Unidad 7 Interconexión de redes privadas con redes públicas CFGM. Servicios en red.

Unidad 7Interconexión de redes privadascon redes públicas

CFGM. Servicios en red

7 Interconexión de redes privadas con redes públicas

2

CONTENIDOS

1. Introducción

2. Tecnologías de acceso a Internet

3. Redes privadas virtuales (VPN)

4. Servicio de cortafuegos

5. El servidor proxy-caché

6. Cortafuegos y proxy-caché en Windows


3

1. Introducción

Comparativa entre los servicios prestados por las operadorasy el ancho de banda necesario

En pleno desarrollo de las sociedades del conocimiento, Internet se ha convertido en el medio más importante a la hora de distribuir información. Por eso, todas las empresas quieren estar presentes en ese nuevo medio y utilizarlo. Sin embargo, la información requiere un tratamiento distinto.

Por una parte, hay que distinguir entre la expuesta en la web corporativa y la confidencial, reservada a proveedores, clientes, patentes, etcétera, que requiere mayores medidas de seguridad.

Cualquier persona no autorizada puede comprometer la fiabilidad de toda la red en el caso de que los diferentes servicios no estén correctamente configurados y protegidos.

A la hora de establecer el paso de una red privada a otra pública, hay que conocer muy bien las características de las tecnologías de acceso conmutado o dedicado.

Asímismo, habrá que establecer unas medidas de seguridad mínimas para crear un servicio perimetral con un cortafuegos y un servidor proxy caché con los que controlar los accesos internos de los empleados en la zona exterior de la intranet.

También habrá que configurar y controlar los accesos de visitantes o posibles atacantes externos a los servicios web, FTP y correo electrónico que la empresa ofrezca.


4


Líneas de acceso conmutado (LAC)

Líneas de acceso dedicado (LAD)

Necesitan establecer una llamada entre ambos extremos para realizar la comunicación.

• Red Telefónica Conmutada o Red Telefónica Básica (RTC/RTB).• Red Digital de Servicios Integrados (RDSI). • Sistemas de telefonía móvil analógicos (NMT/AMPS/TACS).• Sistema Global de Comunicaciones Móviles (GSM).• Servicio General de Paquetes por Radio Mejorado (EGPRS/EDGE).

En todo momento se mantienen activas, se dispone de la capacidad de transmisión de forma permanente, sin que sea preciso establecer una llamada previa.

• La familia de tecnologías de línea de abonado digital (xDSL). • Redes mixtas de TV e Internet por cable (CATV). • Conexión por cable eléctrico (PLC/BPL). • Redes de fibra hasta el hogar (fTTx).• Vía satélite (VSAT). • Servicio de distribución multipunto (LMDS/MMDS). • Redes metropolitanas inalámbricas (WiMaX). • Sistema de telefonía móvil universal (UMTS/WCDMA). • Sistema de telefonía móvil universal avanzado (HSDPA/HSUPA). • Sistema de telefonía móvil sobre IP (LTE/SAE).


5


2.1. Red de telefonía conmutada (RTC/RTB)Se trata de una red de banda estrecha que funciona de manera analógica sobre un par trenzado de cobre, del cual solo utiliza dos hilos: uno para transmisión (TX) y otro para recepción (RX). Durante mucho tiempo se ha utilizado para enviar mensajes de voz, si bien a finales del siglo XX se adaptaron para el envío de datos desde ordenadores.

2.2. Red digital de servicios integrados (RDSI)

Al igual que la anterior, funciona sobre un par trenzado de cobre, aunque en este caso de manera digital.

Normaliza e integra los servicios disponibles hasta su aparición (incluidos el de voz y datos), con señales digitales entre el emisor y el receptor durante todo el trayecto.

Constituye una evolución natural del proceso de mejora de la calidad del servicio a través de la digitalización de todos los elementos que intervienen en la red.


6


2.3. Familia de tecnologías de línea de abonado digital (xDSL)Este conjunto de tecnologías, conocido por las siglas xDSL (Digital Subscriber Line), engloba la conocida ADSL, así como otras más especializadas (CDSL, HDSL, SDSL, VDSL, etcétera). Utilizan el bucle de abonado actual de las tecnologías RTC o RDSI, sobre las que trabajan para convertirlo en una línea digital de banda ancha, aprovechando la parte que no utilizan debido a que el canal de voz tan solo usa una mínima parte del mismo.

Cada una de estas tecnologías xDSL, tanto simétricas (muy interesantes para empresas que tienen mucho tráfico de subida a Internet) como asimétricas (para clientes finales que descargan mucho más de lo que suben) posee unas prestaciones muy distintas. Conviene tener en cuenta que la calidad de la transmisión con cable de cobre empeora a medida que aumenta la distancia respecto a la central.

La más adecuada para un uso doméstico de acceso a Internet es la llamada ADSL. Una vez comprobada su viabilidad y que el marco regulatorio permitió su despliegue comercial, ha tenido un gran éxito. Al cabo de muy poco tiempo se creó una segunda versión, denominada ADSL2, que no llegó a comercializarse a causa de la inmediata puesta en marcha de la actual ADSL2+.


7


2.3. Familia de tecnologías de línea de abonado digital (xDSL)

Esquema de conexión de un ordenador cliente a Internet mediante tecnología ADSL:


8


2.4. Conexión por cable eléctrico (PLC/BPL)

Aunque experimentó un cierto auge durante los primeros años del siglo XXI, el coste que supone la inversión en infraestructura para las empresas eléctricas y su lenta implantación la han relegado a un segundo plano. En la actualidad se utiliza para cablear redes locales aprovechando la instalación eléctrica disponible. La parte de banda ancha sobre líneas de energía (BPL, Broadband over Power Lines) no ha llegado a implantarse.


9


2.5. Redes de fibra hasta el hogar (FTTx)

Aunque esta tecnología, conocida también como fTTH (fiber To The Home), pretende llegar hasta la casa del abonado, el despliegue de fibra en la red de acceso del operador se conoce como FTTx, donde la x indica el alcance conseguido del tendido. Debido al coste de su implantación, esta es progresiva.

En la tabla siguiente se indican las fases correspondientes:


10


2.6. Redes mixtas de TV e Internet por cable (CATV)

Desde la liberalización del mercado en el año 2000, las operadoras han realizado grandes inversiones en la construcción de sus propias redes troncales de fibra óptica así como de los bucles de abonado de cable coaxial.

El cable módem se conecta a la toma coaxial que el operador haya instalado –una toma de terminación (o receptor) del sistema CMTS (Cable Modem Termination System) en su extremo (Head End)–, mientras que la conexión al ordenador del usuario se realiza a través de un puerto Ethernet RJ45 o de la entrada WAN de un router neutro, en el caso de que se deba repartir la señal para toda la red local.


11


2.7. Vía satélite (VSAT)

Esta tecnología puede utilizarse en el caso de que no sea posible aprovechar las otras a causa de la distancia entre las viviendas y las centrales o las antenas. También se emplea para embarcaciones que se hallen en una situación similar.

Existen dos tipos de módems para la conexión por satélite en función de la conexión a Internet contratada:

• Los módems unidireccionales (sat módem): solo pueden recibir datos, ya que cuentan con un único canal de entrada llamado directo (forward). En el caso de que se quieran enviar y recibir datos desde Internet, habrá que disponer además de una conexión terrestre.

• Los módems bidireccionales (astromódem): reciben y envían datos. Además del canal de entrada, cuentan con otro de retorno (subida o uplink) vía satélite. Aunque resultan más caros, no requieren una conexión adicional.


12


2.8. Servicio de distribución multipunto (LMDS/MMDS)

Inventada en 1986, esta tecnología se basa en la distribución de señales de vídeo analógico mediante la emisión de radio en frecuencia descubierta por Bernard Bossard. La tecnología LMDS/MMDS forma parte de los sistemas de comunicación mediante radio fija, en los que las antenas de ambos extremos de la comunicación se encuentran siempre en el mismo lugar.

Este servicio se organiza mediante estaciones base y celdas, de manera que exista una estación base del operador por cada área de servicio que da cobertura a cada celda.


13


2.9. Redes de área metropolitanas inalámbricas (WiMaX)

Las redes WiMaX se basan en el estándar del protocolo IEEE 802.16, inventado en 1996 y publicado por primera vez en 2002, que define las redes metropolitanas inalámbricas, con rangos de trabajo de 66 GHz.

Las zonas Wifi creadas utilizando esta tecnología poseen un radio de cobertura que puede abarcar decenas de kilómetros. Su utilización se ha popularizado, de tal forma que actualmente podemos encontrarlas en muchos lugares públicos.


14


2.10. Sistemas de telefonía móvil 1G sistemas analógicos incompatibles previos al GSM: Eran de alcance regional e incompatibles entre sí. Todos constituían una versión avanzada de la radio de la policía, de la que se diferenciaban tan solo por el uso de pequeñas antenas que cubrían áreas muy reducidas.

2G sistema global para las comunicaciones móviles (GSM): El GSM, o Global System for Mobile, es un sistema compatible de telefonía móvil digital de segunda generación que permite la transmisión de voz y datos. Hoy en día lo utilizan los teléfonos móviles digitales de todo el mundo. La línea no está vinculada al teléfono sino a una tarjeta SIM.

2,5G servicio general de paquetes por radio mejorado (EGPRS/EDGE): Se trata de una tecnología incrustada que utiliza las redes GSM existentes. Permite una capacidad de transmisión mayor –hasta 384 Kbps, en comparación con los 115 Kbps del GPRS y los escasos 9,6 Kbps de GSM–, lo cual mejora la comunicación basada en paquetes y optimiza el tráfico de datos.

3G sistema de telefonía móvil universal (UMTS): Surgió en 1998 con el propósito de crear un estándar único de telefonía móvil en todo el mundo. Posee una velocidad máxima de 2 Mbps y ha cambiado los procedimientos actuales de contratación y facturación en el sector: se ha pasado de pagar los servicios en función del tiempo consumido a hacerlo según la cantidad de información transmitida o de acuerdo con tarifas planas.

3,5G sistema de telefonía móvil universal avanzada (HSDPA/HSUPA): A causa de la demanda de una banda ancha mayor en los dispositivos móviles, se han desarrollado varias optimizaciones del UMTS. La tecnología deacceso descendente de paquetes a alta velocidad (High Speed Downlink Packet Access, HSDPA) consiste en un nuevo canal de bajada de hasta 14 Mbps. En cambio, para la subida se ha creado HSUPA (High Speed Uplink Packet Access), protocolo de acceso de hasta 7,2 Mbps.

4G sistema de telefonía móvil sobre IP (LTE/SAE): Aún en desarrollo, esta tecnología convergerá con las infraestructuras de telefonía IP mediante sistemas de voz sobre IP (VoIP) para migrar de manera definitiva a la versión 6 del protocolo de Internet. LTE (Long Term Evolution) y SAE (Service Architecture Evolution) pretenden alcanzar velocidades superiores a los 60 Mbps.


15

3. Redes privadas virtuales (VPN)

Conocidas también como Virtual Private Networks (VPN), constituyen la tecnología más utilizada por las empresas para crear redes que aprovechan estructuras o redes públicas (en muchos casos, la propia red de Internet) para el envío de datos privados.

Es decir, forman una red virtual con segmentos físicos de red local propia, separados en la distancia pero que aprovechan infraestructuras públicas de tipo WAN.

Las VPN utilizan protocolos de autenticación y tunelización, así como de encriptación y compresión de datos, para que la red lógica virtual resultante sea lo más segura, fiable y óptima posible.


16


Un cortafuegos actúa como una barrera o un muro de protección situado entre una red interna privada (intranet) y otra red externa e insegura como es Internet. Al instalarlo, se establece un conjunto de mecanismos de defensa en la máquina (servidor) utilizada para acceder a Internet; de esa forma quedan protegidas todas las máquinas que hay detrás de dicho servidor.

Hay cortafuegos que funcionan por hardware y otros que funcionan por software. Por ejemplo, en el caso de una conexión a Internet ADSL2+ mediante un router, este puede actuar como cortafuegos (por hardware).

Si la conexión a Internet se realiza vía módem o módem cable, se deberá instalar en el servidor un programa cortafuegos, ya que no disponen de esa funcionalidad.

Los objetivos del servicio de cortafuegos son los siguientes:

a) Garantizar que no se podrá acceder a los recursos internos desde el exterior sin permiso (archivos compartidos, impresoras de red, etcétera).

b) Filtrar los paquetes de entrada y salida, permitiendo o denegando el acceso según su origen o destino, tanto en lo que respecta a la IP como a los puertos.

c) Utilizar herramientas de software para llevar un control sobre el tráfico de la red.


17


4.1. Filtrado de paquetesEsta técnica permite examinar la dirección IP así como los puertos de E/S de origen y destino de cada paquete (en concreto, estudia la cabecera). Después, mediante un conjunto de reglas, los acepta o rechaza.

Las reglas se utilizan para cerrar el tráfico de paquetes hacia determinados puertos y solo dejar abiertos, única y exclusivamente, los que necesitan los servicios activados.

1.Red perimetral: es el modelo más seguro, costoso y completo. Requiere de una experiencia mayor a la hora de configurarla, ya que podemos intercalar tantos cortafuegos en cascada como la empresa requiera. Dispone de al menos dos equipos estranguladores que encierran la DMZ (Zona desmilitarizada) en un espacio intermedio menos restrictivo que la intranet.

Se pueden plantear diferentes situaciones de partida según las necesidades de cada organización:


18


4.1. Filtrado de paquetes

2. DMZ expuesta: no dedica recursos a proteger los servidores públicos de la empresa; solo se centra en blindar la intranet.

3. DMZ protegida o cortafuegos compartido: el modelo más básico y menos costoso, pero menos seguro, pues exige que la DMZ y la intranet tengan el mismo nivel de seguridad.


19


4.2. Configuración en GNU/LinuxGNU/Linux está implementado y optimizado para funcionar como cortafuegos, ya que lo lleva incluido en el propio núcleo (kernel) para el que se definen las reglas que especifican los paquetes a los que se permite entrar o salir en la red interna (local) y lo que puede hacerse (objetivos) con los que cumplen las reglas.

Desde las versiones del núcleo 2.4.x y posteriores, el filtrado se efectúa mediante la herramienta iptables, integrada en el módulo del núcleo Netfilter.

El filtrado de paquetes en GNU/Linux se hace desde el propio núcleo, activándose como módulo cuando se necesita, y de forma estática, es decir, durante el proceso de inicio del sistema. En concreto, el filtro de red de los núcleos de la familia 2.6.x o superiores utiliza las siguientes tablas o listas de reglas: • Filtrador de paquetes (filter): la tabla por defecto más básica, utilizada para efectuar el filtrado de paquetes de entrada, reenvío y salida. • Traducción de direcciones de red (nat): la tabla que utiliza el enmascaramiento para que otras máquinas se conecten a una serie de servicios a través de la IP del cortafuegos. Para ello modifica la cabecera de los paquetes. • Alteración de paquetes (mangle): manipula el estado de un paquete.

Todas estas tablas tienen un grupo de cadenas internas o de cortafuegos que permiten comprobar si el paquete cumple alguna de ellas. Las cadenas determinan las acciones que ejecutará el filtro de red sobre el paquete. El orden en que se escriben (ejecutan) estas reglas es muy importante.

Si el paquete no cumple la primera regla, pasa a la siguiente. Si la cumple, la regla decide qué se hace con el paquete recibido; si no la cumple, pasa a la siguiente y se repite el proceso hasta que se llega a la última regla, que es la que se aplica por defecto.


20


4.2. Configuración en GNU/Linux

Para la tabla filtrador de paquetes (filter) existen las siguientes cadenas internas: • paquetes entrantes (INPUT).

• paquetes redirigidos (FORWARD).

• paquetes salientes (OUTPUT).

Para la tabla de traducción de dirección de red (nat), existen las siguientes cadenas internas: • paquetes preenrutados (PREROUTING).

• paquetes salientes (OUTPUT). • paquetes postrutados (POSTROUTING).


21


4.2. Configuración en GNU/Linux

Los paquetes recibidos o enviados desde un sistema GNU/Linux siempre deben cumplir las reglas de una tabla. Cuando un paquete cumple una regla particular en una de las tablas se le asigna un objetivo. Los objetivos de iptables son los siguientes:


22

Con esta denominación se conoce al servidor cuyo objetivo es la centralización del tráfico entre Internet y una red local. Actúa como una pasarela a nivel de aplicación. De esa forma, cada uno de los ordenadores de la red local no tiene necesidad de disponer de una conexión directa a Internet. También se utiliza para controlar los accesos no permitidos desde Internet hacia la red local.


La utilización de un servidor proxy caché proporciona las siguientes ventajas: • Mayor velocidad de navegación. • Uso más eficiente de la línea de conexión con Internet. • Cortafuegos de contenidos. • Filtrado de servicios.


23


5.1. Funcionamiento del proxy-caché


24


5.2. Configuración en Ubuntu GNU/Linux

La herramienta software Squid es el servidor proxy caché más extendido entre las diferentes distribuciones basadas en GNU/Linux.

En la actualidad, la versión 2.7 es la más estable, si bien la 3.0 se halla en pleno desarrollo. Puede hacer de proxy caché con los protocolos HTTP, FTP y SSL, y también de proxy transparente, para lo que se puede utilizar como caché para DNS.

Su principal función, no obstante, consiste en soportar el protocolo ICP (Internet Cache Protocol), que permite la integración y comunicación de servidores caché. Además, puede establecer una jerarquía, de manera que el fallo de un servidor caché se supla con la colaboración de los restantes.


25


5.3. MonitorizaciónExisten varios mecanismos con los que llevar a cabo un seguimiento de la actividad de Squid, como los propios archivos de log y herramientas específicas que, haciendo uso de la información almacenada, generan informes completos de actividad.

Archivo /var/log/squid/cache.logPara saber si Squid funciona de manera correcta, basta con visualizar las últimas entradas de este archivo, en el que se reflejan todas las incidencias en el arranque del servicio, así como diversos problemas de funcionamiento e incidencias en la parada del servicio. Para visualizar las últimas entradas del archivo se utiliza la orden: # tail /var/log/squid/cache.log

Archivo /var/log/squid/access.logContiene todas las peticiones servidas por el proxy a los navegadores web (clientes). Se puede consultar de la forma siguiente: # more access.log | grep DENIEDLas líneas de este archivo de log contienen una serie de códigos que empiezan por TCP_ para indicar que se trata de peticiones HTTP. Los códigos más usuales son los siguientes:


26


5.3. Monitorización

Esta aplicación está escrita en lenguaje Perl y genera informes de actividad de la caché (en formatos HTML y ASCII) a partir de los archivos de informes (log) de Squid. Para instalarla ejecutaremos, con permisos de administración, la siguiente orden: # apt-get install calamaris

El archivo de configuración de Calamaris es /etc/calamaris/calamaris.conf. Permite establecer el tipo de periodicidad con que se desea obtener los informes.

Calamaris: visor de logs

Una vez instalada la aplicación, desde un navegador web que soporte acceso a puertos, se accede a Webmin desde la URL https://localhost:10000/ y, desde allí, a Calamaris a través del siguiente itinerario: Servidores > Squid > Servidor Proxy > Análisis de histórico de Calamaris.


27

6. Cortafuegos y proxy-caché en Windows

Por lo general, el servicio de cortafuegos de las aplicaciones Windows incluye una opción que permite controlar los contenidos. De este modo, además de filtrarse el caudal de información procedente de una determinada dirección IP o recibida a través de un puerto mediante un conjunto de reglas, el control de contenidos también permite aplicar reglas o filtros a un nivel superior, analizando el contenido de la información.

La restricción o filtrado puede hacerse en los dos sentidos, es decir, desde el exterior hacia nuestra máquina (información de entrada) o desde nuestra máquina hacia el exterior (información de salida).

Las reglas establecidas se ordenan según su importancia, y el cortafuegos las aplica en orden secuencial (se aplica la primera, luego la segunda, etcétera). Hay que tener cuidado a la hora de establecerlo, ya que las últimas reglas puedenentrar en contradicción con las anteriores.

Existen gran cantidad de aplicaciones de este tipo para Windows en general. En este manual, recomendamos Outpost Firewall Pro (http://www.outpost-es.com/download/outpostpro.html), de uso muy sencillo y eficaz a la hora de cubrir las necesidades de seguridad del aula o de una PYME.

También existe una versión gratuita más básica en: http://free.agnitum.com/


28

Créditos:

Autores del libro del alumno

Elvira Mifsud Talón y Raül V. Lerma-Blasco

Edición

Estudio177.com

Eugenia Arrés López

Unidad 7 Interconexión de redes privadas con redes públicas CFGM. Servicios en red.

Documents

Transcript of Unidad 7 Interconexión de redes privadas con redes públicas CFGM. Servicios en red.