Académique Documents
Professionnel Documents
Culture Documents
UNEFA – CHUAO
AUDITORIA DE SISTEMAS
“FIREWALL, ROUTER, RED VPN, SWITCH, PROXY”
INTEGRANTES:
CASTILLO DAYANA CAROLINA 18.809.616
1
INTRODUCCION
Los Switch son los que están encargado de resolver Problemas con
rendimiento de la red, por los anchos de banda pequeños y los embotellamientos,
una de las cualidades del Switch es que puede agregar mayor ancho a la banda,
acelerar la salida de paquetes, reduce tiempo de espera y bajar costo por puerto,
opera en la capa 3 del modelo OSI.
2
Los Router su propósito General está diseñado para segmentar la red, con
la función de limitar el tráfico de Brodcast y proporcionar más seguridad y control
entre los dominios individuales de Brodcast, también para proporcionar servicio de
firewall y un acceso a un servicio económico de WAN. EL Router trabaja en la
capa 3 del modelo OSI, el ruteador tiene dos funciones básicas, es el responsable
de crear y mantener las tablas de ruteo para cada capa de cada protocolo y
servicio, el router se basa muchos en las tablas de ruteo para empezar a hacer el
envió de los paquetes a su destino, el destino es ubicado por medio de la IP.
3
FIREWALL
TIPOS DE CORTAFUEGOS
4
Nivel de aplicación de pasarela
5
ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la
que se está intentando acceder.
Cortafuego personal
Ventajas de un cortafuego
6
Optimización de acceso.- Identifica los elementos de la red internos y
optimiza que la comunicación entre ellos sea más directa. Esto ayuda a
reconfigurar los parámetros de seguridad.
LIMITACIONES DE UN CORTAFUEGOS
POLITICAS DE CORTAFUEGOS
7
Política restrictiva: Se deniega todo el tráfico excepto el que está
explícitamente permitido. El cortafuego obstruye todo el tráfico y hay que
habilitar expresamente el tráfico de los servicios que se necesiten.
Política permisiva: Se permite todo el tráfico excepto el que esté
explícitamente denegado. Cada servicio potencialmente peligroso
necesitará ser aislado básicamente caso por caso, mientras que el resto del
tráfico no será filtrado.
CORTAFUEGOS DE HARDWARE
CORTAFUEGOS DE SOFTWARE
8
proporciona protección adicional contra los troyanos o gusanos de E-mail más
comunes.
TIPOS DE CORTAFUEGOS
Packet filter (filtro de paquetes): verifica cada paquete que entra o sale
de la red y lo acepta o rechaza basándose en reglas definidas por el usario.
La filtración del paquete es bastante eficaz y transparente a los usuarios,
pero es difícil de configurar. Además, es susceptible al IP spoofing.
Application Gateway (aplicación de puerta de enlace): Aplica
mecanismos de seguridad a ciertas aplicaciones, tales como servidores ftp
y servidores telnet. Esto es muy eficaz, pero puede producir una
disminución de las prestaciones.
Circuit-level Gateway(circuito de nivel de puerta de enlace): Aplica
mecanismos de seguridad cuando se establece una conexión TCP o UDP.
Una vez que se haya hecho la conexión, los paquetes pueden fluir entre los
anfitriones sin más comprobaciones.
Proxy server (servidor proxy): Intercepta todos los mensajes que entran y
salen de la red. El servidor proxy oculta con eficacia las direcciones de red
verdaderas.
9
1.- ROUTER O ENRUTADOR
A diferencia de una red local del tipo Ethernet en la que un mensaje de una
persona a otra se transmite a todos los ordenadores de la red, y solo lo recoge el
que se identifica como destinatarios, en Internet, el volumen es tan alto que sería
imposible que cada ordenador recibiese la totalidad del tráfico que se mueve para
seleccionar sus mensajes, así que podríamos decir que el router en vez de mover
un mensaje entre todas las Redes que componen Internet, solo mueve el mensaje
10
entre las dos Redes que están involucradas, la del emisor y la del destinatario. Es
decir, un router tiene dos misiones distintas aunque relacionadas:
11
1.1.- PLANO DE CONTROL
12
mantener más que la información estadística del envío .Es en el punto final del
envío y de la recepción en el que se mantiene la información sobre cosas como
errores o los paquetes que faltan. Decisiones de reenvío pueden implicar
decisiones en capas distintas de la capa IP internetwork o capa OSI 3.
Entre las decisiones más importantes de reenvío está decidir qué hacer
cuando se produce congestión, por ejemplo, que los paquetes llegan al enrutador
a un ritmo mayor del que puede procesar. Tres políticas de uso común en Internet
son Tail drop, Random early detection (RED), y Weighted random early
detection.Tail Drop es la más sencilla y fácil de implementar; el enrutador
simplemente manda paquetes una vez que la longitud de la cola excede el tamaño
de los buffers en el enrutador. El RED probabilísticamente manda primero
datagramas de la cola cuando se supera un tamaño configurado. Weighted
random early detection requiere un tamaño de cola de media ponderada para
exceder el tamaño de la configuración, de modo que ráfagas cortas no
desencadenan envíos al azar.
13
Cada PC conectado a una red (bien sea una local o a la red de redes -
Internet-) tiene lo que llamamos una tarjeta de red. La tarjeta de red gestiona la
entrada/salida de información y tiene una identificación propia llamada
identificación MAC. A esta identificación MAC la podríamos llamar identificación
física, sería como las coordenadas terrestres de nuestra casa. Es única, real y
exacta. A esta identificación física le podemos asociar una identificación lógica, la
llamada IP. Siguiendo con el ejemplo de la casa, la identificación física (MAC)
serian sus coordenadas terrestres, y su identificación lógica sería su dirección
(Calle Pepe nº3). La identificación lógica podría cambiar con el tiempo (por
ejemplo si cambian de nombre a la calle) pero la identificación física no cambia.
Una vez nos identificamos en internet por nuestras direcciones lógicas, los
routers entre nosotros y otros puntos irán creando unas tablas que, por decirlo de
algún modo localizan donde estamos. Es como si estamos en un cruce de
carreteras, y vemos que los coches de Francia siempre vienen del desvío del
norte, pues lo memorizamos, y cuando un coche nos pregunte como se va a
Francia le diremos que por el desvió del norte. Los routers crean unas tablas de
como se suele ir a donde. Si hay un problema, el router prueba otra ruta y mira si
el paquete llega al destino, si no es así, prueba otra, y si esta tiene éxito, la
almacena como posible ruta secundaria para cuando la primera, la más rápida, no
funcione. Toda esta información de rutas se va actualizando miles de veces por
segundo durante las 24 horas del día.
14
3.- TIPOS DE ROUTERS
Proveedor Edge Router: Situado en el borde de una red ISP, habla BGP
externo (eBGP) a un speaker en otro proveedor o gran empresa de Sistema
autónomo.
Suscriptor Edge Router: Situado en el borde de la red del suscriptor,
habla eBGP a su proveedor de Sistema autónomo. Pertenece a un usuario
final (empresa) organización.
Interproveedor Border Router: La interconexión de ISPs, este es un BGP-
speaking router que mantiene sesiones BGP con otros routers BGP-
speaking en otros proveedores de Sistemas Autónomos.
Core router: Un router que se encuentra en el centro o columna vertebral
de la red y no en su periferia.
15
Dentro de un ISP: Interno al proveedor de Sistemas Autónomos, por
ejemplo, un router habla BGP interno (iBGP) a un proveedor de edge routers, a
otros interproveedores core routers, o la del proveedor de interproveedores de
border routers... "Columna vertebral de Internet:" Internet no tiene una columna
vertebral claramente identificables, como lo hicieron sus predecesores. Sin
embargo, es el principal de los routers de los ISPs, que conforma lo que muchos
consideran el núcleo. Estos ISPs operan los cuatro tipos de BGP-speaking routers
aquí descritos. En el uso ISP, un router "núcleo" es interno a un ISP, y suelen
interconectar edge y border routers. Los Core routers pueden tener funciones
especializadas en redes privadas virtuales basadas en una combinación de BGP y
Multi-Protocol Label Switching MPLS.
16
3.3.- ROUTERS DE EMPRESA
3.3.1.- ACCESO
3.3.2.- DISTRIBUCION
17
También pueden proporcionar conectividad a los grupos de servidores o
redes externas. En la última solicitud, el sistema de funcionamiento del router debe
ser cuidadoso como parte de la seguridad de la arquitectura global. Separado del
router puede estar un Firewall o VPN concentrador, o el router puede incluir estas
y otras funciones de seguridad. Cuando una empresa se basa principalmente en
un campus, podría no haber una clara distribución de nivel, que no sea tal vez el
acceso fuera del campus. En tales casos, los routers de acceso, conectados a una
red de área local (LAN), se interconectan a través de Core routers.
3.3.3.- CORE
18
3.4.- ROUTERS INALAMBRICO
A pesar de que tradicionalmente los routers solían tratar con redes fijas
(Ethernet, ADSL, RDSI...), en los últimos tiempos han comenzado a aparecer
routers que permiten realizar una interfaz entre redes fijas y móviles (Wi-Fi, GPRS,
Edge, UMTS, Fritz!Box, WiMAX).... Un router inalámbrico comparte el mismo
principio que un router tradicional. La diferencia es que éste permite la conexión
de dispositivos inalámbricos a las redes a las que el router está conectado
mediante conexiones por cable. La diferencia existente entre este tipo de routers
viene dada por la potencia que alcanzan, las frecuencias y los protocolos en los
que trabajan.
4.- HISTORIA
19
La idea fue explorada con más detalle, con la intención de producir un
verdadero prototipo de sistema, en el marco de dos programas contemporáneos.
Uno de ellos era el primer programa iniciado por DARPA, que se creó el TCP / IP
de la arquitectura actual. El otro fue un programa en Xerox PARC para explorar
nuevas tecnologías de red, que ha elaborado el sistema de paquetes PARC
Universal, aunque debido a la propiedad intelectual de las empresas ha recibido
muy poca atención fuera de Xerox hasta años más tarde.
20
En la original era de enrutamiento (desde mediados de la década de 1970 a
través de la década de 1980), los mini-ordenadores de propósito general sirvieron
como enrutadores. Aunque los ordenadores de propósito general pueden realizar
enrutamiento, los modernos enrutadores de alta velocidad son ahora
especializados ordenadores, generalmente con el hardware extra añadido tanto
para acelerar las funciones comunes de enrutamiento como el reenvío de
paquetes y funciones especializadas como el cifrado IPsec.
21
PROXY
TIPOS DE PROXY:
Una guerra proxy es una en la que las dos potencias usan a terceros para
el enfrentamiento directo.
22
En el contexto de las redes informáticas, el término proxy hace referencia a
un programa o dispositivo que realiza una acción en representación de otro. Su
finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a
Internet a todos los equipos de una organización cuando sólo se puede disponer
de un único equipo conectado, esto es, una única dirección IP.
Funcionamiento:
Proxy de web:
23
Cuando el proxy caché recibe la petición, busca la URL resultante en su
caché local. Si la encuentra, contrasta la fecha y hora de la versión de la
página demanda con el servidor remoto. Si la página no ha cambiado desde
que se cargo en caché la devuelve inmediatamente, ahorrándose de esta
manera mucho tráfico pues sólo intercambia un paquete para comprobar la
versión. Si la versión es antigua o simplemente no se encuentra en la
caché, lo captura del servidor remoto, lo devuelve al que lo pidió y guarda o
actualiza una copia en su caché para futuras peticiones.
Los proxies web también pueden filtrar el contenido de las páginas Web
servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo
están implementadas como proxies Web. Otros tipos de proxy cambian el formato
de las páginas web para un propósito o una audiencia específicos, para, por
ejemplo, mostrar una página en un teléfono móvil o una PDA. Algunos operadores
de red también tienen proxies para interceptar virus y otros contenidos hostiles
servidos por páginas Web remotas.
24
búsqueda en Google el servidor Proxy ya no es utilizado; el ISP envía su petición y
el cliente recibe su respuesta ahora sí desde Google.
Ventajas:
Desventajas:
25
Almacenar las páginas y objetos que los usuarios solicitan puede suponer
una violación de la intimidad para algunas personas.
26
realizado por el "reverse proxy", el cual está equipado con un hardware de
aceleración SSL (Security Sockets Layer).
27
Esta situación es muy común en empresas y domicilios con varios
ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante
NAT proporciona una cierta seguridad, puesto que en realidad no hay conexión
directa entre el exterior y la red privada, y así nuestros equipos no están
expuestos a ataques directos desde el exterior….Mediante NAT también se puede
permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan
al proxy sean dirigidas a una máquina concreta que haya sido determinada para
tal fin en el propio proxy.
Proxy abierto: Este tipo de proxy que acepta peticiones desde cualquier
ordenador, esté o no conectado a su red. En esta configuración el proxy
ejecutará cualquier petición de cualquier ordenador que pueda conectarse a
él, realizándola como si fuera una petición del proxy. Por lo que permite que
este tipo de proxy se use como pasarela para el envío masivo de correos
de spam. Un proxy se usa, normalmente, para almacenar y redirigir
servicios como el DNS o la navegación Web, mediante el cacheo de
peticiones en el servidor proxy, lo que mejora la velocidad general de los
usuarios. Este uso es muy beneficioso, pero al aplicarle una configuración
"abierta" a todo internet, se convierte en una herramienta para su uso
indebido.
28
Debido a lo anterior, muchos servidores, como los de IRC, o correo
electrónicos, deniegan el acceso a estos proxys a sus servicios, usando
normalmente listas negras ("BlackList").
Una red privada virtual o VPN (siglas en inglés de virtual private network),
es una tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet.
29
usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por
ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
MEDIOS
REQUERIMIENTOS BASICOS
30
Identificación de usuario: las VPN deben verificar la identidad de los
usuarios y restringir su acceso a aquellos que no se encuentren
autorizados.
Codificación de datos: los datos que se van a transmitir a través de la red
pública (Internet), antes deben ser cifrados, para que así no puedan ser
leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES
que solo pueden ser leidos por el emisor y receptor.
Administración de claves: las VPN deben actualizar las claves de cifrado
para los usuarios.
TIPOS DE VPN
31
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central
de la organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el túnel
VPN. Los servidores de las sucursales se conectan a Internet utilizando los
servicios de su proveedor local de Internet, típicamente mediante conexiones de
banda ancha. Esto permite eliminar los costosos vínculos punto a punto
tradicionales, sobre todo en las comunicaciones internacionales. Es más común el
siguiente punto, también llamado tecnología de túnel o tunneling.
Tunneling
32
Uno de los ejemplos más claros de utilización de esta técnica consiste en la
redirección de tráfico en escenarios IP Móvil. En escenarios de IP móvil, cuando
un nodo-móvil no se encuentra en su red base, necesita que su home-agent
realice ciertas funciones en su puesto, entre las que se encuentra la de capturar el
tráfico dirigido al nodo-móvil y redirigirlo hacia él. Esa redirección del tráfico se
realiza usando un mecanismo de tunneling, ya que es necesario que los paquetes
conserven su estructura y contenido originales (dirección IP de origen y destino,
puertos, etc.) cuando sean recibidos por el nodo-móvil.
Este esquema es el menos difundido pero uno de los más poderosos para
utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en
vez de utilizar Internet como medio de conexión, emplea la misma red de área
local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna.
Esta capacidad lo hace muy conveniente para mejorar las prestaciones de
seguridad de las redes inalámbricas (WiFi).
Implementaciones
Ventajas
TIPOS DE CONEXIONES
34
través de la conexión VPN son originados al cliente de acceso remoto, y éste se
autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente.
Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a
su vez se conecta a una red privada. En este tipo de conexión, los paquetes son
enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se
autentifica ante el que responde y éste a su vez se autentifica ante el llamante.
35
SWITCH DE CAPA 3
36
Este tipo deswitches integranrouting yswitching para producir altas
velocidades medidas en millones de paquetes por segundo). Esta es una
tecnología nueva (Lippis, 1997) a los cuales los vendedores se refieren muchas
veces como: Netflow, tag witching (Packet, 1998), Fast IP (3Com, 1997), etc.
37
integrando también la funcionalidad tradicionalmente asociada a los router y
trabajando básicamente con dos tipos de implementación.
Packet-by-packet (PPL3).
Cut-trough (CTL3).
Donde trabajan igual que un router, el switch puede realizar todas las
funciones de un router Standard, enrutando todos los paquetes hacia su destino.
Trabajan con los protocolos Standard de los routers, pudiendo así interoperar con
los otros switchs y los routers de la red.
Flow-based routing
38
FUNCIONES
Un Switch de Capa 3 tiene todos los niveles de control y seguridad con los
que un ruteador normalmente cuenta. Existen mecanismos de seguridad para
prevenir que un usuario indeseado se conecte a la red, incluso a nivel físico. Estos
switches pueden filtrar información no deseada incluso de los usuarios que tienen
permitido el acceso a la red, para prevenir ataques a servidores, bases de datos, o
proteger aplicaciones con ciertos niveles de seguridad. También cuentan con
39
mecanismos de protección para evitar que un usuario no deseado pueda infiltrarse
a la configuración del switch.
40