You are on page 1of 27

Asymmetric Routing and Firewalls

Se considera este tipo de trafico en el escenario en el cual un paquete que es enviado por un
mismo origen, toma una distinta ruta cuando regresa. Esto comunmete se observa en redes
conmutadas de L3.

Por sí solo no causa problemas a no ser que se junten con otros protocolos como por ejemplo
NAT. En los firewalls una información de estado (State Information) se genera cuando los los
paquetes fluyen de un Security Domain mas bajo a otro superior. Si la ruta de retorno no pasa
por lo mismo, no tendrá ningún información de estado de esa nueva ruta.

Adicional a este problema es el únicast flloding, en el cual falsifican la IP de origen, Para este
caso se mitiga con URPF.

TCP Out-of-Order Packets

Al igual que lo anterior, esto se debe a que se tiene muchas salidas de distitnas interfaces. Se
sabe que los paquetes pueden llegar en desorden, pero esto ocurre mas en un escenario con
balanceo de carga por destino. Para estos casos TCP es un buen protocolo que secuenciara los
paquetes para ordenarlos. Cisco IOS FIreall e IPS se usan en coneccion TCP.

}
ICMP Unreachable

Este mensaje es generado por el router para informar a la fuente que el destino es
inalcanzable. La cabecera IP y los primero 8 bytes (64 bits) del datagrama son retornados al
transimisor. Esta información es usada por le host para procesarla e interpretarla ocmo un
mensaje.

El IOS Cisco si recibe un paquete nonbroadcast de un protocolo desconocido, envía un icmp de


inalcanzable a la fuente, como también si no tiene una ruta válida para llegar al destino.

Mensaje ICMP tipo 3. Destination Unrecheable:

Los mensajes de error tipo 3 son enviados cuando el mensaje no se puede enviar por completo
a la aplicación del host destino. Seis códigos contenidos en la cabecera ICMP describe la
condición de inalcanzable:

0. Network unreachable
1. Host unreachable
2. Protocol unreachable
3. Port unreachable
4. Fragmentation needed an Dont Fragment
5. Source routed failed

Los contadores de destino inalcanzable muestran estos paquetes que fueron descartados por
inalcanzables.

Denial of Service Attack and ICMP Counters


El mas comun ataque llamado “SMURF”, mediante fuentes falsificadas, se envian mensajes
para que sean inalcanzables y se reciban los ICMP unreeachable.

ICMP Redirects

Un mensaje ICMP REDIRECT se usa para notificar al host remoto para que envie datos por una
ruta alternativa. Estos tipos de mensjes no debe enviarlo los host, sino los gateway (router).

Un Gateway (router), G1, envia un ICMP REDIRECT, notificando a un host dentro de la red que
existe una mejor ruta para alcanzar al destino que el host quiere alcanzar.

El esceneraio se da cuando el router que es dg de PC1 (VER FIGURA), sabe que para alcazar la
ruta pedida tiene que enviarla a otra IP que se encuentra dentro de la misma red que PC1.
Cuando regresa el paquete lo hará por otra ruta. Como se observa, si en el caso de PC1 uera un
router, esto no seria un routing asimetrico ya que la interfaz por dondde se recibe y envia es la
misma. ICMP redirect le dice a PC1 que hay una mejor ruta.
En el router se configura:

IPv4 Fragmentation

La Identification es usado por el emisor para identificar el paquete. El Fragment Offset ayuda
en el reemsamblado (algo asi como que identifica la posición del fragmento). En el FLAGS
indica si es DF (dont fragment) o MF (more fragment), con esto indica si el paquete ha sido
fragmentado y si es el ultimo.

UN ejemplo:
El seq no se toma en cuenta. Se observa que 345 identifica el paquete fragmentado. Siendo el
MTU max 1500 (incluye la cabecera IP), se van a fragmentar en este tamaño. Los Flags
indicaran como se esta fragmentando y si es el ultimo. Se observa que el primer fragmento
siempre tiene un OFFSET 0, el segundo será= 185*8 (siempre es asi) =1480. Ahora esto indica
la cantidad de datos tomados del paquete original. Estos son datos puros (sin cabecera ya que
esta es de 20 bytes).

La fragmentación carga al CPU a comparación de no fragmentar. Considerar que también el


rendimiento global es afectado ya que TCP tiene que hacer retransmisiones ante una perdida
del fragmento. Esto da a lugar a muchos ataques que inclusive esquivan a los firewall.

Tambien se peude dar problemas con el tamaña del MTU (caso jumbo). Hay algunso switch
que no se ajusta a estos MTU’s y cuando existe un túnel (GRE, IPSEC, etc) hay problemas de
fragmentación.

Path MTU Discovery

PMTUD permite que los dispositivos de los puntso finales descubran automativcamente su
MTU a lo largo de la comunicación. Con el campo flag DF, se descartará y se enviará un
mensaje ICMP unrechabeable especial debido a MTU. PMTUD se inicia comúnmente cuando
se inicia la primera sesión TCP entre 2 host. Con lo dicho anteriormente, tendríamos que estar
atentos a los mensajes ICMP unreacheable para saber si concuerdan los MTU’s. Pero debido a
que muchos router y firewall bloquean estos tipos de ICMP, PMTUD no funciona bien.

Filtering Fragments
IP Virtual Reassembly

El Virtual Reassembly permite al router tener una imagen completa de una paquete
fragmentado. En este caso, el IOS no lo está ensamblando todo, sino que espera a juntarlo
todo virtualmente. Si no se llega a completar los fragmentos, se descarta el paquete. Algunas
aplicaciones como NAT e IPS necesitan de este para realizar una verdadera inspección de los
paquetes. Este comando se activa automáticamente en NAT por ejemplo.

Tambien mediante comandos se peude limitar la cantidad de fragmentos permitido para el


paquete que se recibe.

IPv6 Fragmentation

Para el caso de IPV6, el bit DF siempre está activado. Un router no puede fragmentar un
paquete Ipv6, por lo tanto si un paquete es demasiado grande, entonces genera un paquete
ICMP IPv6 Tipo 2 dirigido a la fuente con un código PTB ( Paacket Too Big)y también
proporciona l tamaño del MTU del siguiente salto. Por lo tanto la fragmentación se da en la
fuente mismo.

ICMPv6 Type 2
Tener en cuenta que este tipo de mensajes no deben ser fultrados para que la fuente se entere
que debe fragmetnar. Con respecto a la fragmentación ipv4m no hay mejora significativa.

Time to Live (TTL)

Es un numeor que desciende en 1 cada vez que realiza un salto. Para IP, el ttl predetermiando
es 64. Ejemplo aplicado a un Access list.

- Deniega un TOS 3, y ttl igual a 10 y 20. Despues deniega ttl gt(mayor) que 154 sin
fragmentos. Por ultimo un ttle diferente ded 1 y lo manda al log.

IPv4 and IPv6 MTU


Los paquetes pequeños generan mas sobrecargar, ya que se requieren varios para amndar la
información. Pero a velocidades lentas, paquetes grandes pueden generar latencia.

----[]

TUNELES

Un túnel es un mecanismo por el cual nos permite transportar un protocolo sobre un red que
típicamente no lo soportaría. Por ejemplo Applet Talk no puede pasarse pr un red IP.

GRE

Protocolo de Cisco y ahora está en la IETF. Encapsula a través de enlaces virtuales punto a
punto. Numero protocolo ip es 47.

Encapsula una gran cantidad de protocolos. Ademas el túnel también es aprovechado para
interconectar redes privadas a travez de internet, usando interfaces tuneles. Para el caso d
NATEO, se debe crear un Access list en el GRE/IPSEC muchas veces para filtrar un nateo y
evitar que se vaya por internet.
- GRE permite encapsular trafico multicast.

Ahora la interfaz tunnel se le tratara como una conexión directa al router. Todas las rutas
estáticas, negociaciones dinámicas, etc, se harán en base a estas interfaces.

Por cuestiones de diseño, es preferible configurar los keepalive de los tuneles, ya que no se da
cuenta cuando cae el otro extremo.

Siendo el primero en intervalo de envio de keepalives y el segundo los intentos.

IPSEC

- Confidencialidad
- Authentication
- Integridad
- Antireplay: evita que loos pquetes se duplicquen.

Uno de los principales protocolos que usa IPSEC es IKE (Internet Key Exchange). Provee de
encriptación autenticada usando encryption keys, el cual son periódicamente cambiado, pero
también se puede configurar manualmente estas keys. Hay 2 fases para establecer un tunnel
IPSEC:
1. ISAKMP (IKE Phase 1): Los gateways negocian una canal bidireccional que servirá para
proteger la siguiente fase de negociacion. En esta fase, el SA es bidireccional, es decir,
que el mismo intercambio de keys es usado por los datos que fluyen en cualquier
dirección.
2. IKE Phase 2: Ocurre dentro de la protección de un túnel IKE phase 1. Usando ese canal
creado, se establece un par de SA’s (tomados como canales, uno para cada sentido).
Indica también si va a usar ESP (incluye el cifrado) o AH.

Modo Transporte

Solo la carga útil (datos a transferir9 son cifrados y/o autenticadas. Una forma de encapsular
menajes IPSEC y que pasen el NAT, es el NAT-T.

Modo Tunel

En esta caso todo el paquete es cifraddo y/o autenticado. Ya que todo el paquetes es cifrado,
debe ajustarse al enrutamiento el neuvo paquete. Usado en vpns.

Desventajas de IPSEC

- No evita DOS.
- AUntentica dispositivos, no ususarios.

DMVPN

Con una topología Hub and Spke (Topologia estrella par la WAN), se puede configurar tunneles
estáticos. Este protocolo combina mGRE, IPSEC (opcional) y NHRP.
La ventaja de este protocolo es que comúnmente se tendría que configurar GRE/IPSEC
estáticamente para cada nuevo Spoke que vaya al Hub, ahora configurando solo una interfaz
tunnel mGRE y un solo perfil IPSEC en el Hub router para administrar a todos los Hub router.
Por lo tanto la configuración del Hub router permanece constante.

Otra característica es que GRE utiliza NHRP para configurar y resolver la dirección destino del
Peer. Esta característica permite que IPSEC se active inmediatamente para crear tuneles GRE
de punto a punto sin ninguna configuración de Peer.

DMVPN que crea túneles temporales entre los SPOKES mediante el protocolo NHRP. La función
de NHRP es como una tabla de enrutamiento. EL Hub se convertirá en una NHS (NHRP server)
y los Spoke se convertirán en NHC (NHRP Client). La comunicación spke-spke esta habilitada en
la Fase 2.

Hay casos en que se configuran no solo un mGRE, sino varios, para estos casos, al usar nhrp, se
vuelve full mege automativamente. Con solo 1 mGRE, los tuenesl son temproales.
La fase 3 se activa configurando

NRHP

Como se menciono, hace la tarea como una tabla de enrutamiento aplicado a los tunneles.
Cuando un Spoke se conecta por primera vez a la red DMVPN, registra su dirección interna
(tunnel) y externa (interfaz real). Para que todos se peuden comincar y establecer como una
VPN en común, se debe tener el NHRP network-id iguales en todos los router.

IS-IS no es compatible con DMVPN ya que no son paquetes IP. DMPVN tampoc es compatible
con RIPV1.

Fases DmVPN

1. Conectividad solo Hub y Spoke.


2. Capacidad de comunicación directa entre Spokes.
3. Mejora de comunicación entre spokes.

EVN

Para un verdadera aislamiento de rutas, EVN porporciona la simplicidad de capa 2 con los
controles de capa3. Aprovecha la tecnología de vrf-lite para:

- Simplificar la virtualización de redes de capa3.

EVN reduce significativamente la configuración de la virtualización de red mediante el uso de


VNet trunks, creando subinterfaces con recursos heredados de la interfaz troncal y creando
vrfs para cada una de forma automática. Soporta también ipv6. No es un protocolo.

Compatible para pequeñas empresas ya que solo admite 32 dnets. Existe una vnet tag
(identifica la vlan) y vrf definition (vrf).

EVN no utiliza el BGP, por lo tanto no es necesario definir una RD.


PPP

El encapsulamiento PPP provee de multiplexamiento de diferentes protocolos de la capa de


red sobre el mismo enlace. Es un enlace WAN punto a punto que Incluye detección de errores
(IETF, por lo tanto cualquier fabricante puede implemetarlo). Se utiliza tanto en par trenzado,
fibra y satelital. Se puede aplicar compresión (CCP). Uno de los métodos de autetnticacion PPp
si PAP es usad es el krb5.

Admite 2 protocolos de autenticación: PAP y CHAP. Estos protocolos son soportados por
interfaces tanto síncronas como asíncronas. PPP es un protocolo de L2 que puede establecer
una conexión directa entre 2 nodos. Se compone de 3 componentes principales:

- Un método para encapsular datagramas multiprotocolo.


- Un protocolo de control de enlace (LCP) para establecer, configurar y testear la
conexión data-link (L2).
- Una familia de Protocolos de Control de Red (NCP) para establecer y configurar
diferentes protocolos de red.

LCP

Encargado de establecer, mantener y terminar la sesión. Usado para acordar una serie de
parámetros que van a ser usados sobre ese enlace.
NCP

Usado para acordar parámetros referentes a los protocolos de red que van a operar sobre el
enlace:

- IPCP, IPXCP, ATCP (Apple Talk Control Protocol), IPV6.

Inicialmete se intercambian paquetes ncp para luego ya para el enalce con el protocolo
negociado.
Autenticacion PAP

Es un método simple para que un nodo remoto se identifique mediante un protocolo de


enlace bidireccional. Una vez que se establece, el nodo remoto envía un par de nombre de
usuario y contraseña en plaintext en repetidas veces, hasta que confirmar la autenticación o
hasta finalizar la conexión. El nodo remoto tiene el control de la frecuencia de los intentos de
inicio de sesión. En cambio CHAP nunca se envía la contraseña a través de la conexión. Algunas
aplicaciones no soportan CHAP.

Chap usa un challenge string y requiere que el cliente suministre el username y password. Su
username default es “Hostname”
PPPOE

Con PPP los ISP lo pueden usar para a cada cliente una dirección ipv4 publica. Los enlaces
Ethernet no son compatibles con PPP de forma nativa. 8 clientes pueden ser configurados en
un solo CPE y conectarse sobre DMVPN, pero solo el cliente puede iniciar la sesión PPPOE. Para
esta razón se creó PPPoE (PPP over Ethernet). Este nuevo protocolo permite el envío de
tramas PPP encapsuladas dentro de tramas Ethernet.

PPPoE crea un tunnel PPP a través de la conexión Ethernet. Luego el Modem DSL convierte las
tramas Ethernet a tramas PPP eliminando la cabecera Ethernet. El modem luego transmite
estas tramas al ISP por medio de la DSL. Con esto, el ISP podrá continuar utilizando el mismo
modelo de la autenticación con el analógico y el ISDN.

Para configurar un túnel PPP la configuración usa interfaces dialer. Un dialer se una interfaz
virual. La configuración del PPP está ubicada en la interfaz dialer y no en la física. El cliente
peude crear una ip estatica pero es mas probable que el ISP le asigne automáticamente.

El ISP autentica al cliente por CHAP, una autenticación unidireccional. Las credenciales del
cliente deben coincidir con las credenciales configuradas en el router del ISP.

La interfaz física que se conecta al modem DSL se habilita con el comand “pppoe enable”, que
vincula la interfaz física con la interfaz dialer por medio del “#dialer pool” y “pppo
client”usando el mismo numero.
NOTA: El valor del MTU se debe reducir a 1492 frente a 1500 default (el header es de 8 byte
del PPP). Ademas el Dialer es bajo demanda, si se quiere que sea permanente se debe
especificar un “persistent” al dialer.

Fase de Descubrimiento (Active discovery): Identifica la MAC del otro extremo.

Fase de sesión: La fase de Sesión negocia y autentica y una vez completada PPPOE funciona
como capa 2 y transmite las tramas PPP dentro de las tramas PPPOE.

Infrastructure Services

SNMP

Protocolo para la administración de la red, por lo tanto se restringe el acceso. Opera en la capa
7.
La acción GET proporciona al SNMP Manager acceso de lectura al MIB del SNMP Agent. La
acción SET proporciona acceso de escritura y lectura al SNMP Agent. El MIB solo esta
disponible para los SNMP Managment. El Agent es UDP 161 y el Managment 162 (SNMP Trap).

Versiones

V1: Utiliza community strings (se intercambia texto plano) para la autenticación. Obsoleto.

V2: Mejoró la seguridad y otras características, sigue usando las community strings.

V3: Se incorporó seguridad al mensaje además de a autenticación.

noAuthNoPriv: autenticación por community string.

AuthNoPriv: autentica los mensajes con MD5 pero no encrypta los mensajes.

AuthPriv: aemas encrypta.

CONFIGURACION
EL “ro” indica Read-only, también se peude reemplazar por “rw” Read Write.

Show snmp user, ver la autenticación y encriptación.

Snmp-server managment : Habilita al equipo para que envie SNMP request y response.

Para el caso de SNMPv3, al usar el primero modo, solo el username hace match para la
autenticación.
NTP

Usa el puerto UDP 123. “NTP disable” deshabilita el trafico NTP en una interfaz.

Modos NTP

- Server: Tambien llamado NTP Master, proporciona información de tiempo precisa al


Cliente. . En caso de varios server, se elige el de menso
Stratum.
- Client: Sincroniza su tiempo con el servidor. Envía un request al server y espera un
reply.
- Peer: También llamado Modo Simétrico. Los peers intercambian información
sincronización de tiempo. Comúnmente usado entre servidores. No permite
autenticación.
- Broadcast/Multicast: Modo especial “PUSH”. Proporciona anuncios unidireccionaes.
IP SLA

- El tráfico se localiza en el borde WAN.

VRF

- El “show ip vrf” muestra los rd default


NETFLOW

Usado para analizar el flujo del tráfico en la red, volumen, conversaciones, etc. En un router
habilitado con netflow, exporta las estadísticas del tráfico que luego es recopilado por el
Collector. Existen versiones 5 y 9.

La versión 9 está basado en plantilla (template based). El template peude incrmeentar el uso
del BW. Pertenece a la IETF.

RADIUS TACACS

RADIUS utiliza UDP mientras que TACACS+ utiliza TCP.

RADIUS sólo cifra la contraseña en el paquete de solicitud de acceso, del cliente al servidor. El
resto del paquete no está cifrado.

TACACS+ cifra todo el cuerpo del paquete pero deja un encabezado estándar de TACACS+.
Propietario cisco?

RADIUS combina autenticación y autorización.

TACACS+ usa la arquitectura AAA, la que separa a AAA.

You might also like