Un único dominio de Capa 2

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Un único dominio de Capa 2"

Javier Castro Quiroga
hace 8 años
Vistas:

3 Backbone SWITCH SWITCH SWITCH Un único dominio de Capa 2

4 Tramas/ s ARP ARP RIP RIP STP STP OSPF OSPF Broadcastómetro ARP RIP STP OSPF ARP RIP STP OSPF 0 Tramas/ s Broadcastómetro

5 Backbone Switch con VLANs Switch con VLANs Switch con VLANs VLAN 1 VLAN 2 Dominios de Broadcast VLAN 5 VLAN 3 VLAN 4 Dominios de Broadcast Una VLAN constituye un dominio de broadcast de Capa 2 definido de forma lógica

3 VLAN 4 Dominios de Broadcast Una VLAN constituye un

6 !!" #$ %&'(!")& *+!,!!! -+ ) $

7 6!".$/ $0 1,!"!$0 & 2,)&+ $..$/ $ 3 )! $$...$/ $!! + )$.4$.$/ $,$'$(04,564 $/ $&,! $'$(40,64.$/ $7!!$'$(44..$/ $ 2 8& $'$(943:43,$

8 6)+; CISCO SYSTEMS Workgroup Stack Catalyst 3000 PWR DIAG FAULT XMT RCV LNK/FDX AUI MDIX MDI VLAN roja VLAN azul Conexión roja-azul

12 13 14 15 16 AUI MDIX 1 1 2 3 4 5 6 7 8 9 10 11 12

9 ;!; "!! "

10 ;!; # $! #%" & ' ' (% ) * ' )' ' ( +###,-.(/) "

11 <)!!( 0!< 4!< &! +(! 2!&! ( 0

12 0! 4( 6)+!!!&.) +( 6)+!! 0)+( 6)+!)

13 ) ;&"!( < 4/& < &4/&

14 & 5 & & )6)/.6=, )+" " & ;!" & 3!, >?;$=@ 0!!& +!!) ).6=3 & &

15 & 5 &!" ) (.4.4A 60 B. A$;C <.% 5 & -,! 2 )

16 '!( & Switch con VLANs IPX 2 Default IPX 1 VLAN Default VLANs IPX VLANs Número Puerto Subred 1 Subred 2 Subred VLANs IP Puertos Default 1 6 IPX IPX IP IP IP IPX 1 broadcast

2 Subred 3 1 2 3 4 5 6 VLANs IP Puertos Default 1 6

17 & & 5 & &!!/& 5 & &-,!! + & ) & &!, )!! &

18 0!.) +!.) +(.)! +#! Cabecera MAC Tag Cabecera IP Datos... Ejemplo: Etiqueta ( tag ) Estándar Q

19 Cabecera MAC VLAN A Cabecera IP Datos... 1 VLAN A 802.1Q VLAN B Downlink con VLANs A y B TAG añadida 2 Cabecera MAC Cab. IP Datos VLAN B 802.1Q TAG eliminada VLAN A Cabecera MAC Cab. IP Datos... 5

20 Trama Ethernet Normal Preámbu SFD: 1 DA: 6 SA: 6 Tipo/ lo Longitud: 7 2 Datos: 48 a 1500 CRC: 4 Trama Etiquetada 802.1Q Campos insertados Preámbulo SFD: 1 DA: 6 SA: TPI 2 TAG Tipo/ Longitud :2 Datos: 48 a 1500 CRC: 4 Prioridad usuario 3 bits CFI 1 bit Bits del VLAN ID (VID) identifican 4,096 VLANs posibles 12 bits

1Q Campos insertados Preámbulo SFD: 1 DA: 6 SA: 6 7 2 TPI 2 TAG Tipo/ Longitud :2

21 '! +( 5

22 6 ) +! ( +") 0+& ".>?;$=@! +! 0 ) 8 ( < 4) < 4 < & (D E,DBE

23 6 2!, ) + &, ) VLAN 1 VLAN 2! 8>?;$=@ VLAN 1 VLAN 3 VLAN 2 VLAN 3 VLAN 1

24 6 )&.4 )+ " &.4 ".4 VLAN VLAN VLAN

25 6 "

26 6 #$%&'()

27 # )! vlan make trunk-port gi.4.1 vlan create usuarios ip id 240 vlan add ports et.2.8 to usuarios vlan add ports gi.4.1 to usuarios

28 6 ; VLAN 1 Usuarios en una misma VLAN e igual red IP se pueden ver

29 6 ; VLAN 1 VLAN 2 Usuarios en distintas VLANs e igual red IP NO se pueden ver

30 6 +) interface create ip usuarios vlan usuarios address-netmask /24 mtu 1500 output-mac-encapsulation ethernet_ii " ;,F 5 )!

31 6! + 2 F D0E 0) + 5 0!!+ & "! ( +0* 0100* 0 ")!

32 6 F VLAN El router de Nivel 3 conmuta el tráfico IP entra redes VLAN Usuarios en distintas VLANs y diferente red IP SÍ se pueden ver

33 6 *+ F VLAN Las ACLs impiden la comunicación entre las redes IP VLAN Usuarios en distintas VLANs y diferente red IP NO se pueden ver

34 6 *+ 5 08! + )! +!!! 0 - ) +! 0 )

35 6 *+ + + &-!") acl usuarios permit ip / /24 acl usuarios permit ip / /24 )") acl usuarios deny ip / /12 log!. acl usuarios permit ip any any

36 6 * !") acl nodo0 permit ip / /24 acl nodo0 permit ip / /24 4!")! acl nodo0 permit ip / /24 acl nodo0 permit ip / /32 0) acl nodo0 apply interface iinf000 input output acl nodo0 apply interface iusu000 input output

37 6 2 3 '

38 6, -/ -. ' '

39 6 6! /-(-(-(3.44(.44(.44(.4. /-(-(-(.,.44(.44(.44(.4. /-(-(-(-.44(.44(.44(.4. /-(-(-(.3.44(.44(.44(.4. /-(-(-(,.44(.44(.44(.4. /-(-(-(/..44(.44(.44(.4. /-(-(-(.-.44(.44(.44(.4. /-(-(-(/5.44(.44(.44(.4.

40 6 6!

41 6!( 5 ) ;( +") 0+& F( &.4 4!") 2 0 0;/ F 0(6)+ -! ( *&.

43 45 -. / " # 4 -**45/ &4 -&45/ "! -"!/

44 45 Conexión PPP Datos & ' 0 "! / :7-+9/!*+9

45 45 GRE (Generic Routing Encapsulation Protocol) Protocolo de entrega GRE Header Payload Protocol Información (x Octetos) 0 ' ;., "# "0 5 ;., " " <=' "0 " 0;., 4%1%$%%

46 45 Media Header IP Header GRE Header PPP Header PPP Payload,54& + 0 >? 4+- 1/? ;.,& ;., 41 5 "30,?""@' A

47 45 IP Header UDP Header L2TP Header PPP IP Header User Data +043&4 0 5 &4 0 & 5 + & +B&C8 5-&C/ 4 &40 ' &4?A & ;.,'

48 45 Protocolo abierto, basado en estándares, protocolo de seguridad de capa de red. Pensado para proteger datagramas IP Robustos Mecanismos para autenticación y encriptación Puede proteger todo el datagrama o únicamente el protocolo de capa superior (Modo Transporte o Túnel) TCP, UDP IP Protocolos de enlace Infrastructura física Capa de Transporte Capa de Red Capa de Enlace Capa Física IPSec L2TP/ PPTP

49 45! "! D E 4 G 4.4, G. G 0! :: 42 G 4!! G 4.4 G *,*,

50 45 o Dos protocolos diferentes Authentication Header (AH) Encapsulating Security Payload (ESP) + 5 "5 + -,/ 9!!,!!!!

51 45!"# Paquete Original Original IP header TCP Data Paquete Modo Transporte Standard IP header ESP Header TCP Data ESP Trailer Optional ESP Authentication Cabecera ESP Security Parameter Index (SPI) Número de secuencia Autenticado TCP y Datos ESP trailer Payload (tamaño variable) Padding (0-255) Encriptado Pad Ln.Next Hdr. Datos Autenticación (ICV, variable)

52 45!$ "# Paquete Original Original IP header TCP Data Paquete Modo Túnel New IP header ESP Header Original IP header TCP Data ESP Trailer Optional ESP Authentication Cabecera ESP Security Parameter Index (SPI) Número de secuencia Autenticado Cabecera IP, TCP y Datos ESP trailer Payload (tamaño variable) Padding (0-255) Datos Autenticación (ICV, variable) Encriptado Pad Ln. Next Hdr.

53 45!"%&# Paquete Original Original IP header TCP Data Paquete Modo Transporte Paquete Modo Túnel Original IP header New IP header AH TCP Data AH Original IP header TCP Data Se autentica la cabecera IP Next header Payload Ln. Reservado Security Parameter Index (SPI) Autenticado Número de secuencia Datos de Autenticación (variable)

54 45! F)G H 9 Escenario PPTP / PPP L2TP / PPP IPSec Transport IPSec Tunnel Acceso remoto Conexión Oficinas Extranet (IP) (IP) Intranet segura

55 45 "5 &4"! &4 +** "! 0 "! 00 "! &4 0* " ' '

56 45 ' ( PPTP / PPP L2TP / PPP L2TP/ IPSec Transport IPSec Túnel Autenticación de usuario Autenticación de máquina Según fabricante Compatibilidad con NAT Multiprotocolo Tuneliza la dirección IP Autenticación de paquetes Según fabricante Soporta Multicast

57 (% "! 4 &4 J+9 Autenticación!*+9, "I, +0!0+ ".A"?! Encriptación I"J+,-.+</ A,!36A,! P = Propio de PPP I = Propio de IPSec 3" "

58 4 B4 4 "!-A/!-!/ "I,175-"I,/

59 "! K 7 % 8 "%#!H 8 : 7 )& 7!- *,570 * 7570 * -9,!/ *!! *!*40 * I*40 SA s are uni-directional Require one for each direction Identified by an SPI (Security Parameter Index) Can be created Manually or Dynamically

60 "! K7"I,H ) *+, ")# ! ' "I, 08: ' 1757! L 0I7 *0I 47!*087:5M 7'

61 IPSec Internet Key Exchange (IKE) IKE ISAKMP Oakley / SKEME (Internet Security Association and Key Management Protocol) Provides a flexible framework (Oakley Key Resolution) Provides a protocol for two authenticated parties to agree on secure and secret keying material.

62 "! ) *+, ")# IKE has two Phases of operation IPSec Node A IPSec Node B IPSec Node A IPSec Node B Phase 1 Establish secure channel (IKE SA) Phase 2 Negotiate general purpose SAs Phase 1 can use either: Oakley Main Mode Oakley Aggressive Mode Phase 2 uses: Oakley Quick Mode

63 "! Responder Initiator )-,. + /"! # SA Header Which Option would you like? I would like option 2 Nonce i Key Header Here s my Public DH Key Encrypted Sig i [Cert] ID i Header Header SA Here s my Public DH Key Header Key Nonce r Here s my ID for you to check Encrypted Here s my ID for you to check Header ID r [Cert] Sig r o o o o Designed to exchange a Master Secret - Very processor intensive! Phase 1 is done infrequently once per day Phase 1 can support multiple phase 2 sessions Main Mode is a 6 step handshake process

64 "! Initiator + /"%,, 0! # Responder Nonce i Key SA Header Header SA Key Nonce r ID r [Cert] Sig Sig i [Cert] Header o o o Aggressive Mode is quick but less secure This mode does not protect the User ID 3 Step negotiation process

65 "! Initiator + "1 2! # [Id ui /ID ur ] [Key] Nonce I SA Hash 1 Header Responder Can you decrypt this? Hash Checks OK? Which options? Can you decrypt this? Hash Checks OK? I accept Option 2? Header Hash 2 SA Nonce r [Key] [Id ui /Id ur ] Generate Keys Hash 3 Header Can you decrypt this? Hash Checks OK o o Phase 2 is used to exchange the SAs and keys that will be used to protect the user data This phase is done every few minutes

66 + C !/ 4 )0// 0 &),//,4 C&4 9/ 0 &)&0//*,//*,4 $ C0"! 4&,!), $ *)*,//*,4 )!! B, C0 "!J&4

67 04 5 +, ,!,0 $.! + ". 2,!5 2!$

68 04 5 4!5! 1 2 $$.$ Red IP / Internet por red privada: Segura Autónoma Por red pública: Económica Flexible Escalable (-) Calidad garantizada(qos)

69 % Central corporativa Internet Dial Up (IPsec) C0. +4 A!( Remote Office IDC =;>BH;CIB =;>BHC=;B3 F??H;9$ Remote Office A-.4+J.A!"/ Frame Relay Plataforma VPN e IP Core ADSL CATV L2TP L2TP

70 4 7! 4$ + & ) 1*,4 *,4&,). Servidor VPN Host Intranet Internet Servidor Intranet Firewall Gateway VPN Texto claro Encriptado Cliente VPN

71 4 7! 4 2 ".4 "), $ Internet Firewall DMZ Servidor VPN Intranet Encriptado Cliente VPN Servidor VPN para centros asociados Servidor VPN para clientes

72 *,4 -! " ) ")1 *, 4 D2 E 1 *, 4 LAN Remota Internet LAN Servidor Intranet Servidor Intranet Texto claro VPN Gateway VPN Gateway Encriptado

73 4 0 -! 2 ") -!",,!! ( 6") 7'") LAN Remota Internet LAN Gateway VPN Texto claro Gateway VPN Encriptado Cliente VPN

74 0 " $!! + 94 #!!!!! % "$& '"(!!!!

75 0+!).4 Gestor de políticas Nivel de usuario Aplicación Gestor de claves IKE SA Kernel TCP, UDP,... Firewall IPSec IP PseudoIP Interceptor Nivel de red HW

Documentos relacionados

Seguridad en Internet VPN IPSEC

Seguridad en Internet VPN IPSEC Por Pablo Batchi Pablo.Batchi@bellnexia.networks.ca Contenido Entorno real. VPN IPSEC Aspectos técnicos. VPNs PPTP (Point to Point Tunneling Protocol) L2F (Layer 2 Forwarding)