Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Unidad 7 Interconexión de redes privadas con redes públicas

Anuncio 
CFGM. Servicios en red
Unidad 7
Interconexión de redes privadas
con redes públicas
7
Interconexión de redes privadas con redes públicas
CONTENIDOS
1. Introducción
2. Tecnologías de acceso a Internet
3. Redes privadas virtuales (VPN)
4. Servicio de cortafuegos
5. El servidor proxy-caché
6. Cortafuegos y proxy-caché en Windows
2
7
Interconexión de redes privadas con redes públicas
1. Introducción
En pleno desarrollo de las sociedades del conocimiento, Internet se ha convertido en el medio más importante a la
hora de distribuir información. Por eso, todas las empresas quieren estar presentes en ese nuevo medio y utilizarlo.
Sin embargo, la información requiere un tratamiento distinto.
Por una parte, hay que distinguir entre la expuesta en la web corporativa y la confidencial, reservada a proveedores,
clientes, patentes, etcétera, que requiere mayores medidas de seguridad.
Cualquier persona no autorizada puede comprometer la fiabilidad de toda la red en el caso de que los diferentes
servicios no estén correctamente configurados y protegidos.
A la hora de establecer el paso de una red
privada a otra pública, hay que conocer muy
bien las características de las tecnologías de
acceso conmutado o dedicado.
Asímismo, habrá que establecer unas medidas
de seguridad mínimas para crear un servicio
perimetral con un cortafuegos y un servidor
proxy-caché con los que controlar los accesos
internos de los empleados en la zona exterior
de la intranet.
También habrá que configurar y controlar los
accesos de visitantes o posibles atacantes
externos a los servicios web, FTP y correo
electrónico que la empresa ofrezca.
3
Comparativa entre los servicios prestados por las operadoras
y el ancho de banda necesario
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
 Líneas de acceso conmutado (LAC)
Necesitan establecer una llamada entre ambos extremos para realizar la comunicación.
•
•
•
•
•
Red Telefónica Conmutada o Red Telefónica Básica (RTC/RTB).
Red Digital de Servicios Integrados (RDSI).
Sistemas de telefonía móvil analógicos (NMT/AMPS/TACS).
Sistema Global de Comunicaciones Móviles (GSM).
Servicio General de Paquetes por Radio Mejorado (EGPRS/EDGE).
 Líneas de acceso dedicado (LAD)
En todo momento se mantienen activas, se dispone de la capacidad de transmisión de forma permanente,
sin que sea preciso establecer una llamada previa.
•
•
•
•
•
•
•
•
•
•
4
La familia de tecnologías de línea de abonado digital (xDSL).
Redes mixtas de TV e Internet por cable (CATV).
Conexión por cable eléctrico (PLC/BPL).
Redes de fibra hasta el hogar (fTTx).
Vía satélite (VSAT).
Servicio de distribución multipunto (LMDS/MMDS).
Redes metropolitanas inalámbricas (WiMaX).
Sistema de telefonía móvil universal (UMTS/WCDMA).
Sistema de telefonía móvil universal avanzado (HSDPA/HSUPA).
Sistema de telefonía móvil sobre IP (LTE/SAE).
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.1. Red de telefonía conmutada (RTC/RTB)
Se trata de una red de banda estrecha que funciona de manera analógica sobre un par trenzado de cobre, del
cual solo utiliza dos hilos: uno para transmisión (TX) y otro para recepción (RX). Durante mucho tiempo se ha
utilizado para enviar mensajes de voz, si bien a finales del siglo XX se adaptaron para el envío de datos desde
ordenadores.
2.2. Red digital de servicios integrados (RDSI)
Al igual que la anterior, funciona sobre un
par trenzado de cobre, aunque en este
caso de manera digital.
Normaliza e integra los servicios
disponibles hasta su aparición (incluidos el
de voz y datos), con señales digitales entre
el emisor y el receptor durante todo el
trayecto.
Constituye una evolución natural del
proceso de mejora de la calidad del servicio
a través de la digitalización de todos los
elementos que intervienen en la red.
5
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.3. Familia de tecnologías de línea de abonado digital (xDSL)
Este conjunto de tecnologías, conocido por las siglas xDSL (Digital Subscriber Line), engloba la conocida ADSL,
así como otras más especializadas (CDSL, HDSL, SDSL, VDSL, etcétera). Utilizan el bucle de abonado actual de
las tecnologías RTC o RDSI, sobre las que trabajan para convertirlo en una línea digital de banda ancha,
aprovechando la parte que no utilizan debido a que el canal de voz tan solo usa una mínima parte del mismo.
Cada una de estas tecnologías xDSL, tanto simétricas (muy interesantes para empresas que tienen mucho
tráfico de subida a Internet) como asimétricas (para clientes finales que descargan mucho más de lo que suben)
posee unas prestaciones muy distintas. Conviene tener en cuenta que la calidad de la transmisión con cable de
cobre empeora a medida que aumenta la distancia respecto a la central.
La más adecuada para un uso doméstico de acceso a Internet es la llamada ADSL. Una vez comprobada su
viabilidad y que el marco regulatorio permitió su despliegue comercial, ha tenido un gran éxito. Al cabo de muy
poco tiempo se creó una segunda versión, denominada ADSL2, que no llegó a comercializarse a causa de la
inmediata puesta en marcha de la actual ADSL2+.
6
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.3. Familia de tecnologías de línea de abonado digital (xDSL)
 Esquema de conexión de un ordenador cliente a Internet mediante tecnología ADSL:
7
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.4. Conexión por cable eléctrico (PLC/BPL)
Aunque experimentó un cierto auge durante los primeros años del siglo XXI, el coste que supone la inversión en
infraestructura para las empresas eléctricas y su lenta implantación la han relegado a un segundo plano. En la
actualidad se utiliza para cablear redes locales aprovechando la instalación eléctrica disponible. La parte de banda
ancha sobre líneas de energía (BPL, Broadband over Power Lines) no ha llegado a implantarse.
8
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.5. Redes de fibra hasta el hogar (FTTx)
Aunque esta tecnología, conocida también como fTTH (fiber To The Home), pretende llegar hasta
la casa del abonado, el despliegue de fibra en la red de acceso del operador se conoce como
FTTx, donde la x indica el alcance conseguido del tendido. Debido al coste de su implantación,
esta es progresiva.
En la tabla siguiente se indican las fases correspondientes:
9
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.6. Redes mixtas de TV e Internet por cable (CATV)
Desde la liberalización del mercado en el año 2000, las operadoras han realizado grandes inversiones en la
construcción de sus propias redes troncales de fibra óptica así como de los bucles de abonado de cable coaxial.
El cable módem se conecta a la toma coaxial que el operador haya instalado –una toma de terminación (o receptor)
del sistema CMTS (Cable Modem Termination System) en su extremo (Head-End)–, mientras que la conexión al
ordenador del usuario se realiza a través de un puerto Ethernet RJ45 o de la entrada WAN de un router neutro, en el
caso de que se deba repartir la señal para toda la red local.
10
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.7. Vía satélite (VSAT)
Esta tecnología puede utilizarse en el caso de que no sea posible aprovechar las otras a causa de la distancia
entre las viviendas y las centrales o las antenas. También se emplea para embarcaciones que se hallen en una
situación similar.
Existen dos tipos de módems para la conexión por satélite en función de la conexión a Internet contratada:
11
•
Los módems unidireccionales (sat­módem): solo pueden recibir datos, ya que cuentan con un único canal
de entrada llamado directo (forward). En el caso de que se quieran enviar y recibir datos desde Internet,
habrá que disponer además de una conexión terrestre.
•
Los módems bidireccionales
(astromódem): reciben y envían
datos. Además del canal de
entrada, cuentan con otro de
retorno (subida o uplink) vía
satélite. Aunque resultan más
caros, no requieren una conexión
adicional.
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.8. Servicio de distribución multipunto (LMDS/MMDS)
Inventada en 1986, esta tecnología se basa
en la distribución de señales de vídeo
analógico mediante la emisión de radio en
frecuencia descubierta por Bernard Bossard.
La tecnología LMDS/MMDS forma parte de
los sistemas de comunicación mediante radio
fija, en los que las antenas de ambos
extremos de la comunicación se encuentran
siempre en el mismo lugar.
Este servicio se organiza mediante
estaciones base y celdas, de manera que
exista una estación base del operador por
cada área de servicio que da cobertura a
cada celda.
12
7
Interconexión de redes privadas con redes públicas
2. Tecnologías de acceso a Internet
2.9. Redes de área metropolitanas inalámbricas (WiMaX)
Las redes WiMaX se basan en el estándar del protocolo IEEE 802.16, inventado en 1996 y publicado por
primera vez en 2002, que define las redes metropolitanas inalámbricas, con rangos de trabajo de 66 GHz.
Las zonas Wifi creadas utilizando esta tecnología poseen un radio de cobertura que puede abarcar decenas
de kilómetros. Su utilización se ha popularizado, de tal forma que actualmente podemos encontrarlas en
muchos lugares públicos.
13
7
2. Tecnologías de acceso a Internet
Interconexión de redes privadas con redes públicas
2.10. Sistemas de telefonía móvil
 1G sistemas analógicos incompatibles previos al GSM: Eran de alcance regional e incompatibles entre sí. Todos
constituían una versión avanzada de la radio de la policía, de la que se diferenciaban tan solo por el uso de pequeñas
antenas que cubrían áreas muy reducidas.
 2G sistema global para las comunicaciones móviles (GSM): El GSM, o Global System for Mobile, es un sistema
compatible de telefonía móvil digital de segunda generación que permite la transmisión de voz y datos. Hoy en día lo
utilizan los teléfonos móviles digitales de todo el mundo. La línea no está vinculada al teléfono sino a una tarjeta SIM.
 2,5G servicio general de paquetes por radio mejorado (EGPRS/EDGE): Se trata de una tecnología incrustada que
utiliza las redes GSM existentes. Permite una capacidad de transmisión mayor –hasta 384 Kbps, en comparación con los
115 Kbps del GPRS y los escasos 9,6 Kbps de GSM–, lo cual mejora la comunicación basada en paquetes y optimiza el
tráfico de datos.
 3G sistema de telefonía móvil universal (UMTS): Surgió en 1998 con el propósito de crear un estándar único de
telefonía móvil en todo el mundo. Posee una velocidad máxima de 2 Mbps y ha cambiado los procedimientos actuales de
contratación y facturación en el sector: se ha pasado de pagar los servicios en función del tiempo consumido a hacerlo
según la cantidad de información transmitida o de acuerdo con tarifas planas.
 3,5G sistema de telefonía móvil universal avanzada (HSDPA/HSUPA): A causa de la demanda de una banda
ancha mayor en los dispositivos móviles, se han desarrollado varias optimizaciones del UMTS. La tecnología de
acceso descendente de paquetes a alta velocidad (High Speed Downlink Packet Access, HSDPA) consiste en un nuevo
canal de bajada de hasta 14 Mbps. En cambio, para la subida se ha creado HSUPA (High-Speed Uplink Packet Access),
protocolo de acceso de hasta 7,2 Mbps.
14
 4G sistema de telefonía móvil sobre IP (LTE/SAE): Aún en desarrollo, esta tecnología convergerá con las
infraestructuras de telefonía IP mediante sistemas de voz sobre IP (VoIP) para migrar de manera definitiva a la versión 6
del protocolo de Internet. LTE (Long Term Evolution) y SAE (Service Architecture Evolution) pretenden alcanzar
velocidades superiores a los 60 Mbps.
7
Interconexión de redes privadas con redes públicas
3. Redes privadas virtuales (VPN)
Conocidas también como Virtual
Private Networks (VPN), constituyen la
tecnología más utilizada por las
empresas para crear redes que
aprovechan estructuras o redes
públicas (en muchos casos, la propia
red de Internet) para el envío de datos
privados.
Es decir, forman una red virtual con
segmentos físicos de red local propia,
separados en la distancia pero que
aprovechan infraestructuras públicas
de tipo WAN.
Las VPN utilizan protocolos de
autenticación y tunelización, así como
de encriptación y compresión de datos,
para que la red lógica virtual resultante
sea lo más segura, fiable y óptima
posible.
15
7
Interconexión de redes privadas con redes públicas
4. Servicio de cortafuegos
Un cortafuegos actúa como una barrera o un muro de protección situado entre una red interna privada (intranet) y
otra red externa e insegura como es Internet. Al instalarlo, se establece un conjunto de mecanismos de defensa en
la máquina (servidor) utilizada para acceder a Internet; de esa forma quedan protegidas todas las máquinas que hay
detrás de dicho servidor.
Hay cortafuegos que funcionan por hardware y otros que funcionan por software. Por ejemplo, en el caso de una
conexión a Internet ADSL2+ mediante un router, este puede actuar como cortafuegos (por hardware).
Si la conexión a Internet se realiza vía módem o módem-cable, se deberá instalar en el servidor un programa
cortafuegos, ya que no disponen de esa funcionalidad.
Los objetivos del servicio de cortafuegos son los siguientes:
a) Garantizar que no se podrá acceder a los recursos internos desde el exterior sin
permiso (archivos compartidos, impresoras de red, etcétera).
b) Filtrar los paquetes de entrada y salida, permitiendo o denegando el acceso según su
origen o destino, tanto en lo que respecta a la IP como a los puertos.
c) Utilizar herramientas de software para llevar un control sobre el tráfico de la red.
16
7
Interconexión de redes privadas con redes públicas
4. Servicio de cortafuegos
4.1. Filtrado de paquetes
Esta técnica permite examinar la dirección IP así como los puertos de E/S de origen y destino de cada paquete
(en concreto, estudia la cabecera). Después, mediante un conjunto de reglas, los acepta o rechaza.
Las reglas se utilizan para cerrar el tráfico de paquetes hacia determinados puertos y solo dejar abiertos, única y
exclusivamente, los que necesitan los servicios activados.
Se pueden plantear diferentes situaciones de partida según las necesidades de cada organización:
1.Red perimetral: es el modelo más seguro,
costoso y completo. Requiere de una experiencia
mayor a la hora de configurarla, ya que podemos
intercalar tantos cortafuegos en cascada como la
empresa requiera. Dispone de al menos dos
equipos estranguladores que encierran la DMZ
(Zona desmilitarizada) en un espacio intermedio
menos restrictivo que la intranet.
17
7
Interconexión de redes privadas con redes públicas
4. Servicio de cortafuegos
4.1. Filtrado de paquetes
18
2.
DMZ expuesta: no dedica recursos a proteger
los servidores públicos de la empresa; solo se
centra en blindar la intranet.
3.
DMZ protegida o cortafuegos compartido: el
modelo más básico y menos costoso, pero
menos seguro, pues exige que la DMZ y la
intranet tengan el mismo nivel de seguridad.
7
Interconexión de redes privadas con redes públicas
4. Servicio de cortafuegos
4.2. Configuración en GNU/Linux
GNU/Linux está implementado y optimizado para funcionar como cortafuegos, ya que lo lleva incluido en el
propio núcleo (kernel) para el que se definen las reglas que especifican los paquetes a los que se permite
entrar o salir en la red interna (local) y lo que puede hacerse (objetivos) con los que cumplen las reglas.
Desde las versiones del núcleo 2.4.x y posteriores, el filtrado se efectúa mediante la herramienta iptables,
integrada en el módulo del núcleo Netfilter.
El filtrado de paquetes en GNU/Linux se hace desde el propio núcleo, activándose como módulo cuando se
necesita, y de forma estática, es decir, durante el proceso de inicio del sistema. En concreto, el filtro de red de los
núcleos de la familia 2.6.x o superiores utiliza las siguientes tablas o listas de reglas:
• Filtrador de paquetes (filter): la tabla por defecto más básica, utilizada para efectuar el filtrado de paquetes de
entrada, reenvío y salida.
• Traducción de direcciones de red (nat): la tabla que utiliza el enmascaramiento para que otras máquinas se
conecten a una serie de servicios a través de la IP del cortafuegos. Para ello modifica la cabecera de los
paquetes.
• Alteración de paquetes (mangle): manipula el estado de un paquete.
Todas estas tablas tienen un grupo de cadenas internas o de cortafuegos que permiten comprobar si el paquete
cumple alguna de ellas. Las cadenas determinan las acciones que ejecutará el filtro de red sobre el paquete. El
orden en que se escriben (ejecutan) estas reglas es muy importante.
19
Si el paquete no cumple la primera regla, pasa a la siguiente. Si la cumple, la regla decide qué se hace con el
paquete recibido; si no la cumple, pasa a la siguiente y se repite el proceso hasta que se llega a la última regla,
que es la que se aplica por defecto.
7
Interconexión de redes privadas con redes públicas
4. Servicio de cortafuegos
4.2. Configuración en GNU/Linux
Para la tabla filtrador de paquetes
(filter) existen las siguientes cadenas
internas:
• paquetes entrantes (INPUT).
• paquetes redirigidos (FORWARD).
• paquetes salientes (OUTPUT).
Para la tabla de traducción de dirección
de red (nat), existen las siguientes
cadenas internas:
• paquetes preenrutados (PREROUTING).
• paquetes salientes (OUTPUT).
• paquetes postrutados (POSTROUTING).
20
7
Interconexión de redes privadas con redes públicas
4. Servicio de cortafuegos
4.2. Configuración en GNU/Linux
Los paquetes recibidos o enviados desde un sistema GNU/Linux siempre deben cumplir las reglas de una
tabla. Cuando un paquete cumple una regla particular en una de las tablas se le asigna un objetivo.
Los objetivos de iptables son los siguientes:
21
7
Interconexión de redes privadas con redes públicas
5. El servidor proxy-caché
Con esta denominación se conoce al servidor cuyo objetivo es la centralización del tráfico entre Internet y una
red local. Actúa como una pasarela a nivel de aplicación. De esa forma, cada uno de los ordenadores de la red
local no tiene necesidad de disponer de una conexión directa a Internet. También se utiliza para controlar los
accesos no permitidos desde Internet hacia la red local.
La utilización de un servidor proxy­caché proporciona las siguientes ventajas:
•
•
•
•
22
Mayor velocidad de navegación.
Uso más eficiente de la línea de conexión con Internet.
Cortafuegos de contenidos.
Filtrado de servicios.
7
Interconexión de redes privadas con redes públicas
5. El servidor proxy-caché
5.1. Funcionamiento del proxy-caché
23
7
Interconexión de redes privadas con redes públicas
5. El servidor proxy-caché
5.2. Configuración en Ubuntu GNU/Linux
La herramienta software Squid es el servidor
proxy-caché más extendido entre las diferentes
distribuciones basadas en GNU/Linux.
En la actualidad, la versión 2.7 es la más
estable, si bien la 3.0 se halla en pleno
desarrollo. Puede hacer de proxy-caché con los
protocolos HTTP, FTP y SSL, y también de
proxy transparente, para lo que se puede utilizar
como caché para DNS.
Su principal función, no obstante, consiste en
soportar el protocolo ICP (Internet Cache
Protocol), que permite la integración y
comunicación de servidores caché. Además,
puede establecer una jerarquía, de manera que
el fallo de un servidor caché se supla con la
colaboración de los restantes.
24
7
Interconexión de redes privadas con redes públicas
5. El servidor proxy-caché
5.3. Monitorización
Existen varios mecanismos con los que llevar a cabo un seguimiento de la actividad de Squid, como los
propios archivos de log y herramientas específicas que, haciendo uso de la información almacenada, generan
informes completos de actividad.
 Archivo /var/log/squid/cache.log
Para saber si Squid funciona de manera correcta, basta con visualizar las últimas entradas de este archivo, en
el que se reflejan todas las incidencias en el arranque del servicio, así como diversos problemas de
funcionamiento e incidencias en la parada del servicio. Para visualizar las últimas entradas del archivo se
utiliza la orden: # tail /var/log/squid/cache.log
 Archivo /var/log/squid/access.log
Contiene todas las peticiones servidas por el proxy a los navegadores web (clientes). Se puede consultar de
la forma siguiente: # more access.log | grep DENIED
Las líneas de este archivo de log contienen una serie de códigos que empiezan por TCP_ para indicar que se
trata de peticiones HTTP. Los códigos más usuales son los siguientes:
25
7
Interconexión de redes privadas con redes públicas
5. El servidor proxy-caché
5.3. Monitorización
 Calamaris: visor de logs
Esta aplicación está escrita en lenguaje Perl y genera informes de actividad de la caché (en formatos HTML y
ASCII) a partir de los archivos de informes (log) de Squid.
Para instalarla ejecutaremos, con permisos de administración, la siguiente orden:
# apt-get install calamaris
El archivo de configuración de Calamaris es /etc/calamaris/calamaris.conf. Permite establecer el tipo de
periodicidad con que se desea obtener los informes.
Una vez instalada la aplicación, desde un navegador web
que soporte acceso a puertos, se accede a Webmin
desde la URL https://localhost:10000/ y, desde allí, a
Calamaris a través del siguiente itinerario: Servidores >
Squid > Servidor Proxy > Análisis de histórico de
Calamaris.
26
7
Interconexión de redes privadas con redes públicas
6. Cortafuegos y proxy-caché en Windows
Por lo general, el servicio de cortafuegos de las aplicaciones Windows incluye una opción que permite
controlar los contenidos. De este modo, además de filtrarse el caudal de información procedente de una
determinada dirección IP o recibida a través de un puerto mediante un conjunto de reglas, el control de
contenidos también permite aplicar reglas o filtros a un nivel superior, analizando el contenido de la
información.
La restricción o filtrado puede hacerse en los dos sentidos, es decir, desde el exterior hacia nuestra máquina
(información de entrada) o desde nuestra máquina hacia el exterior (información de salida).
Las reglas establecidas se ordenan según su
importancia, y el cortafuegos las aplica en orden
secuencial (se aplica la primera, luego la segunda,
etcétera). Hay que tener cuidado a la hora de
establecerlo, ya que las últimas reglas pueden
entrar en contradicción con las anteriores.
Existen gran cantidad de aplicaciones de este tipo para
Windows en general. En este manual, recomendamos
Outpost Firewall Pro
(http://www.outpost-es.com/download/outpostpro.html),
de uso muy sencillo y eficaz a la hora de cubrir las
necesidades de seguridad del aula o de una PYME.
También existe una versión gratuita más básica en:
http://free.agnitum.com/
27
7
Interconexión de redes privadas con redes públicas
Créditos:
Autores del libro del alumno
Elvira Mifsud Talón y Raül V. Lerma-Blasco
Edición
Estudio177.com
Eugenia Arrés López
28
Documentos relacionados
definición de conceptos.pdf
definición de conceptos.pdf
Ejercicios - CriptoRed
Ejercicios - CriptoRed
DISPOSITIVOS DE COMUNICACIÒN
DISPOSITIVOS DE COMUNICACIÒN
CERDO CANTIDAD PRODUCIDA (PAQUETES) CANTIDAD
CERDO CANTIDAD PRODUCIDA (PAQUETES) CANTIDAD
UNIDAD I. CUESTIONARIO 1. ¿Qué son las tecnologías de internet
UNIDAD I. CUESTIONARIO 1. ¿Qué son las tecnologías de internet
Descargar
Anuncio
Anuncio