Академический Документы
Профессиональный Документы
Культура Документы
S
Seguridad
id d de
d la
l Información
I f ió en
Redes EmpresarialesTCP
EmpresarialesTCP/IP
/IP
ADACSI
1
Redes Conmutadas
y
VPN
Módulo 5
ADACSI
2
ADACSI
3
REPETIDOR
ADACSI
4
A A
La máquina A se
desea comunicar
sólo con la B
B B
ADACSI
5
Segmentar redes
• Redes con mucho tráfico y muy lentas
Mejorar la Disponibilidad
ADACSI
6
PUENTE
ANs
Switching y VLA
SWITCH
ROUTER
Los puentes, switches y routers pueden ser utilizados para dividir
dominios de colisión. Este proceso se denomina segmentación.
ADACSI
7
ADACSI
8
reemplazan
p a los hubs y en ggeneral funcionan con la misma
Switching y VLA
ADACSI
9
Microsegmentación
Puertas del switch
ANs
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Switching y VLA
ADACSI
10
ADACSI
11
ADACSI
12
P
Puerta 5 Puerta 10
MACE G
Petición ARP 1 7
2 6 192.60.1.27
5
A 3 4 255.255.255.0
D
192.60.1.21 C F
255.255.255.0 B E
192.60.1.24
255.255.255.0
9 60 3
192.60.1.23 192 60 1 26
192.60.1.26
192.60.1.22 255.255.255.0 192.60.1.25 255.255.255.0
255.255.255.0 255.255.255.0
forman un dominio de BROADCAST
ADACSI
13
Hub
192.60.1.21
Switch
255.255.255.0
192.60.1.27
192.60.1.23
255.255.255.0 255.255.255.0
192.60.1.22
255.255.255.0
Hub
Switch
192.60.1.21
255.255.255.0
192.60.1.27
192.60.1.23 255.255.255.0
192.60.1.22 255.255.255.0
255.255.255.0
ADACSI
15
Colisiones y switches
El switch mantiene las tramas en la memoria del búffer
y coloca en cola el tráfico para el host 192.60.1.25.
Esto significa que los hosts emisores no tienen
conocimiento sobre las colisiones y no necesitan volver
ANs
Hub
Tramas
en búfer
192.60.1.21
255.255.255.0
Switch
192.60.1.27
192.60.1.23
255.255.255.0 255.255.255.0
192.60.1.22
255.255.255.0
ADACSI
16
Router
Switch 2
197.60.2.16
197.60.1.23 197.60.1.25 197.60.1.26 255.255.255.0
255.255.255.0 255.255.255.0 255.255.255.0
Redes enrutadas
Dos redes
197.60.2.10
Varios dominios de colisión 255.255.255.0
Uno por puerto de switch 197.60.2.12
197.60.2.14
255.255.255.0
Comunicación entre redes 255.255.255.0
ADACSI
17
ADACSI
18
ADACSI
19
ADACSI
20
Mejora la DISPONIBILIDAD
ADACSI
21
Rx Rx
Switching y VLA
j
• Permite ajustar el funcionamiento de forma automática ppara
Switching y VLA
Autonegociación
• La autonegociación, que apareció en el suplemento
802.3u de fast ethernet en 1995, es opcional:
ANs
ADACSI
24
azul
Par 1: azul 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Par 1: azul
Jack RJ-45
Conector RJ-45
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
T568-A T568-B
ADACSI
26
Par 2 Par 1 Par 4 Par 2 Par 1 Par 4 Par 3 Par 1 Par 4 Par 2 Par 1 Par 4
Conector RJ-45
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Jack RJ-45
Conector RJ-45
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Cruzado ((crossover))
Directo (straight-through)
ADACSI
27
• Permite
P it un crecimiento
i i t escalable
l bl
• Se suele usar entre conmutadores o en la conexión de
un servidor a un conmutador
• Los enlaces forman un grupo que se ve como un
único enlace a efectos de spanning tree
• Normalmente no resulta interesante por encima de 4
enlaces.
Mejora la DISPONIBILIDAD
ADACSI
28
10+10 = 20 Mbps
3 x (10+10) = 60 Mbps
ANs
Switching y VLA
Interfaces
10BASE-T
10 Mbps
Full dúplex
Half dúplex
ADACSI
29
3 5
Switching y VLA
N1 S1
1
1 4 6
2 2
192.168.1.11/24 192.168.1.21/24
N2 S2
Suponemos todos los
enlaces a 100 mbps
192.168.1.12/24 FULL DUPLEX
192.168.1.22/24
ADACSI
30
RS-232 RS-232
Switching y VLA
3 5
N1 S1
1
1 4 6
2 2
192.168.1.11/24 192.168.1.21/24
N2 S2
Suponemos ambos
enlaces a 100 mbps
192.168.1.12/24 FULL DUPLEX
192.168.1.22/24
ADACSI
31
1 2 3
Switching y VLA
D E F
G
5 6 7
H I J
¡¡¡pero …
ADACSI
32
A B
Switching y VLA
S1 S2
t0 t2
t2
ADACSI
34
VLANs
Redes Locales Virtuales
• Una VLAN es una agrupación lógica de
estaciones y dispositivos
p de red q
que no se limita
a un segmento de LAN físico
ADACSI
36
ADACSI
37
Tipos de VLAN
VLAN de nivel 1 (VLAN basada en puerto) define una red
virtual según los puertos de conexión del switch.
ADACSI
38
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
4 2 3 4 2 4 2 3 4 1 1 1 1 4 1 1
VLAN
En el siguiente diagrama se muestra un ejemplo donde se indica
debajo de cada port del switch la VLAN a la cual pertenece.
ADACSI
39
197.60.1.21
197.60.2.12
255.255.255.0
255.255.255.0
Sin VLAN
197.60.2.10 197.60.1.23
Dos redes 255.255.255.0 255.255.255.0
Lo mismo que una sola VLAN
ADACSI
40
ARP Switch 1
197.60.1.21
197.60.2.12
255.255.255.0
255.255.255.0
VLAN 1 VLAN 2
Dos VLAN
Dos subredes IP 197.60.2.10
255.255.255.0
197.60.1.23
255.255.255.0
Dos VLANs VLAN 2 VLAN 1
ADACSI
41
ARP Switch 1
197.60.1.21
197.60.1.12
255.255.255.0
255.255.255.0
VLAN 1
VLAN 2
Dos VLAN
Una sola red IP 197.60.1.10
255.255.255.0
197.60.1.23
255.255.255.0
Dos VLANs VLAN 2 VLAN 1
ADACSI
42
ADACSI
43
Switch
197.60.2.12
255.255.255.0 255.255.255.0
197.60.1.21 VLAN 2
VLAN 1
ADACSI
45
Switch 1
1 2
VLAN 1: El puerto 1 en el switch 1 se conecta al
puerto 1 en el switch 2.
VLAN 2: El puerto 2 en el switch 1 se conecta al
puerto 2 en el switch 2.
1 2
Switch 2
ADACSI
46
Desventajas
• Esto requiere un enlace separado para cada VLAN.
• Es posible que no haya puertos suficientes en el switch
para utilizar muchas VLAN diferentes.
• Se
S pueden
d producir
d i llazos por error
ADACSI
47
802.1Q - Tagging
• Es una modificación al estándar de Ethernet.
• El protocolo IEEE 802.1Q es un proyecto del grupo de trabajo
802 de IEEE para desarrollar un mecanismo que permita a
múltiples redes con switches compartir transparentemente el
mismo medio físico sin problemas de interferencia entre las
redes que comparten el medio (Trunking).
• Permite identificar a una trama como proveniente de un equipo
conectado a una red determinada.
• Una trama perteneciente a una VLAN sólo se va a distribuir a
los equipos que pertenezcan a esa misma VLAN, por lo que:
- Se dividen dominios de Broadcast
- Se separan usuarios
ADACSI
48
Trama Dir. Dest. Dir. Origen Tag Tipo Datos Relleno FCS
802.1Q
Q 6 6 4 2 Hasta 1500 variable 4 Bytes
16 3 1 12 bits
TCI – Tag Control Information
ADACSI
49
A
1 7 8 9 10 16
1 7 8 9 10 16
Conexión roja-azul
B
ADACSI
50
Servicio de
Informática
ADACSI
51
Enlaces trunk
VLAN VLAN VLAN (1000BASE-LX)
gestión docencia investigación
Enlaces de usuario
(10/100BASE-T)
Servicio de
Informática
ADACSI
52
ADACSI
ADACSI
54
• Confidencialidad:
– Mediante cifrado.
• Integridad
– Mediante funciones hash.
• Autenticidad:
– Mediante firma digital.
ADACSI
55
ADACSI
57
ADACSI
58
Texto
T t T
Transmisor
i R
Receptor
t Texto
T t
claro Texto cifrado claro
Cifrador Descifrador
Canal inseguro
Clave
ADACSI
59
Debilidad:
Cada letra se cifrará siempre igual. Hace que este sistema
sea muy vulnerable y fácil de atacar simplemente usando
las estadísticas del lenguaje.
ADACSI
60
ADACSI
61
ADACSI
62
ADACSI
63
Cifrado Descifrado:
Sólo B puede recuperar el texto en claro: confidencialidad
ADACSI
64
Cifrado Descifrado:
Se comprueba la autenticidad del origen
pues sólo la clave pública de A vuelve el texto en claro
ADACSI
65
Garantizamos: confidencialidad
[M] = FPubB(FPrivA[M])
Texto claro
Cifrado Descifrado:
Se comprueba la autenticidad del origen
ADACSI
66
ADACSI
68
ADACSI
69
ADACSI
70
ADACSI
71
ADACSI
73
ADACSI
75
ADACSI
76
ADACSI
77
Esteganografía
• La imagen a color original es de 1024 x 768 píxeles.
• Cada píxel consiste en tres números de 8 bits cada uno para la
intensidad del rojo, verde y azul de ese píxel.
• El color del píxel se forma por la superposición lineal de los
tres colores.
• El método de codificaciónesteganográfica utilizacomo canal
secreto el bit de orden menor de cada valor de color RGB.
• Cada píxel puede transportar 3 bits de información secreta.
• En este ejemplo
j l :
1024 x 768 x 3 = 2.359.296 bits = 294.912 Bytes
ADACSI
78
ADACSI
Se necesita
• Una infraestrucutura alternativa de la WAN
– Incrementar las redes privadas existentes
– Disminuir costos
– Posibilitar la implementación de nuevas aplicaciones
• Una
U red
d extremo a extremo
– Escalable
– Con alta seguridad
– Multiprotocolo, multiservicio, administrable, QoS
SOLUCIÓN
Redes Privadas Virtuales
• Proceso de comunicación cifrado que transfiere datos
desde un punto hacia otro de manera segura a través
de una red compartida, ruteada e insegura.
ADACSI
80
Red TCP/IP
Red TCP/IP
Red TCP/IP
Paquete
IPSec Datagrama
g IP
ADACSI
81
IPSec - Modos
• Transporte
– Autentificación y codificación del paquete IP
– No pprotege
g totalmente la cabecera IP.
– Sólo algunos campos son protegidos por autentificación o
codificación.
– Sólo aplicable a equipos entre extremos.
• Túnel
– Se crea un nuevo paquete IP. IP-in-IP.
– La seguridad cubre todo el paquete interno.
interno
– Mejor modo de crear VPN seguras.
ADACSI
82
ADACSI
83
Proto = TCP
C
Port origen Datos
IP origen
IP destino Port destino
ADACSI
84
Paquete Cabecera
Datos de la capa superior
original IP
ADACSI
85
ADACSI
86
ADACSI
87
IPSec - ESP
Carga asegurada por el Encapsulado
Paquete Cabecera
Datos de la capa superior
original IP
ADACSI
88
Proto = TCP
C
Port origen Datos
IP origen
IP destino Port destino
ADACSI
90
Port origen
Proto = TCP
C
Port destino Datos
IP origen
IP destino
Next =
ESP Proto = TCP Port origen Datos IP Auth
Proto = ESP Header
Port destino Inform
Nuevo IP origen
IP origen
IP destino
CIFRADO ESP
Trailer
Nuevo IP destino
IP Header IP Payload
ESP
New IP Header IP Payload
Asociaciones de Seguridad
• Es una relación en un sólo sentido entre un emisor
y un receptor que proporciona servicios de
seguridad al tráfico que transporta.
• Si se necesita un intercambio seguro en ambos
sentidos, se requieren dos SA .
ADACSI
92
ADACSI
ADACSI
RV042 RV082
ADACSI
ADACSI
ADACSI
97
DH (analogía numérica)
ADACSI
Internet
ISP ISP
RV082 RV042
192.168.1.100 192.168.2.100
Red insegura
Red local segura Red local segura
192.168.1.0 192.168.2.0
Sin túnel VPN NO
Se establece comunicación ?
192.168.1.0 200.200.10.22
S establece
Se t bl comunicación
i ió ? NO
192.168.1.0 192.168.2.0