Cableado Dispositivos de Interconexión Redes inalámbricas CABLEADO Coaxial Par trenzado Fibra óptica
Coaxial Coaxial - Desventajas -Seguridad -Velocidad (10 equipos -> 1MB/s, 100 -> 0,1Mb/s
Par trenzado! " # " $# " % " &' ()* +, -./ + 0./& ' Par trenzado 1 )! 233345 3 )67# 8 32 1 9 * :!)
Par trenzado Par trenzado ;.<=, >?.<=.<@, >.<@ A<=? A<=! %!? % A<@ $ $ A<@ B 9C? B 4 9C 4! ;!!".<=, >? A<=.<@, > $ A<@ A<=?.<= A<@ $.<@ %
Fibra óptica Fibra óptica - Tipos, %% H -1.2 $ 5H DEC F!! G 1 3 @ $
DISPOSITIVOS DE INTERCONEXIÓN Repetidores Hub Switchs Bridges s Gateways Repetidor Regenera la señal transmitida evitando su atenuación B
HUB Permite conectar varios hosts o segmentos de red. -Limitación de velocidad -Problemas de seguridad Hub... Switchs Al igual que un Hub permite conectar equipos y segmentos de red, pero tiene una memoria asociativa que, a través de la MAC, sólo envía los datos por el puerto destino. Existen switchs que permiten segmentación de red y autentificación por MAC Switch... 4
Switchs Bridges Permiten resolver el problema de limitación de distancias, junto al problema de limitación del número de nodos por segmento. Permiten unir redes de diferentes topologías Cisco Airones 350 Workgroup Bridges 8
s Permite interconectar redes y al permite limitar el tráfico de la red. El router tiene dos funciones básicas: Enrutamiento Filtrado de puertos Cisco 2821 Gateways Se trata de un ordenador o dispositivo de interconexión que permite conectar redes totalmente distintas. Son capaces de traducir información de una red a otra, como por ejemplo las pasarelas de correo electrónico. Cisco AS5800 Series Universal Gateways Red Ethernet Red TookenRing
Puntos de acceso Permiten conectar una red Ethernet con una red inalámbrica Modo Ad-Hoc Puntos de acceso Permiten conectar una red Ethernet con una red inalámbrica 192.168.0.0/24 Punto de Acceso WIFI Modo Infraestructura
Puntos de acceso Permiten conectar una red Ethernet con una red inalámbrica
*) I %:%25 Switch... =%=%2 *) I %:%25 Switch Switch... =%%2...
*) I %:%25 Switch Switch Switch......... %%2 DIRECCIONAMIENTO IP
Direccionamineto IP. Se utiliza para poder identificar cualquier dispositivo de forma única (host, router,...) DNS: Se utiliza para asignarle un nombre de dominio a una dirección IP. Una dirección IP identifica un solo host o router mediante 32 bits. Un dispositivo puede tener más de una dirección IP. (Conectado a más de una red física). También se debe identificar en que red se encuentra el dispositivo. %
# 95 $# 9F 5 Si un dispositivo se conecta a dos redes entonces tiene que tener dos direcciones IP $
Los 32 bits se agrupan en cuatro grupos de 8 bits u octetos. Clases de direcciones Existen 5 clases de direcciones IP: A, B, C, D y E: 37#" B
Clases de direcciones Clases de direcciones Nº de redes Nº de host Clase A Clase B Clase C Clase D 8 2 7 =128 16 2 14 =16.384 24 2 21 =2.097.152 Definida para multicast 24 2 24 =16.777.216 16 2 16 =65.536 8 2 8 =256 Clase E Reservada para usos especiales 4
Direcciones especiales Dirección especial Netid Hostid Fuente/destino Dirección de red Específica Todo a 0 Ninguno Dir. directa de broadcast Específica Todo a 1 Destino Dir. Broadcast limitada. Todo a 1 Todo a 1 Destino Este host en esta red Todo a 0 Todo a 0 Fuente Host específico en esta red Todo a 0 Específica Destino Dirección lookback 127 Cualquiera Destino Direcciones privadas Clase A 10.x.x.x Netids Total 1 B 172.16.x.x a 172.31.x.x 16 C 192.168.0.x a 192.168.255.x 256 Como se comunican las redes Privada -> Pública Pública -> privada Publica, pública Privada, privada 8
*) I %:%25 85$455? %55%$5? 85$455? Switch Switch...... 85$455? 85$455$? 85$455? 85$45$5? "%!&' ' ROUTERS Topologías Configuración
- 969; +A6 5 +3 * * 9 5 +A6.)9*6 6 2 C 965 9 I 96* # F! >5 3 96 F J 6 &0 I9 2/I 9 IK' TOPOLOGÍAS
Dual Home Host Host de Base Dual Screened Host
Screened Subnet Zona neutra Servidores Externos Split-screened subnet Zona neutra Servidores Externos Host de Base Dual Zona neutra2
Split-screened subnet Zona neutra Servidores Externos Zona neutra2 Screened subnet Zona neutra Servidores Servidores Externos Zona neutra VPN Servidores Externos
Mejoras: Utilizar varios host bastion (correcto) Servidores Externos Zona neutra Mejoras: Mezclar el router interior y exterior Zona neutra Servidores Externos %
Mejoras: Mezclar el router exterior y el host bastion (OK) Zona neutra Mejoras: Mezclar el router interior y exterior (MAL) Zona neutra $
Mejoras: Utilizar varios routers interiores (MAL) Servidores Externos Zona neutra Mejoras: Utilizar varios routers interiores Servidores Externos Zona neutra Red interna 1 2 B
Mejoras: Utilizar varios routers exteriores Zona neutra Servidores Servidores Externos TOPOLOGÍAS DE REDES INALÁMBRICAS 4
Modo bridge eth0: IP publica eth1: 192.168.0.1/24 192.168.0.0/24 Punto de Acceso eth0 ath0 ath0 Servidor Linux eth0: 192.168.0.2/24 p.e. 192.168.0.1 DNS: 150.214.156.2 Cliente ath0: 192.168.0.4/24 p.e.: 192.168.0.1 DNS: 150.214.156.2 br0: 192.168.0.3/24 Zona neutra eth0: IP publica eth1: 192.168.0.1/24 192.168.0.0/24 eth0 ath0 Servidor Linux (iptables) eth0: 192.168.0.2/24 p.e. 192.168.0.1 DNS: 150.214.156.2 Zona Neutra 10.0.0.0/24 ath0 Cliente ath0: 10.0.0.13/24 p.e.: 10.0.0.1 DNS: 150.214.156.2 ath0: 10.0.0.1/24 8
Servidor VPN eth0: IP publica eth1: 192.168.0.1/24 ppp0 DATOS CIFRADOS ppp0 192.168.0.0/24 eth0 ath0 Servidor Linux (VPN) eth0: 192.168.0.1/24 ath0: 10.0.0.1/24 ppp0:192.168.0.2/24 Zona Neutra 10.0.0.0/24 ath0 Cliente ath0: 10.0.0.13/24 ppp0:192.168.0.100/24
CONFIGURACIÓN Un router es un dispositivo de interconexión que permite regular el tráfico que pasa entre varias redes. Un router es muy útil a la hora de defendernos de posibles intrusiones o ataques externos TABLAS DE ENRUTADO: Encaminamiento clásico Encaminamiento regulado
Tablas de enrutado ENCAMINAMIENTO CLÁSICO: Las reglas utilizadas para encaminar los paquetes se basan únicamente en la dirección de destino. Se distinguen las siguientes reglas: Permitir un equipo de nuestra red Permitir cualquier equipo de nuestra red Permitir un equipo de otra red Permitir cualquier equipo de otra red Tablas de enrutado ENCAMINAMIENTO REGULADO: la explosión del uso de Internet y la llegada del concepto de calidad de servicio (QoS) y la seguridad, los routers utilizan el llamado encaminamiento regulado, con el que, a la hora de escribir la tabla de enrutado, se pueden utilizar los siguientes elementos: Interfaz Origen / Destino. Normalmente es una dirección IP, pero algunos firewalls permiten utilizar nombres de equipos o usuarios. Puerto Seguimiento de los lugares por donde pasa el mensaje Tiempo en el que es válida la regla Autentificación de usuarios Acción: aceptar, denegar reenviar y registrar.
Tablas de enrutado ENCAMINAMIENTO REGULADO: 0L () / 23MF 6&/2<' * 20N 0 * 0N 7 +,-!. 30N * 2: / Tablas de enrutado ENCAMINAMIENTO REGULADO:
eth0: 150.214.86.9/24 eth1: 192.168.0.1/24 192.168.0.0/24 29!* > 2/6 > 2/ > IP origen / destino O ) 5 85$%55? A 85$%55< 85$%55?$ A 85$%5<5< 85$%55?4 A 85<5<5< 555? A <5<5<5< 85$%55? A 7 &55'
Puerto 36 * &* M6 '#PF P * &* M' 5 @ 3) 25 01!!# 0./.31,3. %./ %, 4"../ // "../ Acción ;, **!; ** 2# 3J ** 2/ %
eth0: 80.7.4.32/24 eth0: 192.168.0.1/24 Zona neutra 192.168.0.0/24 Servidor web 192.168.0.2/24 eth0: 192.168.0.9/24 eth0: 192.168.10.1/24 192.168.10.0/24 IPTABLES $
EJEMPLO IPTABLES (%# 2/;B5$55 ;%%5%%55 /55;B5$55,;%55%$5 eth1: Red interna 2/;555 ;%%5%%5%%5 4:% N#2/555 B5$55 A2 345 2/;555% ;%%5%%5%%5 /M:;555 Habilitar el acceso de la red interna a Internet IPTABLES Habilitamos el reenvío de paquetes ip_fordwarding: echo 1 > /proc/sys/net/ipv4/ip_forward Se puede guardar también en /etc/sysctl.conf Limpiamos la configuración del cortafuegos: iptables F iptables t nat F B
Habilitar el acceso de la red interna a Internet IPTABLES Establecemos que por defecto lo elimine todo iptables P INPUT DROP iptables P FORWARD DROP iptables P OUTPUT DROP Permito las comunicaciones internas iptables A INPUT i lo j ACCEPT Iptables A OUTPUT o lo j ACCEPT Acceso de la red Interna en el puerto 80/TCP y 53/UDP IPTABLES Habilitamos NAT para la red interna iptables t nat A POSTROUTING s 10.0.0.0/24 d 0.0.0.0/0 j MASQUERADE Filtramos todo menos DNS y WEB iptables A FORWARD s 10.0.0.0/24 p TCP --dport 80 j ACCEPT iptables A FORWARD s 10.0.0.0/24 p UDP --dport 53 j ACCEPT Permito las conexiones que se crean a partir del DNS y WEB Iptables A FORWARD m state --state RELATED,ESTABLISHED j ACCEPT 4
Arquitectura: Host Bastión Seleccionado IPTABLES Redirigimos el tráfico al servidor web iptables t nat A PREROUTING i eth0 p tcp --dport 80 j DNAT -- to 10.0.0.100:80 ISA SERVER 8
. ISA Server 0.6 ISA Server!!"