SEGURIDAD DE LAS REDES M1 - La bases técnicas de la redes · Seguridad de las redes Tipos de...

Seguridad de las redes

SEGURIDAD DE LAS REDES

M1 - La bases técnicas de la redes

e-mail: [email protected]


Las bases técnicas de las redes

Herramientas básicas de la seguridad de las redes

Gestión de la seguridad de lasredes en empresa

M1

M2

M3


M1

M2

M3

Las bases técnicas de las redes

Herramientas básicas de la seguridad de las redes

• Introducción : las transmisiones en empresa.• Principios de un modelo en capas.• Cables y fibra óptica.• HUB y Switch.• Dirección MAC.• Familia de normas Ethernet.• Las tecnologías las más recientes para el

multimedia (ATM, MPLS).• Tecnologías de redes por cables de punto a punto.• Dirección lógica (IP), DHCP, DNS.• Como funcionan y comunican los

enrutadores.• Topología de redes según el tamaño.• Capas de vinculación con las aplicaciones• Utilidad y noción de puertos TCP/IP.• Los principios de los programas de tipo

middleware.• Ejemplos de algoritmos críticos en las redes.• Normas Bluetooth, Wifi, Wimax.• Redes Celulares (GSM, GPRS, EDGE,UMTS).• Noticias del mercado, estadísticas.

Gestión de la seguridad de lasredes en empresa


Introducción: las transmisiones de datos en empresa.

•Ficheros.

•Aplicaciones cliente/servidor.

•Aplicaciones WEB.

•Correos electrónicos.

•Voz, Video-conferencia (ToIP, VoIP).

•Caso particular: Telefonía clásica, Fax.

Puntos comunes:

- Mismas redes.

- Misma pila de protocolos básicos (TCP/IP).


Tipos de redes.

Backbone(espina dorsal)

Backbone(espina dorsal)

Red interna

Red interna

INTERNET

Red publica

Proveedor

Red privada


La pila de protocolos TCP/IP.

•Identificar de manera única un equipamiento (dirección IP).

•Vincular los equipamientos en una red compleja (enrutamiento).

•Multiplexar las comunicaciones (gestión de paquetes).

•Conjunto de protocolos:

- De red (ARP, ICMP, DHCP, IP, TCP, UDP, RIP…).

- Aplicativos (HTTP, DNS, POP, IMAP, SMTP, FTP…).

•Protocolos completamente públicos desde mas de 30 años

(primera presentación en 1972).


Niveles de seguridad.

•Redes internas de empresa: Medio.

•Redes privadas de proveedores: Alto.

•Redes publicas: Bajo.

•TCP/IP: Bajo.


LAS BASES TÉCNICAS DE LAS REDES


PRINCIPIOS DE UN MODELO EN CAPAS

TELÉFONO

IDIOMA

Compatibilidad de cada capa , por eso, transmisión posible

¿Hola, como va?

¿Hola, que tal?

TELÉFONO

IDIOMA


¿Hola, como va?

Ηολα, θυε ταλ?

TELÉFONO

IDIOMA

TELÉFONO

IDIOMA


Hello how are you?

Fine, and you?

Traducción de protocolo

TELÉFONO

IDIOMA

TELÉFONO

IDIOMAIDIOMA


CAPAS BÁSICAS• Transmitir la señalUtilizando una señal eléctrica, óptica o por ondas radio. Cada equipo tiene sobre sur tarjeta de conexión a la red una dirección única escrita en un componente electrónico.Dirección MAC: Media Access Control

• Verificar la integridad de la señalUtilizando un algoritmo muy clásico (Cyclic Redundancy Check) para verificar que los 1 y los 0 permanecen 1 y 0 llegando.

1

2

3

4

5

6

7


Conmutador y espina dorsal

• El corazón de una red esta constituido de equipos de tipo “Conmutador” (switch).Los conmutadores pueden estar conectados en cascada para realizar una red de grande tamaño (hasta 1000 equipos conectados). El equipo de tipo “Hub” es el ancestro del conmutador, sin funcionalidad de optimización de transmisión.


• Arquitectura clásica en “espina dorsal”:

Fibra óptica 100 gbits/s

Fibra óptica 10 gbits/s

Cable 1 gbits/s


Familia de normas ETHERNET

• ETHERNET: tecnologías de red dominantes sobre el mercado, creación en 1980 (Xerox – Intel – DEC).

• Normalizadas por el grupo de trabajo 802.3 del IEEE y 8802.3 del ISO = normas mundiales.

• Familia 802.3:- 10Base2: red de pequeño tamaño a 10Mbits/s, cable coaxial (descontinuada).- 10Base5: red de grande tamaño a 10Mbits/s, cable coaxial (descontinuada).- 10BaseT: red a 10Mbits/s, cable en par trenzado o fibra óptica.- 100BaseT: red a 100Mbits/s, cable en par trenzado (parte del Fast Ethernet, norma extendida 802.3u).

-100BaseFX: red a 100Mbits/s, cable en fibra óptica (parte del Fast Ethernet, norma extendida 802.3u).

- GigE o 1000BaseT: Gigabit Ethernet, red a 1000Mbits/s, cable en par trenzado o en fibra óptica (parte del Fast Ethernet, normas extendidas 802.3ab y 802.3z) – año 2002.

- XGbE o 10GbE o 10GBaseT: 10 Gigabits Ethernet en par trenzado o en fibra óptica (parte del Fast Ethernet, norma extendida 802.3ae) – año 2006.


MAC

CRC


Las tecnologías las más recientes para el multimedia.

•ATM- Asynchronous Transfert Mode.- Commutación de paquetes a alta velocidad con eliminación de los

controles de calidad.- Para la interconexión de redes o las transmisiones multimedia con fibra

óptica.

•MPLS- Multi Protocol Labels Switiching.- Principio: las líneas ópticas son muy seguras. Por eso, posibilidad de

calcular las rutas entre las redes definitivamente una vez => grande fluidez.

- Valorización de los equipos ATM, adaptado al multimedia (streaming).


TECNOLOGÍAS DE REDES CONCABLES DE PUNTO A PUNTO

•Tecnología DSL- Apoyo de cobre (2 o 4 pares).- Frecuencia diferente de la transmisión de voz

=> posible utilizar los hilos telefónicos.- 3 posibilidades de codificación para una

velocidad mas grande.

•Tecnología PLC/PLT/PPC (PowerLine Plus(Tele)Communication)

- Apoyo de cobre (1 pare).- Frecuencia diferente de la electricidad =>

posible utilizar los hilos eléctricos.- Velocidad débil (2 Mbits/s, máximo 300m).


•ADSL- Asymetric (bit rate) Digital Subscriber Line

•HDSL (2 ou 3 pares)- High (bit rate)

•RADSL- Rate Adaptative

•SDSL- Single (rate)

•SHDSL- Symetric High (bit rate)

•VDSL- Very High (speed)

DMTDiscrete Multitone256 bandas entre 1,1Mhz y 30Khz (inferiores = voz)

CAP

2B1Q


Línea Velocidad Distancia Codificación

ADSL 1,5 - 8mb/s (->)16 - 640kbs (<-)

5,5 km (Cap) Dmt

HDSL 2 mbs(no voz)

2,4 km (Cap) 2b1q

RADSL 2 à 7 mbs adaptable

5,5 km Dmt

SDSL 144kbs à 2mbs 4 km 2b1q

SHDSL 192kbs à 2,3mbs 6 km (Cap) Dmt

VDSL 13 - 52mb/s (->)1,5 - 2,3mbs (<-)

1,5 km (Cap) Dmt


Evoluciones• ADSL 2+- Extensión en download de 1,1Mhz hasta 2,2Mhz (codificación DMT).- Otros parametros identicos.• HDSL 2- Más resistente a los parásitos eléctricos y menos sensible a la calidad de los hilos.- Misma velocidad y distancia que HDSL pero con 1 pare solamente.• VDSL 2- 100Mbs sobre hilos de cobre por extensión de banda a 30 Mhz.- Velocidad siempre limita por la distancia de manera crítica (100 mbs hasta 300m).• UDSL- Oferta de Texas Instrument (100mbs).- No normalizada (http://focus.ti.com/pdfs/bcg/udsl_whitepaper.pdf).


Banda de ancha

• Acceso basado sobre una tecnología HFC (Hybrid FiberCoax):

• Velocidad total de 30 Mbs hasta 10 Mbs. por canales de 8 Mhz (banda de 47 hasta 862 Mhz) distribuidos entretelevisión, teléfono y datos, y elegidos entre todos los usuarios de un mismo lugar.


Taller

Normas Ethernet

Historia de las redes HFC

Exploración de los catálogos de productos 3COM, CISCO, HP


CAPA DE RED• Substitución de una dirección lógica a la dirección física MACPara simplificar y adaptar la red a la comprensión humana.

• Calculo de las rutasPara construir redes muy complejas, de tamaño mundial, manejando las redundancias de camino entre 2 puntos.

1

2

4

5

6

7

3


IP V4 (Internet Protocol) – dirección IP

• Principio de calculo de la direcciónUtilizando 32 bits, a la elección del administrador, deber ser única en toda la red.

• Consecuencia: 2 redes separadas pueden contener unas direcciones idénticas. En caso de interconexión, el administrador debe utilizar un equipo de translación de dirección (protocolo NAT : Network Address Translation). Por ejemplo, un Firewall.



• La dirección es convertida en decimal para la comprensión humana por grupos de 8 bits.11011011 = 1x27 +1x26 +0x25 +1x24 +1x23 +0x22 +1x21 +1x20

11011011 = 219

• El administrador selecta cuanto bits para el numero de red y cuanto bits para el numero de equipo sobre los 32 bits16 bits para la red, 16 bits para el equipo = 65000 redes de 65000 equipos. Ejemplo: Red numero 172.16, equipos de 000.001 a 254.25424 bits para la red, 8 bits para el equipo = 16 millones de redes de 254 equipos (ejemplo: Red numero 192.168.0, equipos de 001 a 254)29 bits para la red, 3 bits para el equipo = 536 millones de redes de 6 equipos (ejemplo: Red numero 194.206.221.248, equipos de 249 a 254)



• Para indicar cuanto bits son dedicados al numero de red, el administrador utiliza un mascara (otros 32 bits).Por cada bit de red, la mascara presenta un bit a 1.Ejemplo : Red: 172.16, equipos de 000.001 a 254.254mascara: 11111111.11111111.00000000.00000000En decimal: 255.255.0.0Por eso, todos los equipos sobre una misma red tienen la misma mascara.

• La configuración IP puede ser integrada manualmente en los equipos informáticos, o enviada por un servidor vía el protocolo DHCP (Dynamic Host Configuration Protocol).



• Para simplificar la comprensión humana, un nombre puede ser asociado a la dirección IP.Por ejemplo, el nombre WWW.UNE.NET.CO es asociado a la dirección 200.13.224.103

• Para realizar la asociación, un servidor de nombres es utilizado (DNS: Domain Name System), con tablas de equivalencia “direccion – nombre”.

• La configuración IP es vital. Es utilizada por la identificación de los equipos, las conversiones de direcciones y los algoritmos de calculo de rutas.


IP V4 (Internet Protocol) – Enrutamiento

• Por caparazón entre las direcciones del emisor y del receptor através la mascara, IP es capaz de saber si los equipos son sobrela misma red (el mismo apoyo de transmisión).

Si es el caso, un proceso de resolución se inicia para recuperarlas direcciones MAC. Por eso, los equipos pueden comunicar directamente utilizando el apoyo físico.

Al contrario, el emisor envía su pregunta a todos los equipos detipo “enrutador” alrededor para el calculo de una ruta. Despues,el emisor sabe que debe enviar sus paquetes de datos siguientes al rutador que conoce la buena ruta.


Ejemplos de interconexión de redes con enrutadores:


IP V4 (Internet Protocol) – Enrutamiento

• Existen muchos protocolos de calculo de rutas para equipos de tipo “enrutador”, según el tamaño y la complejidad de las redes interconectadas.2 categorías:

- Estático: las rutas son configuradas manualmente por el administrador en cada enrutador (arquitecturas simples).

- Dinámico: los enrutadores intercambian informaciones para conocer la estructura de las redes interconectadas. Ejemplo de protocolo: RIP (arquitectura media), OSPF (arquitectura jerárquica).


Ejercicio

Utilización de TCP/IP

Taller

Los protocolos de enrutamiento


CAPA DE TRANSPORTE

• División de la información a transmitir en paquetes con números secuénciales.Para dejar pasar muchas comunicaciones el mismo tiempo en un apoyo único.

• Verificación de la calidadPara preguntar la re-emisión de los paquetes en error o no llegados.

Incluida en los protocolos TCP (TransportControl Protocol) y UDP (User DatagramProtocol). 1

2

3

6

7

4

5


1

2

3

4

7

5

6

CAPA DE VINCULACIÓN CON LAS APLICACIONES• Proveedor de funcionalidades para pasar las informaciones transmitidas a la buena aplicación.Un equipo puede manear muchas comunicaciones en el mismo tiempo, abriendo en ventanas muchas aplicaciones.

• Puede proponer el cifrado o la compresión de los datos.

En partes incluida en los protocolos TCP (Transport Control Protocol) y UDP (UserDatagram Protocol).


TCP/UDP

• A cada aplicación es atribuida un identificador (numero de puerto) vinculado a un espacio en memoria del computador.

Los paquetes de datos tienen una zona con el numero de puerto de la aplicación de destino.

Consecuencia: si 2 aplicaciones tienen el mismo numero de puerto, no pueden funcionar sobre la misma maquina. Por ejemplo, 2 programas de servidor WEB como IIS de Microsoft y el software libro Apache (excepto si uno es cambiado de puerto a la instalación), los 2 ocupando el puerto 80.


1

2

3

4

5

6

7APLICACIONES Y “MIDDLEWARE”• “Middleware” es una palabra generica para cada programa con la funcionalidad de permitir a las aplicaciones de intercambiar informaciones, directamente en la misma maquina, o de un equipo a un otro a traves TCP/IP y la red.Ejemplos: ODBC (mas generalmente MDAC en la oferta Microsoft), SQL.NET, SAFARI, pilotos DELPHI.

• Existen aplicaciones integrando protocolos con la capacidad de trabajar directamente con TCP/IP.


Ejemplos de protocolos vinculados con TCP/IP

• 80 - HTTP: integrado a Internet Explorer y programas para manear sitios WEB (IIS, Apache, Lotus HTTP server…).

• 25 - SMTP: integrado a los programas de correo (Outlook, Exchange, Lotus Notes y Lotus Domino).

• 119 - NNTP: integrado a los programas para leer las noticias electrónicas (Newsgroup).

• 21 - FTP: integrado a los programas para descargar archivos (Internet Explorer, CuteFTP, ProFTP…).

• 23 - TELNET: integrado a los programas de emulación para conectarse sobre computadores con UNIX, OS/400…

• 4035 - WAP: integrado a los celulares para hacer HTTP sobre pequeñas pantallas.


EJEMPLOS DE ALGORITMOS CRÍTICOS EN LAS REDES.• Ejemplo 1: Encapsulación/Encapsulamiento.

Cada capa de protocolo utiliza datos de control para su gestión. Estos datos son añadidos a los paquetes de informaciones.


En 99% de los casos de transmisiones codificadas por seguridad, solamente los datos usuarios o de aplicaciones pueden ser cifrados. Los datos de control permanecen legibles por los equipos de redes y los computadores.Una excepción: IPsec.- Muy poco utilizado.- No compatible con Internet.


Ejemplo de datos de control críticos en Ethernet + TCP/IP:


•Ejemplo 2: Three way Handshake TCP/IP.

En este punto del proceso, una sesión es abierta en la memoria del servidor, implicando recursos utilizados (buffers, Time Out…).


•Ejemplo 3: ICMP EchoRequest (ping).

Durante el proceso, una sesión es abierta en la memoria de los equipos, implicando recursos

utilizados (buffers, Time Out…).


Ejemplo de datos de control críticos en ICMP:


•Ejemplo 4: Identificación de equipo con ARP (ejemplo de un enrutador).

En este punto del proceso, el enrutador utiliza un método dinámico para identificar la dirección MAC asociada al

dirección IP requerida.


Método dinámico “ARP Request” (Broadcast):


Ejemplo de datos de control críticos en ARP:


•Ejemplo 5: Identificación de equipo con DNS.

Buscando “www.example.com”

En este punto del proceso, el cliente utiliza la dirección IP del primer servidor DNS encontrado

en su configuración.


Taller

Análisis del fichero “c:\windows\system32\drivers\etc\services”

Noción de Middleware

Análisis de protocolo con Packetyser


REDES INALÁMBRICAS – BLUETOOTH Y WIFI

• 2 Tecnologías diferentes por la velocidad y la distancia:- Bluetooth, una red de proximidad.- Wifi, para un lugar con obstáculos.

• 2 arquitecturas:

Ad Hoc Infraestructura


•Ventajas:- Simple y fácil a desplegar.- Muy poco costosa.- Normalizada (hasta 52 Mbits/s).

•Desventajas- Velocidad débil (por comparación con redes por cable). - Seguridad a cargo del administrador.- Sensible a las perturbaciones.- Frecuencias publicas saturadas.- Calculo de rutas complicado en redes de grande tamaño, y

carga interna de recursos importante para redes de muchos usuarios.


BLUETOOTH• Arquitectura Ad Hoc.• Distancia de 10 m sin obstáculo.• Velocidad de 1 Mbits.• Banda de 2,4 Ghz (como las primeras ofertas de Wifi – riesgo

de conflicto).• Normalizada por el grupo de trabajo sobre la norma WPAN

(Wireless Personal Area Network) numero 802.15 del ISO.

802.15.1 Normalización de Bluetooth

802.15.2 Coexistencia de las ofertas en la banda 2,4 Ghz

802.15.3 Adaptación a los datos de tipo multimedia

802.15.4 Adaptación a los equipos industriales (colector, badge)


WIFI

• Un grupo económico (Wireless Fidelity) para la promoción del estándar• Normalizada por el grupo 802.11 del IEEE.• Compatible con TCP/IP.

• 14 canales utilizables en la banda de 2,4 Ghz hasta 2,483 Ghz sin licencia (ISM : Industrial Scientific and Medical Frequency).

• Distancia de 100 m máximo sin obstáculo, mas o menos 30 m en caso contrario.

802.11a 5 Ghz 54 mbs802.11b 2,4 Ghz 11 mbs

802.11g 2,4 Ghz 54 mbs


802.11n

•Normalizado por el grupo 802.11 del IEEE en Enero 2006. Normalización por el grupo Wifi en 2008.

•Primeros equipos disponibles, pero sin compatibilidad entre marcas diferentes.

•Principio de la multiplicidad de las transmisiones en un rango de 20 Mhzhasta los 2,4 Ghz por muchas antenas (MIMO : Multiple In, MultipleOut).

• Codificación DMT con modulación QPSK (descripción en el capitulo “Redes Celulares”.


Taller

Exploración de los catálogos de productos 3COM, CISCO, HP

Configuración de una tarjeta de red inalámbrica

Análisis de las redes Wifi disponibles en la sala de capacitación


Calidad del 802.11x – testos sobre 11 Mbits teoricos

Velocidad según el tamaño de los paquetes Velocidad según la cantidad de usuarios(requisitos TCP/IP = 1500 bytes) (reparto del canal radio)


Velocidad a través 2 repetidores



Impactos de calidades de vinculo diferentes

Estaciones de trabajo con un vinculo débil pueden disminuir la velocidad general ocupando mas tiempo la bande de frecuencia.

Impactos del tamaño de la red

PC1 PC2

Impactos de la arquitectura

Computadores pueden ser en conflicto para utilizar el emisor Wifi.


LA TECNOLOGÍA LA MAS RECIENTE: WIMAX

• Worldwide Interoperability for Microwave Access.

• Grupo de trabajo para la convergencia de las tecnologías 802.16 y Hyperman (red inalámbrica de Europa).

• Distancia máxima de 50 Km.

• Muchas centenas de comunicaciones simultaneas.

• Frecuencia de 2 Ghz hasta 10 Ghz.

• Velocidad máxima de 130 Mbits, 70 en oferta comercial.


REDES CELULARES

•4 ofertas (al nivel mundial):- GSM (Global System for Mobile communications : generación 2).- GPRS (General packet Radio Services : generación 2+ o 2,5).- EDGE (Enhanced Datarates for Gprs Evolution : generación 3).- UMTS (Universal Mobile Telecommunication System : generación 3).

•Frecuencias limitadas en cantidad, reutilizables si los emisores son suficientemente espaciados => noción de célula adyacente, con frecuencia diferente (excepto UMTS que utiliza una tecnología especialmente estudiada para evitar conflictos de frecuencia). Entre 1 Kmy 5 Km por célula.

•Tecnología estudiada para suportar el movimiento de los equipos y por eso, el cambio de célula sin interrupción de comunicación (roaming).

•Facturación diferente según la oferta: por paquete o por tiempo.


Testos con un celular de clase 10 o 12 (4 intervalos de tiempo utilizados)

OfertaVelocidad

teóricaVelocidad

útiltecnología

(facturación)

Compatibilidad arquitectura

GSM

GSM9600bs(9,6kbs)

9600bs(9,6kbs)

Tiempo850/900Mhz

1800Mhz1900Mhz

GPRS 115 kbs35–40 kbs

PaqueteSI

850/900Mhz1800Mhz1900Mhz

EDGE 473 kbs110–130

kbsPaquete

NO850/900Mhz

1800Mhz1900Mhz

UMTS 2 mbs200–300

kbsPaquete

NO 1900-2025Mhz2110-2200Mhz


Como aumentar la velocidad de la transmisión – ejemplo:Codificación binaria de base de la señal

Simple

Modulación de amplitud

Modulación de frecuencia

Modulación de fase

0 1180°

1 bit por modulación. Ejemplo:

Codificación GMSK del GPRS (Gaussian Minimum Shift Keying).


Evolución de la codificación en EDGE:

0,0,1 1,1,1

0,1,0

1,0,01,0,1 1,1,0

0,1,10,0,0

45°3 bits por modulación: 8PSK (8 Phase ShiftKeying).


Utilización de las frecuencias

GSM

Frequency Division Multiple Access (FDMA):

1 pare de frecuencias por usuario. Aquí, las frecuencias de transmisión. Para calcular las frecuencias de recepción, añadir 45 mhz.


GPRS

Time Division Multiple Access (TDMA):

1 intervalo de tiempo (577 μs) sobre 8 por usuario y por dirección de comunicación para cada frecuencia disponible en la célula.


UMTS

Wideband Code Division Multiple Access (WCDMA):

Todas las comunicaciones sobre la misma frecuencia, pero cifradas para no superponerse. La velocidad adaptase a la calidad de la transmisión cada 20 μs. Utilización de la codificación QPSK (Quadrature Phase Key Shifting - 2 bits por modulación).


• Otras normas de celular (utilización local)

UMTS-HSDPA (UMTS – Hight Speed Download Packet Access): Actualización de UMTS, red 3.5 veces mas rápida (disponible en 41 países a fin 2006). Norma 3,5G o 3G+. En Colombia por Comcel en 2008.

CDMA : tecnología de base del WCDMA (UMTS). Todavía utilizada en los Estados Unidos y para los satélites (GPS, GALILEO).

iDEN (integrated Digital Enhanced Network): Norma privada desarrollada por Motorola, basada sobre TDMA (con diferencias de canales de frecuencias).Disponible en 16 países (pero no en Colombia).

PDC (Personal Digital Cellular): Norma de segunda generación utilizada en Japon exclusivamente. Remplazada poco a poco por UMTS.

AMPS (Advanced Mobil Phone System): Sistema de celular analógico, aun existente en los Estados Unidos.


Noticias del mercado, estadísticas


Taller

Sitios de estadísticas mundiales

Historia de Wimax/Wimax en América Latina

Busca Google “Wimax Colombia”

SEGURIDAD DE LAS REDES M1 - La bases técnicas de la redes · Seguridad de las redes Tipos de...

Documents

Transcript of SEGURIDAD DE LAS REDES M1 - La bases técnicas de la redes · Seguridad de las redes Tipos de...