PDF de programación - Arquitectura de redes de comunicaciones

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONESArquitectura de redes de comunicaciones

Tema I: Arquitectura TCP/IP
Tema I: Arquitectura TCP/IP

T
id d
Tema II: Servicios y tecnologías de seguridad

II S

i i

t

en Internet

l

í

d

1

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDESLección 3. Protección de comunicaciones

ARQUITECTURA DE REDES

DE COMUNICACIONES

3.1 Firewall (Cortafuegos de Internet)
)
3.2 Redes corporativas. RPV

g

(

3.3.1 IPSec
3.3.2 túneles de N2 ( L2TP)

 Bibliografía
 TCP/IP Tutorial and Technical Overview. Cap. 22.

p

Apartados 22.3; 22.4; 22.5; 22.10; 22.13 y 22.14

http://www.redbooks.ibm.com

 Criptography and Network Security” Cap 16 y 20
 Criptography and Network Security . Cap. 16 y 20.

2

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Firewall-cortafuegos

Internet
Internet

Red

empresa
empresa

• Un firewall ó cortafuegos es un sistema o conjunto de sistemas
que implementan una política de seguridad entre la red de una
que implementan una política de seguridad entre la red de una
organización e Internet

»

O.P; Router, Estación de trabajo, O.C. etc.

• Separa una red confiable de Internet
Separa una red confiable de Internet
• La política de seguridad define el comportamiento del firewall

»
»

Todo lo no específicamente permitido es prohibido
Todo lo no específicamente prohibido es permitido

3

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES

ARQUITECTURA DE REDESTipos de Firewall por funcionalidad
DE COMUNICACIONES Tipos de Firewall por funcionalidad
• Filtros de paquetes

Filtro de paquetes sin estados (Stateless)
– Filtro de paquetes sin estados (Stateless)

» Filtrado de paquetes independientes

– Filtro de paquetes con estados (Stateful)

» Nivel de red y transporte asociando cada paquete a su correspondiente

flujo

– Filtro de paquetes con estados e inspección del nivel de aplicación
» Comportamiento del protocolo: CBAC (content Based Access Control):

Protocolos más comunes (RFCs)

» Inspección del contenido (firmas de ataques): Deep Inspection

• Pasarela de nivel de aplicación (o servidor proxy)

– Nivel de aplicación
• Pasarela de nivel de circuito
Pasarela de nivel de circuito
– Nivel de transporte (TCP-UDP)

4

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDESOpciones de diseño de un Firewall

ARQUITECTURA DE REDES

p

DE COMUNICACIONES

• Funcionalidad del S.O.
– Firewall de Windows

• Routers

– Funcionalidad incluida
Funcionalidad incluida

• Software

– Aplicación para un S.O. de propósito general.
– El vendedor del Firewall incluye parches del S.O. para

securizar la máquina.

• Hardware

– Se utilizan dispositivos específicos optimizados (Appliance)

y con S.O. al efecto.
f

d

t

•

I t
id d
Integrado con otras funcionalidades de seguridad
– RPV (VPN)
– SDI
– SPI

lid d

d

i

5

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Filtro de paquetes
Filtro de paquetes.

Internet

Filtrado de paquetes en base a:

 Implementación

C t
IP
Contenido cabecera IP

id

b

 LCA li t
 LCA: listas de Control de Acceso

d C t

l d A

Tipos de mensajes ICMP

 IP Tables

Contenido cabecera TCP/UDP

6

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Firewall de filtrado con estados

192.168.1.0/24

80.20.60.41

180.10.33.52

Internet

Protoc D. Origen

P. Orig

D. Desti

P. destino Acción

Protoc D. Orig

P. Origen D. Destino

P. destino Conexión

Acción

TCP
….

80

Establecida

Allow

180.10.33.52
….
Regla Temporal creada a partir del segmento SYN

80.20.64.41

>1023

7

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDESPasarela (Proxy) de aplicación (Host
DE COMUNICACIONESPasarela (Proxy) de aplicación. (Host

ARQUITECTURA DE REDES

Bastion)

TELNET
TELNET

HTTP

FTP
FTP

INTERNET

Red confiable

• Permite implantar una política de seguridad más estricta que un firewall
• Una comunicación está constituida por dos conexiones

• No hay flujo directo de paquetes entre la red confiable e Internet
No hay flujo directo de paquetes entre la red confiable e Internet

• Se implementa un código de propósito especial (servidor Proxy) por cada

aplicación (http; FTP; Telnet; etc.)

– Cualquier usuario que quiera acceder a un servicio se tiene que conectarse

i i

ti

d

t

C l
primero al “servidor proxy”

i

i

i

– Cada aplicación del Proxy se configura en función de la política de seguridad
Los terminales de la red confiable solamente pueden utilizar los servicios
– Los terminales de la red confiable solamente pueden utilizar los servicios
implementados en el proxy

8

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Pasarela de nivel de circuito

INTERNET

Red confiable
Red confiable

•Actúa como un dispositivo intermedio a todas las conexiones TCP Similar a los Proxy
•Actúa como un dispositivo intermedio a todas las conexiones TCP. Similar a los Proxy
•No realiza procesamiento ni filtrado, simplemente retransmite segmentos de una conexión a
otra.

•El cliente se conecta con el servidor y se autentica.
•Se analiza la conexión en base a número de puerto, origen, destino, clave de usuario
•En el caso, que sea admisible, puentea la conexión directamente

•La seguridad se basa en permitir o no las conexiones TCP.

•Pasarela de nivel de circuito estandarizada: SOCKS (v4; v5- RFC 1928)

9

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

DMZ con firewall de estados

LCA
LCA
básicas

Internet

Servidores Web
Servidores Web
públicos

El firewall no
comprueba el
t áfi
d l DMZ
tráfico de la DMZ

10

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDESDMZ y firewall de estados con tres
DE COMUNICACIONESDMZ y firewall de estados con tres

ARQUITECTURA DE REDES

interfaces

Todo el tráfico pasa
por el firewall

Internet

Servidores Web
públicos

11

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Esquema con dos Firewall

Intern
etet

12

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Firewall con varias DMZs

Internet

Servidores Web
públicos en DMZ
diferentes

13

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Múltiples Firewall

SPNC

SPC

Internet

SPSCSPSC

14

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Proxy en la red Interna

El administrador
controla los
usuarios que
acceden a Internet

Proxy

Red
confiable

INTERNET

15

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Proxy conectado al firewall
Proxy conectado al firewall

INTERNET

RedRed
confiable

16

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Proxy en la DMZ
Proxy en la DMZ

Socks v5

INTERNET

RedRed
confiable

17

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES

ARQUITECTURA DE REDES Redes corporativas Intranets
DE COMUNICACIONES Redes corporativas-Intranets

• Interconexión del material informático de la organización

en red

» Hoy mediante tecnología TCP/IP
» Conexión de dependencias remotas y acceso remoto de
Co e ó de depe de c as e otas y acceso e oto de
empleados

• Servicios de comunicaciones de Operadores
• Internet y Tecnología de RPV
Internet y Tecnología de RPV

» Intranet

• Interconexión con Colaboradores, Suministradores, etc.

» Extranet

• Tecnología de RPV

– Implementación
Implementación

» Servicios de comunicaciones de Operadores

• Servicios de RPV

» Internet + Tecnología de RPV

18

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

Tecnologías de RPV (VPN)

• Nivel 2: Protegen tramas PPP

– PPTP (Point-to-Point Tunneling Protocol): Desarrollado por

Microsoft

– L2F (Layer 2 Forwarding), Desarrollado por Cisco
– L2TP (Layer Two Tunnel protocol) Norma IETF

» Mezcla de PPTP y de L2F

• Nivel 3: Protegen paquetes IP
Nivel 3: Protegen paquetes IP
– IPSec: desarrollado para comunicaciones seguras a nivel IP

• Nivel transporte:

– SSL/TLS: desarrollado por Netscape y estándar IETF

• Aplicación

– SSH desarrollado por Tatu Ylonen
SSH desarrollado por Tatu Ylonen

» Putty (Windows)
» WinSCP
» SFTP
» SFTP

19

C. F. del Val

Seguridad-L3

Utilización de tecnologías de RPV

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES
DE COMUNICACIONES
Tecnología que utilizando
Internet permite

• (O-O) Constituir la red
• (O-O) Constituir la red

corporativa
interconectando las
oficinas (Ipsec)

• (AR) Utilizar la red
corporativa desde
localizaciones remotas
(sede, casa, hotel, etc.)
(sede, casa, ote , etc )
( SSL, L2TP)

• Extranet

INTERNET

Oficina de
Oficina de
Otra empresa

OFICINA B

OFICINA A

OFICINAS CENTRALES
C. F. del Val

20

DOMICILIO
DOMICILIO

VIAJE

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

IPsec
IPsec

• Proporciona comunicaciones seguras a nivel IP

E

– Es una ampliación de la funcionalidad de IP
lid d d IP
– Opcional en IPv4

ió d l

li

f

i

» Protocolos AH (Authentication Header) y ESP (Encapsulation

Security Payload)

– Obligatorio en IPv6? Cabeceras de extensión (AH y ESP)
• Servicios de seguridad
Servicios de seguridad
– Confidencialidad
– Autenticación
» Integridad
id d
» Autenticación de origen

I t

– Control de acceso
– Protección contra repeticiones

• Gestión de claves

– Configuración
Configuración
– Automático (IKE)

C. F. del Val

21

Seguridad-L3

Componentes de IPsec

p

RA

INTERNET

RB

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES

DE COMUNICACIONES

INTRANET
OFICINA A

INTRANET
OFICINA B

B de D de
Política de
seguridad

B de D de
Asociacio
nes de
seguridad

22

C. F. del Val

Seguridad-L3

ARQUITECTURA DE REDES
ARQUITECTURA DE REDES