domingo, 31 de mayo de 2009

Subneteo (subnetting,subnet)

Subnetting es la técnica para crear múltiples redes lógicas dentro de una red Clase A, B ó C; sin esta herramienta sólo podríamos usar una red por cada red clase A, B o C, lo cual haría que desaprovecháramos los espacios de direcciones.

Cada enlace de datos en una red debe tener un identificador único de red, y cada nodo en ese enlace debe ser miembro de la misma red. Si dividimos una red mayor (Clase A, B o C) en redes más pequeñas, te permite crear una red que interconecta subredes. Cada enlace de datos en esta red tendría entonces un identificador de red o de sub-red único. Cualquier dispositivo o gateway que conecta n redes o subredes tiene n distintas direcciones IP, una por cada red o sub-red que interconecta.

Para poder hacer la división en subredes, aumentamos la máscara natural de red usando los bits más significativos de la porción de host (los de extrema izquierda) para crear el identificador de subnet.

Tomando una dirección Clase B, su máscara de red natural estaría compuesta por 16 bits y le agregaremos dos bits más, creando 4 subnets:

IP _____172.17.10.0__ = 10101100.00010001.00001010.00000000
netmask 255.255.192.0 = 11111111.11111111.11000000.00000000
componentes de la IP: = NNNNNNNN.NNNNNNNN.SShhhhhh.hhhhhhhh
pertenece a la red: _ = ___________________________________
networkID 172.16.0.0_ = 10101100.00010001.00000000.00000000


entonces tendríamos que la dirección 172.17.10.0/18 es parte de la red 172.17.0.0/18, y para saber cuántos hosts tiene esta red haremos la siguiente operación:

tomamos la máscara de red, hay 256 hosts posibles por octeto y sustraemos la máscara de red:
256.256.256.256
255.255.192.0
_______________ restamos
_1_._1_.64_.256

tendremos 1x1x64x256 = 16384 direcciones de red posibles por segmento de subnet, de las cuales, la primera será usada para dirección de subnet y la última como dirección de broadcast.

Ahora, al octeto donde comienza la subnet le sumamos el número que obtuvimos para obtener las direcciones de red, por tanto las redes son:

172.17.0.0
172.17.64.0
172.17.128.0
172.17.192.0


Y recordemos que la primera y última direcciones están reservadas, tenemos:

172.17.0.0 como dirección de red,
172.17.0.1 como primera dirección utilizable
172.17.63.254 como última dirección utilizable
172.17.63.255 como dirección de broadcast de esta red

Es muy útil recordar que cada bit adicional divide en dos el segmento de red, así que tenemos que una máscara de red Clase C de 24 bits:

255.255.255.0 puede subnetearse así:
255.255.255.128 con 25 bits (128) y con dos subredes de 128 direcciones
255.255.255.192 con 26 bits (128+64) y con cuatro subredes de 64 direcciones (el doble de redes, la mitad de direcciones)
255.255.255.224 con 27 bits (128+64+32) y con ocho redes y 32 direcciones
255.255.255.240 con 28 bits (128+64+32+16) y con 16 redes y 16 direcciones
255.255.255.248 con 29 bits (128+64+32+16+8) y con 32 redes y 8 direcciones
255.255.255.252 con 30 bits (128+64+32+16+8+4) y con 64 redes y 4 direcciones, sólo 2 son utilizables y esta máscara es usada en enlaces punto a punto, ya que sólo se pueden comunicar dos direcciones.
255.255.255.254 con 31 bits y dos direcciones,
255.255.255.255 con 32 bits (128+64+32+16+8+4+2+1), donde sólo hay comunicación con la misma dirección IP.

sábado, 30 de mayo de 2009

Máscara de red

Una máscara de red identifica que porción de la dirección IP pertenece a la red y que porción identifica al nodo. Las dirección clase A, B y C tienen máscaras predefinidas:

Clase A: 255.0.0.0
Clase B: 255.255.0.0
Clase C: 255.255.255.0


Las máscaras de red son utilizadas en binario y en una red no subneteada la parte de 1's representa la porción de red (N) y la parte de 0's representa la porción de nodo (h):

255.0.0.0
11111111.00000000.00000000.00000000
NNNNNNNN.hhhhhhhh.hhhhhhhh.hhhhhhhh

Para calcular el segmento de red al que pertenece una dirección IP se hace una operación AND lógica entre la dirección IP y la máscara de red:

0 AND 0 = 0
1 And 0 = 0
0 AND 1 = 0
1 AND 1 = 0

____________= Net ID ________ _host ID ________
10.10.10.10 = 00001010.00001010.00001010.00001010
255.0.0.0 __= 11111111.00000000.00000000.00000000
____________= NNNNNNNN.hhhhhhhh.hhhhhhhh.hhhhhhhh
_________________________________________________
10.0.0.0___ = 00001010.00000000.00000000.00000000

miércoles, 27 de mayo de 2009

Direccionamiento IP

Una dirección IP es un número único de identificación de dispositivo en una red. La dirección se compone de 32 bits, que se agrupan en 4 octetos cuyo valor puede oscilar entre 0 y 255, y que usualmente se dividen en una porción de red y una porción de host por medio de una máscara de red. Cada octeto se convierte a decimal y se separa por un punto, y así tenemos la forma comúnmente conocida:

Binario: 10101100.00010000.00011100.00101101
decimal: 172.16.28.45

Para hacer la conversión debemos usar potencias de 2, asignadas a cada posición, comenzando por el extremo derecho, y tendremos que cada octeto o byte puede valer:

1 1 1 1 1 1 1 1
128+64+32+16+8+4+2+1

así que en el ejemplo anterior tenemos:
(128+32+8+4).(16).(16+8+4).(32+8+4+1)

Estos octetos se dividen para construir un esquema de direccionamiento que acomoda redes grandes y pequeñas. Hay 5 clases de redes, de A a E, pero las redes clase D y E están reservadas.
Es importante destacar que la notación direcciones "Clase A", "Clase B" no se usan mucho en el campo profesional debido a que hay ruteo sin clase (Classless interdomain routing CIDR).

Dada una dirección IP, su clase se puede determinar de los 3 bits más significativos del octeto más significativo, por ejemplo, de la dirección 172.16.28.45, el octeto más significativo es 172, y en binario es:

10101100.00010000.00011100.00101101
172 . 16 . 28 . 45
  • Las direcciones clase A comienzan con 0, su primer octateo es el que se considera de red (256 redes y 16,777,214 hosts posibles) y los 3 restantes para host y pueden tener valores de: 0.0.0.0 a 127.255.255.255
  • Las direcciones clase B comienzan en 10, tiene dos octetos de red (en gris) y 2 de host (en naranja) (65536 redes Y 65534 hosts posibles) y pueden tener valores de: 128.0.0.0 a 191.255.255.255
  • Las direcciones clase C comienzan en 110, tienen 3 octetos de red y 1 de host y pueden tener valores de: 192.0.0.0 a 223.255.255.255
  • las direcciones clase D comienzan en 1110, son usadas para multicast y pueden tener valores de: 224.0.0.0 a 239.255.255.255
    las direcciones clase E comienzan en 11110, están reservadas como experimentales y pueden tener valores de: 240.0.0.0 a 255.255.255.255

viernes, 15 de mayo de 2009

Implementando Firewalls en la organización

del documento Deploying Firewalls Throughout Your Organization.
Evitar las intrusiones requiere filtrado de firewalls en múltiples perímetros, tanto internos como externos.
Los firewalls han sido la primera línea de defensa en las infraestructuras de defensa de las redes, y cumplen este objetivo comparando las políticas acerca de los derechos de acceso de red de los usuarios con la información de cada intento de conexión. Las políticas de usuario y la información de conexión deben coincidir, o el firewalll no dará acceso a los recursos de red; así se previenen las intrusiones.
En años recientes, una de las mejores prácticas más aceptadas es implementar firewalls no sólo en los perímetros de red tradicionales, donde la red corporativa y la Internet se encuentran, sino también a través de la red corporativa en ubucaciones internas clave, así como en las fonteras de las oficinas remotas con la WAN. Esta estrategia de firewalls distribuidos ayuda a protegernos contra amenazas itnernas, las cuales han sido históricamente causantes de un enorme porcentaje de cyber-pérdidas, de acuerdo al estudio anual que conduce el Computer Security Institute (CSI).
El crecimiento de las amenazas internas se ha acelerado por el surgimiento de nuevos perímetros de red que se han formado al interior de las LAN corporativas. Algunos ejemplos de esos perímetros o fronteras de confianza, están entre los switches y los servidores de respaldo, entre diferentes departamentos, y donde una red inalámbrica se encuentra con la red cableada. El firewall previene la existencia de brechas de acceso en estas coyonturas de red claves, asegurando, por ejemplo, que el departamento de ventas no podrá entrar al sistema de finanzas.
También se ayuda a cumplir con los últimos mandatos de la industria al ubicar varios firewalls dentro de múltiples segmentos de red. Por ejemplo, Sarbanes-Oaxley, Gramm-Leach-Bliley, etc; tienen requerimientos acerca de la seguridad, auditorías y rastreo de la información.
Protegiendo todos los puntos de acceso.
El borde entre la red pública y la privada es considerado particularmente vulnerable a intrusos, porque la Internet es una red públicamente accesible y cae bajo el manejo de múltiples operadores. Por esa razón, la Internet es una red que se considera no es de confianza; así como las LANs inalámbricas, las cuales sin la seguridad apropiada pueden ser violentadas desde fuera de la empresa, ya que sus señales llegan más allá de las puertas y paredes.
Es por ello que es crítico proteger el borde LAN-WAN; pero ahora los firewalls también deben mantener la comunicación entre segmentos internos de red, y revisar que los empleados internos no puedan acceder a recursos o segmentos que las políticas de la compañía dictan como fuera de su alcance. Haciendo particiones de la intranet con firewalls, los departamentos dentro de la organización ganan defensas adicionales contra amenazas de otros departamentos.
Además, crece la utilización de la red, porque los empleados se vuelven goegráficamente más dispersos, entre las oficinas remotas y el incremento de los medios móviles y redes remotas. De acuerdo a Nemertes Research, una firma especializada en cuantificar el impacto de negocio de la tecnología, ahora, la mayoría de los empleados trabajan en oficinas remotas, lejos de los cuarteles corporativos. Esto resulta en un nuevo borde LAN-WAN en cada oficina filial o remota, donde un router de acceso WAN se encuentra con la Internet pública u otra red WAN. Este nuevo borde debe ser protegido.
El firewall entonces, en su papel de primera línea de defensa tiene un lugar en los siguientes segmentos de red:
  • En el perímetro tradicional de la red corporativa (donde el Data Center se encuentra con las redes WAN e Internet).
  • Entre departamentos, para segregar el acceso de acuerdo a las políticas entre grupos de usuarios.
  • Entre los puertos LAN de los switches y las granjas de servidores Web, de aplicación o de bases de datos del centro de datos.
  • Donde la wireless LAN se conecta a la red cableada (entre los LAN switches Ethernet y los LAN controllers)En el borde WAN de la oficina remota.
  • En las Laptops, smartphones, y otros dispositivos móviles inteligentes que guardan datos de la organización (en forma de software de firewall personal) y en el caso de trabajadores móviles.
Esta figura es el ejemplo de un despliegue de firewalls en la empresa (tomado de cisco.com)

Se recomienda filtrado básico en cada frontera de confianza, tanto externa como interna por toda la red.

El papel en la arquitectura de seguridad total.