View
6
Download
2
Embed Size (px)
DESCRIPTION
Entender el enrutamiento, firewalls, filtros , NAT y redirección de puertos.
Citation preview
APUNTES DE ENRUTAMIENTO (TERCERA EVALUACIN)
Prtocolo IP
Internet Protocol (en espaol Protocolo de Internet) o IP es un protocolo usado
tanto por el origen como por el destino para la comunicacin de datos, a travs de una
red de paquetes.
Este protocolo no es orientado a la conexin (no almacena informacin de la
conexin, o sea, no inicia, mantiene y finaliza las conexiones) Los datos en una red
basada en IP son enviados en bloques conocidos como paquetes o datagramas (en el
protocolo IP estos trminos se suelen usar indistintamente).
IP no provee ningn mecanismo para determinar si un paquete alcanza o no su
destino. Por ejemplo, al no garantizar nada sobre la recepcin del paquete, ste podra
llegar daado, en otro orden con respecto a otros paquetes, duplicado o simplemente no
llegar. Si se necesita fiabilidad, sta es proporcionada por los protocolos de la capa de
transporte, como TCP.
Direccin IP
Una direccin IP es un identificador numrico, que se utiliza para acceder a un interfaz
(generalmente una tarjeta de red o conexin) de un dispositivo, que habitualmente ser un
ordenador, pero tambin puede ser una impresora en red, dispositivo de almacenamiento en
red, equipo de comunicacin o cualquier otro dispositivo que se comunique a travs de la red
que utilice el protocolo IP.
Las direcciones IP (v4) se expresan por un nmero binario de 32 bits
permitiendo un espacio de direcciones de hasta 4.294.967.296 (232) direcciones
posibles. Las direcciones IP se suelen expresar como nmeros de notacin decimal: se
dividen los 32 bits de la direccin en cuatro bytes.
En la expresin de direcciones IPv4 en decimal se separa cada octeto por un
carcter punto ".". El nmero binario de 8 bits ms alto es 11111111 y esos bits, de
derecha a izquierda, tienen valores decimales de 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma
255. El ms bajo ser 00000000 y la suma en decimal ser 0, as que cada uno de esos
bytes puede tomar valores decimales entre el 0 y el 255.
Ejemplo de representacin de direccin IPv4: 192.168.1.33 o 10.128.1.255
En el direccionamiento de Internet se introdujo la arquitectura de clases (classful
network architecture). En esta arquitectura hay tres clases de direcciones IP que una
organizacin puede recibir de parte de la Internet Corporation for Assigned Names and
Numbers (ICANN): clase A, clase B y clase C.
En una red de clase A, se asigna el primer octeto para identificar la red,
reservando los tres ltimos octetos (24 bits) para que sean asignados a los hosts,
de modo que la cantidad mxima de hosts es 224 - 2 (se excluyen la direccin
reservada para broadcast (ltimos octetos en 255) y de red (ltimos octetos en
0)), es decir, 16.777.214 hosts.
En una red de clase B, se asignan los dos primeros octetos para identificar la red,
reservando los dos octetos finales (16 bits) para que sean asignados a los hosts,
de modo que la cantidad mxima de hosts es 216 - 2, o 65.534 hosts.
En una red de clase C, se asignan los tres primeros octetos para identificar la red,
reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que
la cantidad mxima de hosts es 28 - 2, 254 hosts.
Clase Rango N de
Redes
N de Host
Por Red
Mscara de
Red Broadcast ID
A 1.0.0.0 -
127.255.255.255 128 16.777.214 255.0.0.0 x.255.255.255
B 128.0.0.0 -
191.255.255.255 16.384 65.534 255.255.0.0 x.x.255.255
C 192.0.0.0 -
223.255.255.255 2.097.152 254 255.255.255.0 x.x.x.255
(D) 224.0.0.0 -
239.255.255.255 histrico
(E) 240.0.0.0 -
255.255.255.255 histrico
La direccin que tiene los bits de host iguales a cero sirve para definir la red en
la que se ubica. Se denomina direccin de red.
La direccin que tiene los bits correspondientes a host iguales a uno, sirve para
enviar paquetes a todos los hosts de la red en la que se ubica. Se denomina
direccin de broadcast.
Las direcciones 127.x.x.x se reservan para designar la propia mquina. Se
denomina direccin de bucle local o loopback.
Direcciones privadas
Hay ciertas direcciones en cada clase de direccin IP que no estn asignadas en
Internet y que se denominan direcciones privadas. Las direcciones privadas pueden ser
utilizadas por los hosts que no se conectan a Internet o por los hosts que usan
traduccin de direccin de red (NAT) en el router que sirve para conectarse a Internet.
En una misma red no pueden existir dos direcciones iguales, pero s se pueden
repetir en dos redes privadas que no tengan conexin entre s o que se conecten
mediante el protocolo NAT.
Las direcciones privadas son:
Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts).
Clase B: 172.16.0.0 a 172.31.255.255 (12 bits red, 20 bits hosts). 16 redes clase
B contiguas, uso en universidades y grandes compaas.
Clase C: 192.168.0.0 a 192.168.255.255 (16 bits red, 16 bits hosts). 256 redes
clase C contiguas, uso de compaas medias y pequeas adems de pequeos
proveedores de internet (ISP).
Mscara de subred
La mscara permite distinguir los bits que identifican la red y los que identifican
el host de una direccin IP.
Dada la direccin de clase A 10.2.1.2 sabemos que pertenece a la red 10.0.0.0 y
el host al que se refiere es el 2.1.2 dentro de la misma.
La mscara se forma poniendo a 1 los bits que identifican la red y a 0 los bits
que identifican el host. De esta forma una direccin de clase A tendr como mscara
255.0.0.0, una de clase B 255.255.0.0 y una de clase C 255.255.255.0.
Los dispositivos de red realizan un AND entre la direccin IP y la mscara para
obtener la direccin de red a la que pertenece el host identificado por la direccin IP
dada. Por ejemplo un router necesita saber cul es la red a la que pertenece la direccin
IP de destino para poder consultar la tabla de encaminamiento y poder enviar el paquete
por la interfaz de salida.
La mscara tambin puede ser representada de la siguiente forma 10.2.1.2/8
donde el /8 indica que los 8 bits ms significativos de mscara estn destinados a redes,
es decir /8 = 255.0.0.0. Anlogamente (/16 = 255.255.0.0) y (/24 = 255.255.255.0).
Asignacin de direcciones IP
Dependiendo de la implementacin concreta, el servidor DHCP tiene tres
mtodos para asignar las direcciones IP:
manualmente, cuando el servidor tiene a su disposicin una tabla que empareja
direcciones MAC con direcciones IP, creada manualmente por el administrador
de la red. Slo clientes con una direccin MAC vlida recibirn una direccin IP
del servidor. dinmicamente, el nico mtodo que permite la reutilizacin de direcciones IP.
El administrador de la red asigna un rango de direcciones IP para el DHCP y
cada ordenador cliente de la LAN tiene su software de comunicacin TCP/IP
configurado para solicitar una direccin IP del servidor DHCP cuando su tarjeta
de interfaz de red se inicie. El proceso es transparente para el usuario y tiene un
periodo de validez limitado.
Creacin de subredes (subnetting) y agregacin de redes
(supernetting)
El diseo de redes de clases (classful) sirvi durante la expansin de Internet, sin
embargo este diseo no era escalable y frente a una gran expansin de las redes en la
dcada de los noventa, el sistema de espacio de direcciones de clases fue reemplazado
por una arquitectura de redes sin clases Classless Inter-Domain Routing (CIDR) en el
ao 1993.
El espacio de direcciones de una red, por tanto, puede ser subdividido a su vez
creando subredes independientes separadas.
Un ejemplo de uso es cuando necesitamos agrupar todos los empleados
pertenecientes a un departamento de una empresa. En este caso crearamos una subred
que englobara las direcciones IP de stos.
Para conseguirlo hay que reservar bits del campo host para identificar la subred
estableciendo a uno los bits de red-subred en la mscara. Por ejemplo la direccin
192.168.1.1 con mscara 255.255.255.128 (o \25) nos indica que los tres primeros
octetos identifican la red (por ser una direccin de clase C), y el primer bit del cuarto
byte identifica la subred (a 1 los bits en la mscara) y los siete bits restantes identifica el
host (a 0 los bits correspondientes dentro de la mscara).
Hay dos direcciones de cada subred que quedan reservadas: aquella que
identifica la subred (campo host a 0) y la direccin para realizar broadcast en la subred
(todos los bits del campo host en 1).
De manera similar, la misma direccin con mscara 255.255.254.0 (o \23)
pertenecera a una red que agrupara en s misma dos clases C: 192.168.0.0 y
192.168.1.0
Router
Un router anglicismo tambin conocido como enrutador o encaminador de paquetes- es un dispositivo que proporciona conectividad a nivel de red en el modelo
OSI. Su funcin principal consiste en enviar o encaminar paquetes de datos de una red a
otra.
Generalmente, el router o gateway (puerta de enlace) est configurado para
hacer posible a las mquinas de una red local (LAN) conectadas a l de un acceso hacia
una red exterior, generalmente Internet. En caso de usar un ordenador como gateway,
necesariamente deber tener instaladas al menos 2 interfaces de red. En entornos
domsticos se suelen usar los routers ADSL como puertas de enlace para conectar la red
local domstica con Internet.
Si en un ordenador establezco el router como Puerta de enlace predeterminada,
cualquier peticin de ese ordenador que vaya dirigida hacia cualquier equipo fuera de la
red local atravesar ese router y llegar a Internet. Para salir a Internet, por tanto, es
necesario tener establecida Puerta de enlace predeterminada.
Si en un ordenador queremos prohibir el acceso a Internet, y sin embargo
queremos que siga teniendo acceso a otros equipos o redes distintas a la del propio
equipo, se debern establecer rutas estticas a esos destinos. Esto se implementa a travs
del comando route en los sistemas operativos de Microsoft.
Para realizar su funcin, un router ha de establecer una tabla de enrutamiento en
forma de una base de datos o archivo. Cuando los datos deben ser enviados desde un
nodo a otro de la red, se hace referencia a la tabla de enrutamiento con el fin de
encontrar la mejor ruta para la transferencia de informacin.
Una ruta consta de dos partes:
- Un destino al que llegar, bien sea una direccin nica o un conjunto de direcciones que forman una red
- Una puerta que enlaza con ese destino, que es una direccin de la misma red a la que pertenece el equipo en cuestin, pero que pertenece a un router que puede
re-direccionar hacia ese destino, a travs de un interfaz concreto, y en caso de
que puedan existir diferentes caminos posibles, con una mtrica que indica el
orden preferido para llegar a ese destino
Protocolos de enrutamiento dinmico
Al igual que ocurre con el direccionamiento IP, las rutas pueden fijarse
estticamente o aprenderse dinmicamente a travs de protocolos especficos como
pueden ser RIP, OSPF o BGP (para Internet)
Si queremos recibir y enviar dinmicamente informacin sobre los destinos que
cada router puede alcanzar, habr que establecer ese protocolo en una interfaz completa,
y configurar un mecanismo de autenticacin (con una contrasea, por ejemplo) si
queremos restringir el servicio.
Protocolo TCP: Establecimiento de conexiones
TCP es un protocolo de comunicacin orientado a conexin (que requiere del
establecimiento de una conexin, su mantenimiento y su finalizacin) y fiable del nivel
de transporte. Esto quiere decir que asegura la recepcin de cada secuencia de
informacin en su orden correcto, a diferencia del protocolo IP.
Para ello, TCP usa el concepto de nmero de puerto para identificar cada una de
las conexiones, tanto en el extremo del cliente (quien realiza la peticin de un servicio)
como en el extremo del servidor (quien ofrece ese servicio)
Cada lado de la conexin TCP tiene asociado un nmero de puerto (de 16 bits,
con lo que existen 65536 puertos posibles) asignado por la aplicacin emisora (cliente)
o receptora(servidor).
Las aplicaciones o programas que ofrecen un servicio se quedan a la escucha de
conexiones en un nmero de puerto convenido con anterioridad, y por tanto las
aplicaciones cliente han de realizar la conexin con ese puerto de destino. Algunos
ejemplos son: FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80).
Las aplicaciones de usuario, o clientes, utilizarn un nmero de puerto que no
est usado, generalmente a partir del 1024, reservando los puertos anteriores para
servicios comunes, aunque puede ocurrir que algn servicio se ofrezca en un puerto
superior al 1024, como por ejemplo el protocolo RDP de conexin remota de Microsoft,
que usa el puerto 3389.
Como ejemplo concreto, un cliente con Dir. IP 192.168.1.33 podra abrir una
aplicacin cliente de navegacin Web como Google Chrome y establecer una conexin
entre su direccin IP y la del Servidor Web de Google (podra utilizar un programa
servidor Apache, por ejemplo) en su direccin 74.125.132.94 utilizando un puerto de
destino libre, que podra ser, por ejemplo el 1076 y el puerto de destino al solicitar una pgina web- sera el 80.
Para poder consultar el estado de las conexiones en ordenadores con Sistemas
Operativos de Microsoft se utiliza el comando netstat.
Cortafuegos
Un cortafuegos (o firewall en ingls) es un parte de un sistema o una red que
est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo el
acceso autorizado a los distintos servicios ofrecidos a travs de una red de
comunicaciones.
Generalmente se bloquean por defecto todos los servicios ofrecidos al exterior, y
despus se realizan las excepciones para aquellos servicios concretos que se han de
ofrecer, a travs del nmero de puerto del servicio.
Un caso particular de cortafuegos es el personal, aquel que se instala como
software en un computador, filtrando las comunicaciones entre dicho computador y el
resto de la red. Es recomendable para uno mismo.
Ventajas de un cortafuegos:
- Protege de intrusiones: El acceso a ciertos segmentos de la red de una organizacin slo se permite desde mquinas autorizadas de otros segmentos de
la organizacin o de Internet.
- Proteccin de informacin privada: Permite definir distintos niveles de acceso a la informacin, de manera que en una organizacin cada grupo de usuarios
definido tenga acceso slo a los servicios e informacin que le son estrictamente
necesarios.
mbito de una excepcin: Se puede delimitar la direccin o conjunto de direcciones
(red) al que se le aplica la excepcin en el cortafuegos. Otras direcciones no tendrn
acceso a ese servicio.
Filtros o Listas de Control de Acceso (ACL)
Los router se sirven de filtros o listas de control de acceso (ACL) para identificar
y filtrar el trfico, consiguiendo una mejor administracin del trafico global de la red.
El filtrado de paquetes permite controlar el trfico que atraviesa el router. Una
lista de acceso es un listado secuencial de condiciones de permiso o prohibicin que se
aplican a direcciones IP o a servicios ofrecidos a travs de puertos TCP (o UDP en
algunos casos). Las listas de acceso comprueban tanto la direccin de origen como la de
destino de cada paquete. Tambin pueden verificar protocolos especificados, nmeros
de puerto y otros parmetros.
Las listas de acceso pueden aplicarse de las siguientes formas:
- Listas de acceso de entrada Los paquetes entrantes son procesados antes de ser enrutados. Si el paquete pasa
las pruebas de filtrado, ser procesado para su enrutamiento.
- Listas de acceso de salida Los paquetes entrantes siempre son enrutados, pero antes de dejar la interfaz de
salida son procesados por medio de la lista de acceso de salida antes de su
transmisin.
El proceso de comparacin puede ser:
A) Permitir la retransmisin de todos los paquetes excepto aquellos que estn en la lista de acceso.
B) Prohibir la retransmisin de todos los paquetes excepto aquellos que cumplen las condiciones establecidas en la lista de acceso.
C) Si no se ha definido uno de los anteriores mtodos, se suele definir una serie de reglas permitidas y una ltima regla que prohbe todo lo dems.
Traslacin de direcciones (NAT)
El principio de NAT consiste en utilizar una conexin de pasarela a Internet, que
tenga al menos una interfaz de red conectada a la red interna y al menos una interfaz de
red conectada a Internet (con una direccin IP vlida en Internet) para poder conectar
todos los equipos de la red local a Internet.
Por lo tanto, todos los equipos de la red local, cuando envan una solicitud a
Internet, envan esa peticin a su puerta de enlace predeterminada (el router) y entonces,
el router hace la solicitud en su lugar, recibe la respuesta y la enva al equipo que hizo la
solicitud.
Debido a que el router oculta completamente las direcciones internas en la red,
el mecanismo de conversin de direcciones mantiene a los equipos de la red
inaccesibles desde Internet. De hecho, para un observador externo de la red, todas las
solicitudes parecen provenir de la direccin IP del router.
Para poder compartir la direccin IP vlida en Internet, se utiliza la Conversin
de direcciones por puerto (PAT, Port Address Translation), es decir, la asignacin de
un puerto de origen diferente para cada solicitud, de manera que se pueda mantener una
correspondencia entre las solicitudes que provienen de la red interna y las respuestas de
los equipos en Internet, todas enviadas a la direccin IP del router.
Habr que especificar desde qu interfaz acceden los equipos de la red local y
establecer el NAT en el interfaz que el router muestra en Internet.
Redireccin o mapeo de puertos
La conversin de direcciones de red slo permite solicitudes provenientes de la
red interna hacia la red externa (Internet), con lo cual es imposible que un equipo desde
Internet enve un paquete a un equipo de la red interna. En otras palabras, los equipos de
la red interna no pueden funcionar como un servidor con respecto a la red externa.
Por esta razn, existe una extensin NAT llamada "redireccin de puertos" o
mapeo de puertos que consiste en configurar el router para enviar todos los paquetes
recibidos en un puerto particular a un equipo especfico de la red interna. Por lo tanto, si
desde Internet se necesita acceder a un servidor Web (puerto 80) que funciona en un
equipo 192.168.1.2, ser necesario definir una regla de habilitacin de puertos en el
router, con lo cual se redirigirn todos los paquetes TCP recibidos en el puerto 80 al
equipo 192.168.1.2