
¿Organización, ubicación, contenido, cooperación, compartición,
consistencia, control, ...?
38. 38
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Recursos requeridos
Disk
Stores cached objects
Memory
Metadata and index
In-transit object data
Networking
CPU
Probable cuello de botella
Distribución de controladores
Distribución de discos
Lo más necesario
Podría incrementarse el tráfico
Tarjetas de alta velocidad
Mejor multiprocesadores que
un solo procesador potente
39. 39
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Elementos de la función filtrado
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl managerhost src
204.248.51.34/32
acl managerhost src
204.248.51.39/32
acl managerhost src
204.248.51.40/32
acl cawtech src 204.248.51.0/24
acl cawtech-internal src
172.16.0.0/16
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443 563
acl www_ports port 80 81
acl ftp_ports port 21
acl Safe_ports port 1025-65535
acl CONNECT method CONNECT
acl FTP proto FTP
acl HTTP proto HTTP
http_access deny manager !localhost !
managerhost
http_access deny CONNECT !SSL_ports
http_access deny HTTP !www_ports !
Safe_ports
http_access deny FTP !ftp_ports !
Safe_ports
http_access allow localhost
http_access allow cawtech
http_access allow cawtech-internal
http_access deny all
41. 41
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Microsoft ISA Server 2000 Architecture
42. 42
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Firewall vs. Filter
Examples of Firewalls
Network-based: Cisco PIX/ASA/FWSM, Juniper Netscreen, Check Point VPN-1,
Microsoft ISA, Fortinet, Watchguard.
Host-based: ISS BlackICE (home) & Desktop Protector (enterprise)
Examples of Filters
Mail: Barracuda Spam Firewall, Symantec Mail Security, SurfControl Risk Filter,
MailScanner
Web/P2P/IM: Bluecoat ProxySG, SurfControl Threat Filter, FaceTime, Websense,
Barracuda Spyware Firewall
Web/Mail: Aladdin eSafe Gateway
Examples of Firewalls + Filters
Host-based: Norton Personal Firewall/Internet Security (home) & Symantec Client
Security (enterprise)
Network-based: Symantec Enterprise Firewall, Securiant SpiderISA
43. 43
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Wake-On LAN
The ability to switch on remote computers that are part of the local
network.
Magic packet - FF FF FF FF FF FF
Example MAC address – 00:11:11:E6:A2:66 * 16
HEX:
FF FF FF FF FFFF 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66
00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2
66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6
A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11 E6 A2 66 00 11 11
E6 A2 66 00 11 11 E6 A2 66
All networked devices receive the ‘magic packet’.
The NIC adapter will react to a "Magic Packet" containing its own
MAC address by toggling a signal connected to the computer
power control circuitry.
The power control circuitry, in response, would activate power to
the computer resulting in the computer booting the OS.
47. 47
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
DIG
jcaceres@pc-001:~$ dig polifemo.rcp.net.pe
; <<>> DiG 9.5.1-P2 <<>> polifemo.rcp.net.pe
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56807
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2,
ADDITIONAL: 2
;; QUESTION SECTION:
;polifemo.rcp.net.pe. IN A
;; ANSWER SECTION:
polifemo.rcp.net.pe. 3674 IN A 161.132.8.45
;; AUTHORITY SECTION:
rcp.net.pe. 2913 IN NS ns.rcp.net.pe.
rcp.net.pe. 2913 IN NS ns2.rcp.net.pe.
jcaceres@pc-001:~$ nslookup polifemo.rcp.net.pe
Server: 161.132.6.2
Address: 161.132.6.2#53
Non-authoritative answer:
Name: polifemo.rcp.net.pe
Address: 161.132.8.45
48. 48
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ROUTE
jcaceres@pc-001:~$ route
Tabla de rutas IP del núcleo
Destino Pasarela Genmask Indic Métric Ref Uso Interfaz
161.132.6.0 * 255.255.255.0 U 1 0 0 eth0
link-local * 255.255.0.0 U 1000 0 0 eth0
default 161.132.6.1 0.0.0.0 UG 0 0 0 eth0
49. 49
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ROUTE
jcaceres@pc-001:~$ route -C
Caché de ruteado IP del núcleo
Fuente Destino Puerta de Enlace Banderas Metrica Ref Uso
Interfaz
alpha.rcp.net.p 161.132.6.255 161.132.6.255 ibl 0 0 0 lo
pc-6-208.rcp.ne 224.0.0.251 224.0.0.251 ml 0 0 3
eth0
pc-6-21.rcp.net 161.132.6.255 161.132.6.255 ibl 0 0 0
lo
pc-6-5.rcp.net. 161.132.6.255 161.132.6.255 ibl 0 0 0 lo
pc-6-208.rcp.ne 161.132.14.18 161.132.6.1 0 0 3
eth0
pc-6-208.rcp.ne intranet.rcp.ne intranet.rcp.ne 0 1 0
eth0
pc-6-82.rcp.net 161.132.6.255 161.132.6.255 ibl 0 0 0
lo
pc-6-208.rcp.ne intranet.rcp.ne intranet.rcp.ne 0 1 10
eth0
pc-6-82.rcp.net 161.132.6.255 161.132.6.255 ibl 0 0 0
50. 50
Ciclo 2009-IIIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
TRACEROUTE
jcaceres@pc-001:~$ traceroute www.yahoo.com
traceroute to www.yahoo.com (209.191.93.52), 30
hops max, 60 byte packets
1 161.132.6.1 (161.132.6.1) 0.422 ms 0.364 ms
0.331 ms
2 RCP-Pe-SI.rcp.net.pe (161.132.0.1) 1.054 ms
0.806 ms 0.818 ms
3 host249.200.62.49.ifxnetworks.com
(200.62.49.249) 1.767 ms 1.726 ms 1.462 ms
4 200.62.1.245 (200.62.1.245) 79.228 ms 79.218
ms 79.195 ms
5 pos1-0.cr01.mia02.pccwbtn.net (63.218.113.93)
79.180 ms 79.162 ms 79.107 ms
6 ge5-2.br01.mia02.pccwbtn.net (63.218.112.70)
79.158 ms 80.677 ms 80.670 ms
7 207.138.112.125 (207.138.112.125) 80.638 ms
83.160 ms 83.600 ms
8 te6-4-10GE.ar4.DAL2.gblx.net (67.16.136.29)