SERVICIOS DE RED

NAT - VPN IPsec - ARP

Profesor: Marco Bravo V.

INGENIERIA EN CONECTIVIDAD Y REDES.

Guevara Remigio Alva. 05/06/2012 Vespertino

INDICE

I. II. III. IV. V. VI.

NAT ..3-4 VPN ..5-7 IPsec ..8-9 ARP 10-13

CONCLUCION. 14 BIBLIOGRAFIA. 15

NAT (Traduccin de Direccin de Red)

Internet en sus inicios no fue pensado para ser una red tan extensa, por ese motivo se reservaron slo 32 bits para direcciones, el equivalente a 4.294.967.296 direcciones nicas, pero el hecho es que el nmero de mquinas conectadas a Internet aument exponencialmente y las direcciones IP se agotaban. Por ello surgi la NAT o Network Address Translation (en castellano, Traduccin de Direcciones de Red) La idea es sencilla, hacer que redes de ordenadores utilicen un rango de direcciones especiales (IPs privadas) y se conecten a Internet usando una nica direccin IP (IP pblica). Gracias a este parche, las grandes empresas slo utilizaran una direccin IP y no tantas como mquinas hubiese en dicha empresa. Tambin se utiliza para conectar redes domsticas a Internet.

En la NAT existen varios tipos de funcionamiento: Esttica Una direccin IP privada se traduce siempre en una misma direccin IP pblica. Este modo de funcionamiento permitira a un host dentro de la red ser visible desde Internet. (Ver imagen anterior) Dinmica El router tiene asignadas varias direcciones IP pblicas, de modo que cada direccin IP privada se mapea usando una de las direcciones IP pblicas que el router tiene asignadas, de modo que a cada direccin IP privada le corresponde al menos una direccin IP pblica. Cada vez que un host requiera una conexin a Internet, el router le asignar una direccin IP pblica que no est siendo utilizada. En esta ocasin se aumenta la seguridad ya que dificulta que un host externo ingrese a la red ya que las direcciones IP pblicas van cambiando. Sobrecarga La NAT con sobrecarga o PAT (Port Address Translation) es el ms comn de todos los tipos, ya que es el utilizado en los hogares. Se pueden mapear mltiples direcciones IP privadas a travs de una direccin IP pblica, con lo que evitamos contratar ms de una direccin IP pblica. Adems 3

del ahorro econmico, tambin se ahorran direcciones IPv4, ya que aunque la subred tenga muchas mquinas, todas salen a Internet a travs de una misma direccin IP pblica. Para poder hacer esto el router hace uso de los puertos. En los protocolos TCP y UDP se disponen de 65.536 puertos para establecer conexiones. De modo que cuando una mquina quiere establecer una conexin, el router guarda su IP privada y el puerto de origen y los asocia a la IP pblica y un puerto al azar. Cuando llega informacin a este puerto elegido al azar, el router comprueba la tabla y lo reenva a la IP privada y puerto que correspondan.

Solapamiento Cuando una direccin IP privada de una red es una direccin IP pblica en uso, el router se encarga de reemplazar dicha direccin IP por otra para evitar el conflicto de direcciones. Ventajas de la NAT -El gran ahorro de direcciones IPv4 que supone, recordemos que podemos conectar mltiples mquinas de una red a Internet usando una nica direccin IP pblica. -Seguridad. Las mquinas conectadas a la red mediante NAT no son visibles desde el exterior, por lo que un atacante externo no podra averiguar si una mquina est conectada o no a la red. -Mantenimiento de la red. Slo sera necesario modificar la tabla de reenvo de un router para desviar todo el trfico hacia otra mquina mientras se llevan a cabo tareas de mantenimiento. Desventajas de la NAT Recordemos que la NAT es solo un parche, no una solucin al verdadero problema, por tanto tambin tiene una serie de desventajas asociadas a su uso: -Checksums TCP y UDP: El router tiene que volver a calcular el checksum de cada paquete que modifica. Por lo que se necesita mayor potencia de computacin. -No todas las aplicaciones y protocolos son compatibles con NAT. Hay protocolos que introducen el puerto de origen dentro de la zona de datos de un paquete, por lo que el router no lo modifica y la aplicacin no funciona correctamente. 4

VPN (Redes privadas virtuales )

El Sistema de Red Privada Virtual o VPN (Virtual Private Network) es la mejor manera de conectar sucursales y oficinas entre ellas. De esta forma se pueden intercambiar archivos, facturas, contractos y todo tipo de datos sin tener que pedirlos y directamente de la mquina que hace de servidor. Los requisitos mnimos para que funcione correctamente son que la mquina "Usuario VPN" ha de tener una conexin a la red de internet igualmente que la mquina "Servidor VPN", esta conexin ha de tener un ancho de banda considerable para no tener ningn problema a la hora de pasar datos, tambin un requisito es que el cliente y el servidor han de tener una IP fija. Este sistema de conectividad privada es la forma mas econmica y fiable del mercado para mantener conectados diversos puntos (computadoras) de cualquier parte del mundo. Cmo funciona? Permite el acceso remoto a recursos corporativos sobre una red pblica (Internet), en lugar de conectarse con su mdem por medio de una llamada de larga distancia el usuario solo debe marcar a su ISP (proveedor de acceso a intenet) local una vez conectado a internet el software VPN del usuario crear una red privada virtual entre su equipo de cmputo y el servidor VPN corporativo a travz de internet.

Ejemplo Servicio de Red Privada Virtual (VPN)

Este servicio consiste en la extensin de la Red Informtica Cableada de la Universidad de Jan (RIUJA) a ordenadores que no estn ubicados fsicamente en esta. De esta forma se permite a los usuarios de la Universidad conectarse desde un ordenador externo a la red RIUJA de forma sencilla y transparente, formando parte a todos los efectos de la red, aunque el equipo no se encuentre fsicamente en las dependencias de la Universidad. La velocidad de acceso depender del tipo de conexin a Internet que utilice el usuario. El sistema establece una conexin segura especfica (tnel virtual) entre su ordenador y un servidor situado en la Red Informtica Cableada de la Universidad de Jan (RIUJA). Desde el momento de la conexin, todas las conexiones de red irn encaminadas a travs de ese tnel seguro. Esta comunicacin esta cifrada por lo que no es posible ver el contenido de la informacin mientras viaja por la red. Antes de establecer el tnel se requiere la autenticacin del usuario, mediante usuario y contrasea, siendo por tanto un medio de conexin bastante seguro. Caractersticas Las Redes Privadas Virtuales utilizan tecnologa de tnel (tunneling) para la transmisin de datos mediante un proceso de encapsulacin y en su defecto de encriptacin, esto es importante a la hora de diferenciar Redes Privadas Virtuales y Redes Privadas, ya que esta ltima utiliza lneas telefnicas dedicadas para formar la red. Seguridad: Estableciendo un tnel de informacin encriptada entre su servidor y el proveedor de acceso a Internet. Velocidad: Antes que los paquetes de informacin sean enviados por el enlace a Internet, el servidor va a comprimir toda la informacin, la misma que va a ser descomprimida en el otro extremo por otro servidor. Este proceso, que es completamente transparente para el usuario, va a permitir un incremento de aproximadamente un 40% en la velocidad. Administracin del ancho de Banda: 6

Es posible solicitar al proveedor de acceso a Internet un ancho de banda especfico y sostenido para la conexin. Ventajas y desventajas VPN. Una VPN es una forma barata de efectivo de la construccin de una red privada. El uso de Internet como principal canal de comunicacin entre los sitios es una alternativa rentable a las costosas lneas alquiladas privadas. Los costos para una empresa incluyen el hardware de autenticacin de red y software utilizados para autenticar a los usuarios y todos los mecanismos adicionales, tales como los tokens de autenticacin u otros dispositivos de seguridad. La relativa facilidad, velocidad y flexibilidad de aprovisionamiento VPN en comparacin a las lneas arrendadas hace VPN de una opcin ideal para empresas que requieren flexibilidad. Por ejemplo, una empresa puede ajustar el nmero de sitios en la red privada virtual de acuerdo a las necesidades cambiantes. Hay varias desventajas potenciales con el uso de VPN. La falta de calidad de servicio (QoS) a travs de Internet puede causar prdida de paquetes y otros problemas de rendimiento. Las condiciones adversas de la red que se producen fuera de la red privada est fuera del control del administrador de VPN. Por esta razn, muchas grandes empresas pagar por el uso de VPNs de confianza que utilizan una red privada para garantizar la calidad de servicio. La interoperabilidad de proveedores es otra desventaja potencial como tecnologas de VPN desde un solo proveedor pueden no ser compatibles con las tecnologas de VPN de otro fabricante. Ninguno de estos inconvenientes han impedido la aceptacin generalizada y el despliegue de la tecnologa VPN.

IPsec (Protocolo de Seguridad de IP)

IPsec es un marco de estndares abiertos desarrollados por el Internet Engineering Task Force (IETF), que proporciona seguridad para la transmisin de informacin sensible a travs de redes sin proteccin, como es el caso de Internet. IPsec acta en la capa de red, lo que hace que sea ms flexible frente a otros protocolos que actan a partir de la capa de transporte (modelo OSI), como SSL, TLS o SSH. As, proporciona proteccin y autenticacin de los paquetes IP entre los dispositivos IPsec participantes (pares), por ejemplo dos routers de Cisco. En la figura siguiente se ofrece una visin simplificada de cmo funciona IPsec en un router Cisco. Dos routers establecen un tnel IPsec virtual entre s utilizando algoritmos y parmetros comunes. El trfico de color rojo es el trfico que fluye a travs del router, que sirve para ir a Internet y no a travs del tnel VPN. El verde es el trfico que pretende ir de un sitio a otro a travs del tnel IPsec VPN.

Se utilizar IPsec para crear redes privadas virtuales, Porque debemos asumir que los nodos externos pueden ser maliciosos e IPsec proporciona una solucin de seguridad ms robusta que los servicios propiertarios de Cisco y est basada en estndares. Y se utilizar routers Cisco Porque, al fin y al cabo, Cisco es el lder mundial en el suministro de hardware y soluciones de software de redes LAN y WAN. La sede de la empresa Cisco se encuentra en San Francisco y las sucursales y distribuidores autorizados de Cisco en la actualidad existen en la mayora de los pases en el mundo por lo tanto los dispositivos de hardware de Cisco se utilizan 8

en todas las regiones del mundo. As pues, creo que puede ser interesante mostrar un ejemplo de su funcionamiento. IPsec de red-a-red IPsec tambin se puede configurar para conectar una red completa (tal como una LAN o una WAN) a una red remota a travs de una conexin red-a-red. Una conexin de red-a-red requiere la configuracin de enrutadores IPsec en cada lado de las redes conectantes para procesar y enrutar la informacin de forma transparente desde un nodo en una LAN a otro nodo en una LAN remota. La Figura muestra una conexin IPsec de red-a-red en tnel.

El diagrama muestra dos LANs separadas por la Internet. Estas LANs utilizan enrutadores IPsec para autenticar e iniciar una conexin usando un tnel seguro a travs de la Internet. Los paquetes que son interceptados en trnsito requerirn un descifrado de fuerza bruta para poder descifrar el cdigo protegiendo los paquetes entre las LANs. El proceso de comunicacin desde un nodo en el intervalo IP 192.168.1.0/24 al otro en 192.168.2.0/24 es completamente transparente a los nodos puesto que el procesamiento, encriptacin/descifrado y el enrutamiento de los paquetes IPsec es manejado completamente por el enrutador IPsec.

ARP (Protocolo de resolucin de Direcciones)

Permite a un ordenador encontrar la direccin fsica de otro ordenador de su misma red a partir de su direccin IP. El emisor difunde peticiones. El sistema destino responde con su direccin fsica.

Mantiene una tabla de equivalencias entre direcciones IP y direcciones fsicas (cach ARP)
Las entradas de la tabla se descartan si no se refrescan (~10 minutos) Actualizo la tabla con el origen cuando soy el destino Actualizo la tabla si ya tengo una entrada y veo informacin pasar por la red No aado una nueva entrada en base a informacin que pasa por la red

Permite a un router contestar peticiones ARP de una de sus redes acerca de un nodo situado en otra de sus redes. El emisor de la peticin ARP cree que el router es el nodo destino. El router acta como "representante" del nodo destino. Un nodo enva una peticin ARP buscando su propia direccin IP. Se emplea al configurar el interface en el arranque. Permite determinar si otro nodo est ya configurado con la misma direccin IP. Si el nodo que enva el ARP gratuito ha cambiado su direccin hardware este paquete hace que cualquier nodo que tenga una entrada en su cach para la vieja direccin hardware actualice su entrada de la cach arp.

PROXY ARP

ARP GRATUITO

10

Cmo resuelve ARP las direcciones de control de acceso a medios para el trfico local La siguiente ilustracin muestra cmo resuelve ARP las direcciones IP en direcciones de hardware de hosts que se encuentran en la misma red local.

En este ejemplo, dos hosts TCP/IP, los hosts A y B, se encuentran en la misma red fsica. El host A tiene asignada la direccin IP 10.0.0.99 y el host B la direccin IP 10.0.0.100. Cuando el host A intenta comunicarse con el host B, los siguientes pasos permiten resolver la direccin asignada por el software al host B (10.0.0.100) en la direccin de control de acceso a medios asignada por el hardware al host B: 1.- Segn el contenido de la tabla de enrutamiento del host A, IP determina que la direccin IP de reenvo que se va a utilizar para llegar al host B es 10.0.0.100. Despus, el host A busca en su propia cach de ARP local una direccin de hardware coincidente para el host B. 2.- Si el host A no encuentra ninguna asignacin en la cach, difunde una trama de solicitud ARP a todos los hosts de la red local con la pregunta "Cul es la direccin de hardware para 10.0.0.100?" Las direcciones de hardware y software del origen, el host A, se incluyen en la solicitud ARP. Cada host de la red local recibe la solicitud ARP y comprueba si coincide con su propia direccin IP. Si el host no encuentra una coincidencia, descarta la solicitud ARP. 3.- El host B determina que la direccin IP especificada en la solicitud ARP coincide con su propia direccin IP y agrega una asignacin de direcciones de hardware y software para el host A a su cach de ARP local. 4.- El host B enva directamente un mensaje de respuesta de ARP que contiene su direccin de hardware al host A. 5.- Cuando el host A recibe el mensaje de respuesta de ARP del host B, actualiza su cach de ARP con una asignacin de direcciones de hardware y software para el host B. Una vez determinada la direccin de control de acceso a medios del host B, el host A puede enviar al host B trfico IP que se dirigir a la direccin de control de acceso a medios del host B.

11

Cmo resuelve ARP las direcciones de control de acceso a medios para el trfico remoto ARP tambin se utiliza para reenviar datagramas IP a enrutadores locales de destinos que no se encuentran en la red local. En estos casos, ARP resuelve la direccin de control de acceso a medios de la interfaz de un enrutador en la red local. En la siguiente ilustracin se muestra cmo resuelve ARP las direcciones IP en direcciones de hardware de dos hosts que se encuentran en redes fsicas diferentes conectadas por un enrutador comn.

En este ejemplo, el host A tiene asignada la direccin IP 10.0.0.99 y el host B la direccin IP 192.168.0.99. La interfaz del enrutador 1 se encuentra en la misma red fsica que el host A y utiliza la direccin IP 10.0.0.1. La interfaz del enrutador 2 se encuentra en la misma red fsica que el host B y utiliza la direccin IP 192.168.0.1. Cuando el host A intenta comunicarse con el host B, los siguientes pasos permiten resolver la direccin asignada por el software a la interfaz del enrutador 1 (10.0.0.1) en la direccin de control de acceso a medios asignada por el hardware: 1.- Segn el contenido de la tabla de enrutamiento del host A, IP determina que la direccin IP de reenvo que se va a utilizar para llegar al host B es 10.0.0.1, la direccin IP de la puerta de enlace predeterminada. Despus, el host A busca en su propia cach de ARP local una direccin de hardware coincidente para 10.0.0.1. 2.- Si el host A no encuentra ninguna asignacin en la cach, difunde una trama de solicitud ARP a todos los hosts de la red local con la pregunta "Cul es la direccin de hardware para 10.0.0.1?" Las direcciones de hardware y software del origen, el host A, se incluyen en la solicitud ARP. Cada host de la red local recibe la solicitud ARP y comprueba si coincide con su propia direccin IP. Si el host no encuentra una coincidencia, descarta la solicitud ARP. 3.- El enrutador determina que la direccin IP especificada en la solicitud ARP coincide con su propia direccin IP y agrega una asignacin de direcciones de hardware y software para el host A a su cach de ARP local. 4.- Despus, el enrutador enva directamente un mensaje de respuesta de ARP que contiene su direccin de hardware al host A. 5.- Cuando el host A recibe el mensaje de respuesta de ARP del enrutador, actualiza su cach de ARP con una asignacin de direcciones de hardware y software para 10.0.0.1.

12

Una vez determinada la direccin de control de acceso a medios de la interfaz del enrutador 1, el host A puede enviar a la interfaz del enrutador 1 trfico IP que se dirigir a la direccin de control de acceso a medios de esa interfaz. Posteriormente, el enrutador reenva el trfico al host B mediante el mismo proceso ARP que se describe en esta seccin. La cach de ARP Para disminuir el nmero de difusiones, ARP mantiene una cach de asignaciones de direcciones de control de acceso a direcciones de medios de IP para su uso posterior. La cach de ARP puede incluir entradas dinmicas y estticas. Las entradas dinmicas se agregan y se quitan automticamente a lo largo del tiempo. Las entradas estticas permanecen en la cach hasta que se reinicia el equipo. Las entradas dinmicas de la cach de ARP tienen un tiempo de vida posible de 10 minutos. Las nuevas entradas agregadas a la cach se marcan con la fecha y hora. Si una entrada no se vuelve a utilizar antes de 2 minutos desde que se agreg, caduca y se elimina de la cach de ARP. Si se utiliza una entrada, recibe dos minutos ms de tiempo de vida. Si se sigue utilizando una entrada, recibe otros dos minutos ms hasta un tiempo de vida mximo de 10 minutos. Puede ver la cach de ARP con el comando arp. Para ver la cach ARP, escriba arp -a en el smbolo del sistema. Para ver las opciones de la lnea de comandos de arp, escriba arp /? en un smbolo del sistema. Nota Hay una cach de ARP independiente para cada adaptador de red.

13

CONCLUCION

Como hemos visto en el mundo de las redes de la informacin no siempre todo es seguro Hemos visto que el ataque es en una LAN, pero conocemos muy bien las vulnerabilidades existentes hoy en dia en las redes inalmbricas, por lo que podran acceder a la red local sin ningn problema. Tienen que tomarce medidas preventivas y curativas para evitar que la seguridad de la informacin quede vulnerada.

14

BIBLIOGRAFIA

http://es.kioskea.net/contents/protect/nat.php3 http://www.ujaen.es/sci/redes/vpn/ http://www.plct.com.mx/node/10 http://webnetarchitect.wordpress.com/tag/ipsec/ http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ipsec-net2net.html http://ldc.usb.ve/~daniela/tcp-ip.pdf

15