7 dispositivos b
TRANSCRIPT
1 ROUTERS
Routers en LAN y WAN.
Encaminadores ( Routers) Son dispositivos inteligentes que trabajan en el nivel de red del modelo de referencia OSI, por lo que son dependientes del protocolo particular de cada red. Envían paquetes de datos de un protocolo común, desde una red a otra.
Convierten los paquetes de información de la red de área local, en paquetes capaces de ser enviados mediante redes de área extensa. Durante el envío, el encaminador examina el paquete buscando la dirección de destino y consultando su propia tabla de direcciones, la cual mantiene actualizada intercambiando direcciones con los demás routers para establecer rutas de enlace a través de las redes que los interconectan. Los routers se pueden clasificar atendiendo a varios criterios:En función del área: 1) Locales: sirven para interconectar dos redes por conexión directa de los medios físicos
de ambas al router. 2) De área extensa: enlazan redes distantes. En función de la forma de actualizar las tablas de encaminamiento (routing): 1) Estáticos: La actualización de las tablas es manual. 2) Dinámicos: La actualización de las tablas las realiza el propio router automáticamente. En función de los protocolos que soportan: IPX, TCP/IP, AppleTalk, OSI , X.25, etc.En función del protocolo de encaminamiento que utilicen:
a) Routing Information Protocol (RIP): Permite comunicar diferentes sistemas que pertenezcan a la misma red lógica. Tienen tablas de encaminamiento dinámicas y se intercambian información según la necesitan. Las tablas contienen por dónde ir hacia los diferentes destinos y el número de saltos que se tienen que realizar. Pertenece al conjunto de protocolos de vector distancia, en el que la métrica es el nº de saltos. Esta técnica permite un nº máximo de saltos (15 entre hosts). Su principal desventaja, es que para determinar la mejor métrica, únicamente toma en cuenta el número de saltos, descartando otros criterios (ancho de Banda, congestión, carga, retardo, fiabilidad, etc.).
b) Exterior Gateway Protocol (EGP): Este protocolo permite conectar dos sistemas autónomos que intercambien mensajes de actualización. Se realiza un sondeo entre
1
los diferentes routers para encontrar el destino solicitado. Este protocolo sólo se utiliza para establecer un camino origen-destino; no funciona como el RIP determinando el número de saltos.
c) Open Shortest Path First Routing (OSPF): Está diseñado para minimizar el tráfico de encaminamiento, según el estado del enlace, permitiendo una total autentificación de los mensajes que se envían. Cada router tiene una copia de la topología de la red y cada equipo construye un árbol de encaminamiento independientemente. Además puede establecerse una división por áreas.
d) IS-IS: Encaminamiento OSI según las normativas ISO 9575, ISO 9542 e ISO 10589. El concepto fundamental es la definición de encaminamiento en un dominio y entre diferentes dominios. Dentro de un mismo dominio el encaminamiento se realiza aplicando la técnica de menor coste. Entre diferentes dominios se consideran otros aspectos como puede ser la seguridad.
Ventajas de los routers:- Seguridad. Permiten el aislamiento de tráfico, y los mecanismos de encaminamiento facilitan el proceso de localización de fallos en la red. - Flexibilidad. Las redes interconectadas con router no están limitadas en su topología, siendo estas redes de mayor extensión y más complejas que las redes enlazadas con bridge. - Soporte de Protocolos. Son dependientes de los protocolos utilizados, aprovechando de una forma eficiente la información de cabecera de los paquetes de red. - Relación Precio / Eficiencia. El coste es superior al de otros dispositivos, en términos de precio de compra, pero no en términos de explotación y mantenimiento para redes de una complejidad mayor. - Control de Flujo y Encaminamiento. Utilizan algoritmos de encaminamiento adaptativos (RIP, OSPF, etc), que gestionan la congestión del tráfico con un control de flujo que redirige hacia rutas alternativas menos congestionadas. Desventajas de los routers:- Lentitud de proceso de paquetes respecto a otros dispositivos de nivel de enlace. - Necesidad de gestionar el direccionamiento de red y el de nivel de enlace. - Precio superior.
Por su posibilidad de segregar tráfico administrativo y determinar las rutas más eficientes para evitar congestión de red, son una excelente solución para una gran interconexión de redes con múltiples tipos de LANs, MANs, WANs. Es una buena solución en redes de complejidad media, para separar diferentes redes lógicas, por razones de seguridad y optimización de las rutas.
Componentes. Arranque, conexión. Puertos y acceso remoto. Configuración, administración y seguridad.
Para el estudio de los componentes y procesos de arranque, conexión, configuración y administración de un router, tenemos que centrarnos en algún modelo concreto, ya que de otro modo tendríamos que generalizar y dejar a un lado los detalles particulares de esos procesos. Entre los distintos fabricantes y modelos existentes en el mercado, nos centramos particularmente en los routers de Cisco, entendiendo que los mecanismos serán parecidos a cualquier otro router del mercado, salvando las distancias.
2
Para entender el mecanismo de arranque de un router, podemos tomar como ejemplo la secuencia de arranque seguida por un router de la marca Cisco. Cuando un router de Cisco se enciende, pone en marcha el software del cargador de arranque (bootstrap) que es una pequeña rutina almacenada en la ROM y que se ejecuta cuando encendemos por primera vez el router. El cargador de arranque carga el sistema operativo de Cisco IOS en la memoria para arrancar el router y a continuación comprueba si existe algún archivo de configuración (setup). Cada vez que alguien configura el router, los valores se almacenan en el archivo de configuración, pero la primera vez que se arranca el router, no existe configuración alguna y se nos van pidiendo algunos datos como contraseñas de acceso, etc.El objetivo de estas rutinas de inicio, es realizar las comprobaciones de arranque, como la prueba POST, que es una prueba de autodiagnóstico.Vamos a analizar la conexión de routers Cisco, para ello es necesario saber cuáles son las interfaces de cada router que permiten las diferentes formas de conexión (serie, par trenzado,...) . Las conexiones serie pueden presentar dos tipos de interfaces DCE o DTE (las combinaciones posibles son: dos DCE, una de cada DCE-DTE o las dos interfaces DTE) y/o RJ45. Sabemos que para realizar una conexión serie entre dos routers, uno de ellos debe poseer un reloj con una frecuencia de sincronización que actúa como DCE y el otro debe actuar como DTE. Esto no impide, que en un router las dos interfaces serie actúen como DCE o DTE, si ambas son DCE en el router vecino que se le conecta debe existir una interfaz DTE o viceversa. Dependiendo del modelo de router tendremos unos puertos u otros (Ethernet-RJ45, consola-RJ45, AUX-RJ45, serie, etc).La configuración de cada router la hacemos a través del puerto de consola que conecta un puerto RJ45 del router con el puerto serie del ordenador. Podemos usar el software que lleven por defecto los sistemas Windows: Hyperterminal o cualquier otro programa que permita la conexión por puerto serie. Cuando se realice la conexión podremos comprobar en qué estado están los puertos serie, si actúan como DTE o DCE.
1°- Tomamos un router, le conectamos el cable de alimentación a corriente y le conectamos un cable de consola que une el puerto RJ45 del router con el puerto serie tipo DB9 (COM1 o COM2) que tiene nuestro ordenador. También se podría usar el puerto AUX (puerto auxiliar RJ45) en lugar del puerto de consola.
2°- Después de la conexión física, debemos acceder al router para configurarlo usando Hyperterminal o telnet, desde nuestro ordenador, con los parámetros adecuados:
3
Un aspecto interesante es el de la seguridad. Si el router está accesible fuera de un armario, cualquiera puede cambiar el cable de un puerto a otro. Por tanto, debemos establecer contraseñas para cada forma de acceso:
Las formas de acceder al router para su configuración, son tres, se representan en el siguiente dibujo de forma simbólica (AUX, CONSOLA o VTY con telnet):
De nada sirve poner contraseña al acceso a través del cable de consola, si dejamos abierta la puerta de acceso a través del puerto auxiliar. Cualquiera puede cambiar el cable del puerto console al de AUX y entrar al router (aunque no todos lo routers poseen un puerto auxiliar). El puerto de consola y el auxiliar, son puertos de administración, son puertos serie asíncronos y no están diseñados para networking (trabajo en red que realizan generalmente los puertos rj45 ethernet). Es necesario poseer uno de ellos para la configuración del router y la conexión se realiza con un puerto serie DB9 o DB25 del ordenador. La tercera forma de acceso sería a través de telnet abriendo un terminal vty una vez conectados a un puerto RJ45. La puerta administrativa que da acceso al modo privilegiado, y que permite cambios de la configuración, debe estar cerrada a través de contraseña.Para cambiar del modo normal al privilegiado usamos “enable”.En un principio suponemos que no existen contraseñas y borramos la configuración actual “erase startup-config” para elegir el nombre del router con “hostname nombre” y establecer contraseñas. Para el modo privilegiado se nos pide “Enter enable secret:” para el modo normal “Enter enable password:” y para el acceso por una interface de red se nos
4
pide “Virtual terminal password:”. Cuando no se especifique un secret password se usará el enable password.Router> enableRouter# erase startup-configRouter# reloadEnter host name[Router]: R6Enter enable secret: claseEnter enable password: ciscoEnter virtual terminal password: terminalConfigure SNMP Network Magnagement: [yes]: no.................................”vamos a abortar la configuración”CTRL + CLa configuración la hacemos desde el router usando “configure terminal”:Router> enableRouter# configure terminalRouter(config)# hostname R6R6(config)#enable password cisco (ahora para entrar en modo privilegiado, de > a #, tendremos que usar contraseña “cisco”)R6(config)# line console 0R6(config-line)# loginR6(config-line)# password console(ahora para entrar en modo consola tendremos que usar contraseña “console”. Para eliminar la contraseña usaremos “no password”)Para probar estas contraseñas salimos y al volver a entrar se nos solicitarán los passwords:R6(config-line)# exitR6(config)# exitR6# exitR6>exitComo estamos configurando el router a través del puerto de consola, al entrar:Password: consoleR6>Al cambiar al modo privilegiado:R6> enablePassword: ciscoR6#En este punto debemos volver a recordar, que solo hemos configurado la contraseña de acceso por puerto de consola. Por tanto, si cambiamos el cable al puerto contiguo auxiliar (AUX), entraremos al router sin que se nos solicite la contraseña, aunque para entrar en modo privilegiado siga pidiéndosenos otra contraseña. Realizamos la misma operación para cerrar el acceso por el puerto AUX:R6# configure terminalR6(config)# line aux 0R6(config-line)# loginR6(config-line)# password auxR6(config-line)# exitR6(config)#
5
Del mismo modo, debemos configurar el acceso por terminal virtual del router. Como en cada plataforma existen números distintos de líneas vty, se usa el intervalo 0 a 4 para especificar cinco líneas vty. Estas 5 sesiones telnet entrantes pueden ser simultáneas y puede establecerse la misma contraseña para las cinco, aunque puede establecerse un línea única:R6# configure terminalR6(config)# line vty 0 4R6(config-line)# password virtualR6(config-line)# exitR6(config)# R6(config)# exitR6# exitR6>exitPodemos entrar al archivo de configuración (running-config) y editar elementos, por ejemplo podemos mostrar un mensaje cuando se accede al router inicialmente. El banner que se muestra inicialmente, se escribe textualmente y para indicar su final de escritura elegimos un carácter. En este ejemplo elegimos el carácter 8, para indicar final de texto:R6(config)# banner motd 8Modo de texto
HOLA. Este es un espacio restringido8R6(config)# Si salimos del router, al volver a entrar, veremos el mensaje. Ahora vamos a ver cuáles son todos los cambios que hemos ido haciendo, para ello necesitamos ver el archivo de configuración (running-config):R6(config)# exitR6# show running-config..................veremos todos los passwords que hemos puesto.......................R6#Pero queremos evitar que los passwords se vean y tenemos que encriptarlos en el archivo de configuración:Router> enableRouter# configure terminalR6(config)# service password-encryptionR6(config)# exitR6# show running-config..................veremos todos los passwords que hemos puesto encriptados.......................Pero lamentablemente, aunque hemos dificultado el acceso indebido al router a terceras personas, el sistema de encriptación de CISCO ha sido descifrado fácilmente y es relativamente fácil encontrar páginas de Internet en las que podemos desencriptar cualquier contraseña. Si entramos en http://www.google.es y realizamos la búsqueda por ejemplo con las palabras clave: “crack password 7 cisco”, nos aparecen muchas páginas, elegimos una de ellas. Si cortamos y pegamos en esta página cualquiera de las contraseñas encriptadas que aparecen en el archivo de configuración, automáticamente nos aparece la contraseña desencriptada.Por tanto, de nada sirve poner trabas a los accesos indebidos al router, si en un momento de descuido alguien puede hacerse con información sobre la configuración o con el archivo de configuración para luego desencriptarlo.
6
Otro aspecto importantísimo es, que hasta ahora hemos realizado cambios en la configuración: hemos puesto un nombre al router, contraseñas de acceso por consola o puerto auxiliar, contraseña para el acceso al modo privilegiado, encriptado las contraseñas, etc. Nada de esto estaba configurado inicialmente, si salimos del router sin grabar los cambios que en este momento están reflejados en el archivo “running-config” de la RAM, todo se borrará (la RAM es volátil) y volveremos al estado inicial. Por tanto, debemos guardar los cambios en el archivo “startup-config” de la memoria flash (semejante al disco duro de un PC) para que los cambios se vuelvan a cargar cuando arranquemos el router:R6# copy running-config startup-configDestination filename [startup-config]? (si no ponemos nada y damos INTRO se supone que el nombre para almacenar la configuracion es “startup-config”, opción por defecto)
Por encima de la contraseña de “enable password” (pusimos “cisco”) existe la contraseña “enable secret”. Si la secret está configurada, se mira antes que la password. No está permitido poner la misma contraseña en las dos, daría error.R6(config)# enable secret classAhora la forma de acceder al modo privilegiado es con la contraseña “class”.
Como estamos configurando el router a través del modo de consola, vamos a provocar que después de 30 minutos de inactividad se cierre la consola por seguridad:R6(config)# line console 0R6(config-line)# logging synchronousR6(config-line)# exec-timeout 30 (por defecto está en 10 minutos)R6(config-line)# exitR6(config)#exitR6#wr (equivale a “copy running-config startup-config”)
En todo este proceso es importante recordar las siguientes acciones:erase startup-config borra la configuración actual de la memoria flashshow running-config muestra la configuración actualcopy running-config startup-config copia en el archivo de arranque la configuración actual, es equivalente a usar “copy run star” o tambien “wr”.Volvemos a insistir en que los cambios de configuración se van guardando en el archivo de configuración running-config, pero como se almacena en RAM al apagar el router, se borran los cambios. Salvo que antes de salir del router, grabemos los cambios en la configuración de arranque startup-config de la memoria no volátil (MEMORIA FLASH que actúa como si fuese un disco duro).
Enrutamiento estático. Tablas. En este punto se ha de recordar todo lo estudiado durante el segundo trimestre a cerca del direccionamiento IP, clases de IP, máscaras, puertas de enlace, etc. Y especialmente como se elaboran, consultan e interpretan las tablas de enrutamiento estático o dinámico de cada uno de los equipos y routers que forman parte de la red.
7
ACLs (Access Control List). Tipos.
DefiniciónUna ACL es una definición de control de acceso, que se especifica mediante el parámetro acl según alguna de las siguientes sintaxis: acl nombre_acl tipo_acl descripción acl nombre_acl tipo_acl "fichero_de_descripciones" .
Cuando optamos por la segunda opción, usamos un "fichero_de_descripciones", de tal forma que cada línea del fichero equivaldría a una descripción.
Tipos de ACL src Especifica una dirección origen de una conexión en formato IP/máscara. Por ejemplo, utilizaremos una acl de tipo src para especificar nuestra red local: acl ASIR1 src 192.168.2.0/24También podemos especificar rangos de direcciones mediante una acl de tipo src:acl profesores src 192.168.2.20-192.168.2.30/32
dst Especifica una dirección de destino de una conexión en formato IP/máscara.acl google_es dst 216.239.0.0/24También podemos especificar hosts concretos mediante una acl de tipo dst:acl google_es2 dst 216.239.9.10/32 216.239.3.4/32 216.239.5.6/32Las definiciones son idénticas a las acl de tipo src salvo que se aplican al destino de las conexiones, no al origen.
time Este tipo de acl permite especificar una franja horaria concreta dentro de una semana. La sintaxis es la siguiente:acl nombre_acl_horaria time [dias-abrev] [h1:m1-h2:m2] Donde la abreviatura del día es:S - Sunday (domingo), M - Monday (lunes) , T - Tuesday (martes), W – Wednesday (miércoles), H - Thursday (jueves), F - Friday (viernes), A - Saturday (sábado) además la primera hora especificada debe ser menor que la segunda, es decir h1:m1 tiene que ser menor que h2:m2Por ejemplo:acl horario_laboral time M T W H F 8:00-15:00Estaríamos especificando un horario de 8 a 15 y de lunes a viernes.
url_regex Sirve para especificar expresiones regulares (regex) que permitan comprobar una url completa, desde el prefijo http:// inicial. Por ejemplo, para establecer una acl que se verifique con todos los servidores cuyo nombre comience por www.empresa. usaríamos:acl servidores url_regex ^http://www.empresa.*
8
Otro ejemplo, para diseñar una acl que verifique las peticiones de ficheros mp3: acl ficheros_mp3 url_regex -i mp3$
Nota: las expresiones regulares son expresiones que admiten combinaciones de caracteres especiales (*,^,$, [, etc.) para construir una máscara que pueda representar un conjunto de elementos. Por ejemplo, un $ al final de una subcadena alfanumérica simboliza todos aquellas cadenas que terminen por esa cadena alfanumérica, así la máscara “ola$” aceptará como válidas : caracola, hola, pistola, etc., un asterisco “*”, sustituye a cualquier conjunto de caracteres alfanuméricos, por ejemplo “*ola*”, aceptará como válidas: molar, solar, viola, escolar, etc., un “^“ sirve para indicar las cadenas que comienzan por una determinada subcadena, etc.
srcdomain y dstdomain Sirven para especificar un nombre de dominio:- srcdomain es el dominio origen y se determina por resolución DNS inversa de la IP de la máquina, es decir, tendremos que tener bien configurado el DNS de la red local. - dstdomain indica el nombre del dominio que se comprueba sobre la petición de página web.Por ejemplo:acl ibm_com dstdomain ibm.com sirve para especificar una ACL que comprueba si el destino es el dominio ibm.com
srcdom_regex y dstdom_regex
Se usan para indicar una expresión regular que verifica los dominios origen o destino. La expresión regular hace distinción entre mayúsculas y minúsculas salvo que incluyamos la oción "-i" que evita dicha distinción.Por ejemplo:acl webs_todas dstdom_regex -i ^http://www.*Al incluir "-i" indicamos que no haga distinción entre mayúsculas y minúsculas. http_access Este es el parámetro que permite o deniega accesos a una o más acl.La sintaxis de uso es:http_access allow|deny [!]acl ...Observamos cómo cada acl puede ir precedida por un signo "!" que indicaría la negación de la acl, es decir que no se comprueba la verificación de la acl si no lo contrario de la misma.Por ejemplo, para permitir acceso fuera del horario laboral, según una acl que definimos anteriormente usaríamos:http_access allow ! horario_laboral Para denegar el acceso en horario laboral:http_access deny horario_laboralPara dar acceso completo a nuestra red localhttp_access allow ASIR1
- Características de http_access
9
Si no hay ninguna línea de acceso ACL, la acción predeterminada es denegar la petición. Si una petición no ha verificado ninguna línea de acceso, la acción que se realiza es la opuesta a la última línea de la lista. Si la última línea deniega entonces el valor predeterminado es permitir. Por este motivo es conveniente incluir una línea "deny all" o "allow all" al final de las listas de accesos para conseguir la regla deseada. De esta forma, si no se ha cumplido ninguna de las ACL, tenemos claro que para todas las demás situaciones restantes, por defecto estamos permitiendo o denegando el acceso. También es esencial, el orden y la forma en que añadimos los distintos parámetros http_access para determinar la comprobación. En primer lugar, todas las acl incluidas en una sola cláusula http_access se comprueban y todas ellas tendrán que verificarse conjuntamente, es decir, como si estuvieran unidas por un operador lógico AND. Después, los sucesivos parámetros http_access se evalúan individualmente, es decir, como si estuvieran unidos mediante un operador lógico OR. Veamos un ejemplo:acl red1 src 192.168.0.0/24acl red2 src 192.168.1.0/24 http_access allow red1 red2 permitiría el acceso a todas aquellas conexiones que procedieran a la vez de red1 y de red2, que probablemente no es lo que pretendemos, ya que no se puede realizar una solicitud de una dirección que pertenezca simultáneamente a dos redes diferentes. Para permitir acceso a las direcciones individuales de las dos redes tendríamos que usar:acl red1 src 192.168.0.0/24acl red2 src 192.168.1.0/24http_access allow red1http_access allow red2o también, de forma más compacta:acl redes src 192.168.0.0/24 192.168.1.0/24http_access allow redes
- Ejemplos de acl y http_access No permitir las peticiones de ficheros ejecutables de tipo exe, bat y cmd:acl tipoexe url_regex -i exe$ bat$ cmd$http_access deny tipoexeDenegar todos los ficheros de tipo exe que provengan de virus_fijo.com:acl anti_exe url_regex -i exe$acl vfijo srcdomain virus_fijo.comhttp_access deny anti_exe vfijoDenegar las conexiones a las url completas o incompletas que hay en el fichero "/etc/squid/lista_negra_1.txt":acl ln1 url_regex "/etc/squid/lista_negra_1.txt"http_access deny ln1 Ejemplos de ACL
10
- Una acl que verifica todos los equipos de la red. Puede parecer redundante, pero se va a utilizar posteriormente para establecer una política restrictiva o permisiva.acl todos src 0.0.0.0/0.0.0.0- Nuestra propia máquina como origen de conexiones:acl localhost src 127.0.0.1/255.255.255.255 - Nuestra propia máquina como destino de las conexiones:acl localhost_destino dst 127.0.0.0/8- Nuestra red como origen de conexiones:acl mired src 192.168.0.0/255.255.255.0
11