MPLS enrutamiento optimo entre los sitios.

en un se requiere solo una conexin MPLS SP conmutacin en layer 2 y 3 envia paquete cortos con etiquetas de log. Fija. MPLS. MPLS reduce la bsqueda de enrutamiento Reenva los paquetes MPLS basada en etiquetas. Las etiquetas suelen corresponder a las redes IP de destino (igual al reenvo IP tradicionales) Las etiquetas tambin pueden corresponder a otros parmetros: Layer 3 VPN de destino Layer 2 Circuit Interfaz de salida en la salida del router QoS direccin de origen MPLS soporta el reenvo de todos los protocolos de capa 3, no slo IP slo los routers de borde debe realizar una bsqueda de enrutamiento routers ncleo de conmutacin de paquetes basadas en las bsquedas simple etiqueta y etiquetas de intercambio. Label: es un identificador de tamao fijo que identifica un grupo de redes que comparten un destino comn. Normalmente tiene significado local. Label Stack: es un conjunto de etiquetas donde cada una es independiente de las otras Label swap: es la operacin bsica de envio en la red MPLS, consiste en identificar el trafico de entrada y colocarle una etiqueta de salida. Label-switched hop (LSH): es el salto entre dos modos MPLS en el cual el envio se hace a travs de etiquetas. Label-switched path (LSP): es el camino a travs de uno o mas LSR segn la jerarqua. Label switching router: es un nodo MPLS capaz de enviar paquetes etiquetados. MPLS domain: es un conjunto de nodos que llevan a cabo enrutamiento MPLS y que normalmente pertenecen al mismos dominio administrativo. MPLS edge node: es un nodo MPLS que conecta con un nodo vecino que esta fuera del dominio MPLS. MPLS ingress node: es un nodo edge que maneja trafico que entra en el dominio MPLS. MPLS label: es una etiqueta que se aade en la cabecera del paquete y que representa el FEC del paquete. Router Edge (borde). Pueden enrutar en etiquetas y en capa 3

Router de core, solo trabajan con etiquetas. Swapping pasar de una etiqueta a otra etiqueta Process switching... es demasiado lento, en donde tiene que buscar la ruta en la tabla de ruteo. Ya est obsoleto. Fast switching: guarda en una cache lo que le responde la tabla de ruteo contra la mac. CEF(Cisco Express Forwarding): es una tecnologa que utiliza la FIB y que es una imagen de la tabla de enrutamiento. Cache-driven switching: los paquetes de destino son almacenados en la memoria y utilizados para hacer envios. Topology-driven switching: la FIB se construye antes de que se realicen las tareas de envio. Edge LSR o PE.. router de extremo del cliente en donde pasa de paquete IP a paquete de etiqueta. P o LSR: solo entra en el rea MPLS, en donde pasa solo etiquetas. MPLS VPN: Multiprotocol BGP (MP-BGP) se utiliza para propagar una segunda etiqueta que identifica a la VPN, adems de la etiqueta que se propaga por el Protocolo de distribucin de etiquetas (LDP) para identificar la ruta. MPLS (MPLS TE): Usa RSVP para establecer tuneles LSP. RSVP propaga informacin adicional sobre etiquetas usadas para identificar el tnel LSP. MPLS VPN junto con MPLS TE: Tres o ms etiquetas se utilizan para identificar la VPN, LSP tnel, y la LSP subyacente. Route Distinguisher (RD): es un identificador de 64 bits que se antepone delante de la IPv4, haciendo que esta sea globalmente nica. Route Target (RT): es un atributo que se asocia a las rutas VPNv4 BGP. Virtual Routing and Forwarding table (VRF): es una instancia de enrutamiento especifica para un cliente. Plano de control: Mantiene la tabla de enrutamiento y las etiquetas que se intercambian entre los dispositivos adyacentes. Contiene mecanismos complejos, tales como RIP, OSPF, EIGRP, IS-IS y BGP para el intercambio de informacin de enrutamiento.Intercambios de Las etiquetas, como LDP, BGP, y RSVP Plano de datos: Este plano enva trafico basndose en direcciones destinos o etiquetas, tambin conocido como plano de reenvio o forwarding plane. Aqu estn la FIB, LFIB, Partes de una etiqueta

LABEL: 20 bits, este es el propio campo de la etiqueta. Experimental Cos: 3 bits, Cisco lo utiliza para Class of Service. Bottom of Stack Indicator: 1 bit, usado cuando existen multiples etiquetas MPLS en un mismo paquete. Time To Live: 8 bits, cumple las mismas funciones que en la cabecera IP Routers Label Switch Cuando se habla de MPLS, hay dos trminos comnmente utilizados: LSR: Un dispositivo que enva paquetes basado principalmente en etiquetas. Edge LSR: Un dispositivo que principalmente etiqueta los paquetes o Las etiquetas remueve. nota

Estas estructuras de datos contienen informacin de la etiqueta: El LIB, en el plano de control, es la base de datos que utiliza LDP. Esta base de datos es donde un prefijo IP se le asigna una etiqueta significativo a nivel local que est asignado a una etiqueta del siguiente salto que se ha aprendido de un vecino de abajo. El LFIB, en el plano de datos, es la base de datos utilizada para enviar paquetes etiquetados. Etiquetas locales, previamente anunciado a los vecinos de arriba, se asignan a etiqueta del siguiente salto, que anteriormente recibi de los vecinos aguas abajo. El FIB, en el plano de datos, es la base de datos se utiliza para reenviar paquetes IP sin etiqueta. Un paquete enviado se etiqueta si una etiqueta de salto siguiente est disponible para una red IP de destino especfica. De lo contrario, un paquete enviado no est etiquetado. PHP Utilizando penltimo salto estallar (PHP), un LSR remueve la etiqueta externa de un paquete MPLS con etiquetas antes de pasar el paquete a un LSR Edge adyacentes. El proceso reduce la carga sobre el borde LSR. La aplicacin PHP en las redes que ofrecen cierta calidad de servicio (QoS) toma una cuidadosa consideracin, y en consecuencia, slo algunos routers en una red habilitada por MPLS realizar la tarea. Por ejemplo, los routers de salida en el borde de la red MPLS no usar PHP. Sin PHP, la LSR Edge se han de realizar al menos dos bsquedas de la etiqueta: La etiqueta externa: Esta etiqueta indica que el paquete estaba destinado a tener la etiqueta despojado en este router. La etiqueta en el interior: Esta etiqueta identifica el enrutamiento virtual / Forwarding (VRF) de instancia a utilizar para el enrutamiento IP posteriores de bsqueda Configuracion en la habilitacin de MPLS Configurar CEF Configurar MPLS modo trama en interfaces Configurar las MTU apropiados

PROTECCIN ANTE AMENAZAS

ZONAS DESMILITARIZADAS
Cisco IOS Firewall utiliza las DMZ (Demilitarized Zone) como medio para aislar servicios de la red interna. Las DMZ no pueden clasificarse ni como redes internas ni como redes externas. El acceso a la DMZ normalmente es controlado por frewalls dedicados, como pueden ser los PIX o ASA de Cisco o por un router con mltiples interfaces.

ALG: Cumple doble funcin, aparenta ser el servidor para el cliente, pero en realidad l es un cliente del servidor interior. Private Vlan: Es una o varias Vlan dentro de una que por lo general es la de administracin. La mejor opcin es configurar varias DMZ como solucin a los ataques, aunque es la ms costosa. De esta forma se consigue un mayor aislamiento y se protegen individualmente diferentes tipos de servicios.

FUNDAMENTOS DE LOS FIREWALLS

Son dispositivos que estn diseados para bloquear el acceso no autorizado. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Pueden ser implementados en hardware o software, o una combinacin de ambos. Pueden usar cualquiera de estas tres tecnologas: Filtrado de paquetes. Utiliza IP y puertos con ACL. Desde el punto de vista tecnolgico resulta la implementacin ms simple de todas. Se basa en la creacin de ACL, que permiten o deniegan el trfico. No se lleva un registro del estado de las conexiones. Gateway de capa de aplicacin (ALG). Funciona del mismo modo que un servidor proxy. Esta implementacin utiliza un servidor que proporciona servicios proxy. El trfico del usuario es interceptado por este servidor, quien responde como si se tratase del servidor que provee el servicio. Proporciona una alternativa segura debido a que las conexiones nunca se establecen con el servidor situado en la red interna, sino que finalizan en la DMZ. Filtrado Statefull Inspection. Utiliza ACL pero adems lleva un registro del estado de las conexiones. Esta implementacin es la evolucin de filtrado de paquetes tradicional. En este caso el firewall lleva un registro de las conexiones establecidas. El firewall no aceptar trfico de entrada a no ser que ese trfico corresponda a una conexin que se haya establecido o a una conexin que se est iniciando desde la red interna. Adems, este tipo de tecnologa permite realizar filtrados basndose en la capa 7 o capa de aplicacin del modelo OSI. Ahora bien, para conexiones UDP al no establecer una sesin no es posible llevar un registro y es necesario utilizar el mtodo de filtrado tradicional. La siguiente tabla muestra cmo son manejados los diferentes tipos de protocolos por ste tipo de firewalls. Aplicaciones Caractersticas TCP Chequea el flujo de informacin y el nmero de secuencia de cada canal. Es difcil de seguir, no hay nmeros de secuencia. Chequea los timeouts, registra direcciones IP de origen y destino, registra puertos UDP de origen y destino.

UDP

Applications

Est pendiente de la negociacin de las aplicaciones.

Connectionless Normalmente por defecto opera en services (GRE, el modo de filtrado de paquetes IPsec, and so stateless. on)

COMPONENTES DEL FIREWALL IOS DE CISCO

Cuenta con los siguientes componentes: Firewall IOS. Se trata de un Firewall Stateful Packet que tiene las siguientes caractersticas: Permite o deniega trfico especfico TCP o UDP. Mantiene un registro del estado de las conexiones. Modifica las ACL dinmicamente. Protege contra ataques DoS. Inspecciona los paquetes que pasan por la interfaz. Proxy de autenticacin. Es un servicio proxy de autenticacin y autorizacin que utiliza RADIUS o TACACS+. Puede utilizarse para los siguientes protocolos: HTTP.HTTPS.FTP.Telnet. IPS. Es un sistema Cisco IOS para la deteccin de intrusos capazde identificar y responder a ms de 700 tipos de ataque. Cuando identifica un ataque puede responder con alguna de las siguientes acciones:

OPERACIN DE LOS IDS E IPS

Los dos sistemas contra estos mecanismos son los Intrusin Detection Systems (IDS) y los Intrusin Prevention Systems (IPS). Ambos pueden estar basados en hardware o en software, siendo los primeros preferidos aunque de mayor costo. Los IDS son dispositivos pasivos, no estn situados en el camino del trfico, sino que reciben una copia del trfico que va pasando y lo analizan. En caso de detectar alguna actividad maliciosa pueden enviar una alerta a una estacin de monitorizacin e incluso pueden configurar dinmicamente otros dispositivos como routers y firewalls para, por ejemplo, detener un ataque mediante una ACL. Los IPS son dispositivos activos, estn en el medio del trfico, es decir, el trfico ha de pasar a travs de ellos. En caso de detectar alguna amenaza pueden enviar un mensaje a la estacin de monitorizacin y/o bloquear los paquetes sospechosos. Debido a que todo el trfico pasa a travs del IPS, no es necesario configurar otros dispositivos en la red para que bloqueen el trfico. Estos dispositivos son tiles a la hora de detectar virus, gusanos, troyanos y exploits.

CATEGORAS DE IDS E IPS

Es posible categorizar los IDS e IPS en dos tipos: Red. Se encuentran situados en la red ya sea en hardware especfico o como funcin aadida a otro dispositivo. Reciben el nombre de NIDS (Network Intrusin Detection Systems) o NIPS (Network Intrusin Prevention Systems). Estos sistemas permiten monitorizar varios dispositivos de red pudiendo aumentar el nmero de dispositivos sin tener por ello que aumentar el nmero de sistemas. Host. Son normalmente mdulos de software que residen en la estacin o servidor que proporcionan servicios de deteccin y prevencin para ese dispositivo en particular. Son llamadas HIDS (Host Intrusin Detection Systems) o HIPS (Host Intrusin Prevention Systems). Permiten ver el trfico de un ataque aunque ste se encuentre encriptado. Normalmente todas las implementaciones son HIPS, como por ejemplo Cisco Security Agent. HIDS: Basado en red (denegacin de servicios) HIPS: Basado en sistemas (aplicacin) Otro mtodo de categorizacin de sistemas IDS e IPS dependender de cmo identifican el trfico malicioso: Basados en firmas digitales. Buscan un patrn de bits especfico en los paquetes, comparndolos en una base previamente definida. Basados en polticas. Examinan cadenas de paquetes para determinar patrones y comportamientos , usa un algoritmo para decidir las alarmas Basados en anomalas. Buscan por comportamientos que se desven de lo normal. Basado e equipo de trampa: proporciona un servidor ficticio para atraer a los ataques.

FIRMAS EN IDS E IPS

Una firma es un patrn de trfico que causa una reaccin cuando pasa por un IDS o IPS. Los IPS e IDS examinan los paquetes utilizando SME (Signature Microengine) para detectar firmas. Hay cuatro categoras de firmas: Exploit. Tpicamente identifica los paquetes maliciosos que coincidan con un patrn determinado de trfico. Cada exploit tiene una firma nica, por lo tanto cada ataque requiere una firma para su deteccin. Si un exploit es modificado ser necesaria una nueva firma o de lo contrario no se podr detectar. Conexin. Esta firma est pendiente de las conexiones de red vlidas y de los protocolos. Se conoce de antemano el comportamiento de las conexiones y protocolos por lo tanto cualquier

comportamiento fuera de lo normal puede ser detectado como amenaza, aunque a veces el trmino "normal" sea subjetivo. Cadena. Generalmente utilizan expresiones regulares para coincidir con determinados patrones. DoS. Estas firmas examinan el comportamiento tpico de los ataques DoS. Existen muchas debido a que existen gran variedad de ataques DoS. Para el caso de que el ataque 7 Pasos para hackear una red: 1.- El hacker crea una huella de la organizacin a la cual le puede lanzar un ataque. 2.- El hacker enumera la informacin. 3.- El hacker manipula a los usuarios para tener acceso. 4.- El hacker intentara elevar sus privilegios. 5.- El hacker obtendr las claves secretas de los sistemas. 6.- El hacker instalara puertas traseras y redireccionara puertos. 7.- El hacker se aprovechara de los sistemas comprometidos. Hackers: ingresan a las redes para aprender de ellas, algunos con mal intensionados. Cracker: Son los hackers con la intensin criminal de daar los sistemas de informacin. Por lo general trabajan con animo de lucro, a veces los llaman hackers de sombrero negro. Phreakers: Ponen en peligro los sistemas de telefona, desvan y desconectan las lneas telefnicas, venden escuchas telefnicas y roban servicios de larga distancia. Practicas para frenar a un hacker. Mantener actualizados parches semanalmente o diario. Cerrar puertos y servicios innecesarios. Control de acceso fsico a los sistemas. Evitar entradas innecesarias a paginas web. Realizar copias de seguridad y probar los archivos de la copia en forma regular. Educar a los empleados sobre los riesgos de la ingeniera social. Encriptar y proteger con contrasea los datos sensibles. Implementar hardware y software de seguridad, como firewall, IPS, antivirus. Desarrollar una poltica de seguridad para la empresa.

ATAQUES DE ACCESO Ataques de Contrasea: un atacante intenta adivinar las contraseas del sistema. Un ejemplo comn es un ataque de diccionario. Confiar en la explotacin: un atacante utiliza los privilegios concedidos a un sistema de forma no autorizada, que puede dar lugar al compromiso de la meta. Redireccin de puertos: Un sistema comprometido se utiliza como un punto de desempate para los ataques contra otros objetivos. Una herramienta de intrusin se ha instalado en el sistema comprometido para la redireccin de la sesin. Man-in-the-middle :los atacantes se sitan en el medio de comunicacin entre dos entidades legales con el fin de leer o modificar los datos que pasan entre las dos partes. Desbordamiento de bfer: Un programa escribe datos ms all del final de un bfer asignado en la memoria. Desbordamiento de bfer suelen surgir como consecuencia de un error y el mal uso de lenguajes como C o C + + que no son "la memoria de fallos