Professional Documents
Culture Documents
Se considera este tipo de trafico en el escenario en el cual un paquete que es enviado por un
mismo origen, toma una distinta ruta cuando regresa. Esto comunmete se observa en redes
conmutadas de L3.
Por sí solo no causa problemas a no ser que se junten con otros protocolos como por ejemplo
NAT. En los firewalls una información de estado (State Information) se genera cuando los los
paquetes fluyen de un Security Domain mas bajo a otro superior. Si la ruta de retorno no pasa
por lo mismo, no tendrá ningún información de estado de esa nueva ruta.
Adicional a este problema es el únicast flloding, en el cual falsifican la IP de origen, Para este
caso se mitiga con URPF.
Al igual que lo anterior, esto se debe a que se tiene muchas salidas de distitnas interfaces. Se
sabe que los paquetes pueden llegar en desorden, pero esto ocurre mas en un escenario con
balanceo de carga por destino. Para estos casos TCP es un buen protocolo que secuenciara los
paquetes para ordenarlos. Cisco IOS FIreall e IPS se usan en coneccion TCP.
}
ICMP Unreachable
Este mensaje es generado por el router para informar a la fuente que el destino es
inalcanzable. La cabecera IP y los primero 8 bytes (64 bits) del datagrama son retornados al
transimisor. Esta información es usada por le host para procesarla e interpretarla ocmo un
mensaje.
Los mensajes de error tipo 3 son enviados cuando el mensaje no se puede enviar por completo
a la aplicación del host destino. Seis códigos contenidos en la cabecera ICMP describe la
condición de inalcanzable:
0. Network unreachable
1. Host unreachable
2. Protocol unreachable
3. Port unreachable
4. Fragmentation needed an Dont Fragment
5. Source routed failed
Los contadores de destino inalcanzable muestran estos paquetes que fueron descartados por
inalcanzables.
ICMP Redirects
Un mensaje ICMP REDIRECT se usa para notificar al host remoto para que envie datos por una
ruta alternativa. Estos tipos de mensjes no debe enviarlo los host, sino los gateway (router).
Un Gateway (router), G1, envia un ICMP REDIRECT, notificando a un host dentro de la red que
existe una mejor ruta para alcanzar al destino que el host quiere alcanzar.
El esceneraio se da cuando el router que es dg de PC1 (VER FIGURA), sabe que para alcazar la
ruta pedida tiene que enviarla a otra IP que se encuentra dentro de la misma red que PC1.
Cuando regresa el paquete lo hará por otra ruta. Como se observa, si en el caso de PC1 uera un
router, esto no seria un routing asimetrico ya que la interfaz por dondde se recibe y envia es la
misma. ICMP redirect le dice a PC1 que hay una mejor ruta.
En el router se configura:
IPv4 Fragmentation
La Identification es usado por el emisor para identificar el paquete. El Fragment Offset ayuda
en el reemsamblado (algo asi como que identifica la posición del fragmento). En el FLAGS
indica si es DF (dont fragment) o MF (more fragment), con esto indica si el paquete ha sido
fragmentado y si es el ultimo.
UN ejemplo:
El seq no se toma en cuenta. Se observa que 345 identifica el paquete fragmentado. Siendo el
MTU max 1500 (incluye la cabecera IP), se van a fragmentar en este tamaño. Los Flags
indicaran como se esta fragmentando y si es el ultimo. Se observa que el primer fragmento
siempre tiene un OFFSET 0, el segundo será= 185*8 (siempre es asi) =1480. Ahora esto indica
la cantidad de datos tomados del paquete original. Estos son datos puros (sin cabecera ya que
esta es de 20 bytes).
Tambien se peude dar problemas con el tamaña del MTU (caso jumbo). Hay algunso switch
que no se ajusta a estos MTU’s y cuando existe un túnel (GRE, IPSEC, etc) hay problemas de
fragmentación.
PMTUD permite que los dispositivos de los puntso finales descubran automativcamente su
MTU a lo largo de la comunicación. Con el campo flag DF, se descartará y se enviará un
mensaje ICMP unrechabeable especial debido a MTU. PMTUD se inicia comúnmente cuando
se inicia la primera sesión TCP entre 2 host. Con lo dicho anteriormente, tendríamos que estar
atentos a los mensajes ICMP unreacheable para saber si concuerdan los MTU’s. Pero debido a
que muchos router y firewall bloquean estos tipos de ICMP, PMTUD no funciona bien.
Filtering Fragments
IP Virtual Reassembly
El Virtual Reassembly permite al router tener una imagen completa de una paquete
fragmentado. En este caso, el IOS no lo está ensamblando todo, sino que espera a juntarlo
todo virtualmente. Si no se llega a completar los fragmentos, se descarta el paquete. Algunas
aplicaciones como NAT e IPS necesitan de este para realizar una verdadera inspección de los
paquetes. Este comando se activa automáticamente en NAT por ejemplo.
IPv6 Fragmentation
Para el caso de IPV6, el bit DF siempre está activado. Un router no puede fragmentar un
paquete Ipv6, por lo tanto si un paquete es demasiado grande, entonces genera un paquete
ICMP IPv6 Tipo 2 dirigido a la fuente con un código PTB ( Paacket Too Big)y también
proporciona l tamaño del MTU del siguiente salto. Por lo tanto la fragmentación se da en la
fuente mismo.
ICMPv6 Type 2
Tener en cuenta que este tipo de mensajes no deben ser fultrados para que la fuente se entere
que debe fragmetnar. Con respecto a la fragmentación ipv4m no hay mejora significativa.
Es un numeor que desciende en 1 cada vez que realiza un salto. Para IP, el ttl predetermiando
es 64. Ejemplo aplicado a un Access list.
- Deniega un TOS 3, y ttl igual a 10 y 20. Despues deniega ttl gt(mayor) que 154 sin
fragmentos. Por ultimo un ttle diferente ded 1 y lo manda al log.
----[]
TUNELES
Un túnel es un mecanismo por el cual nos permite transportar un protocolo sobre un red que
típicamente no lo soportaría. Por ejemplo Applet Talk no puede pasarse pr un red IP.
GRE
Protocolo de Cisco y ahora está en la IETF. Encapsula a través de enlaces virtuales punto a
punto. Numero protocolo ip es 47.
Encapsula una gran cantidad de protocolos. Ademas el túnel también es aprovechado para
interconectar redes privadas a travez de internet, usando interfaces tuneles. Para el caso d
NATEO, se debe crear un Access list en el GRE/IPSEC muchas veces para filtrar un nateo y
evitar que se vaya por internet.
- GRE permite encapsular trafico multicast.
Ahora la interfaz tunnel se le tratara como una conexión directa al router. Todas las rutas
estáticas, negociaciones dinámicas, etc, se harán en base a estas interfaces.
Por cuestiones de diseño, es preferible configurar los keepalive de los tuneles, ya que no se da
cuenta cuando cae el otro extremo.
IPSEC
- Confidencialidad
- Authentication
- Integridad
- Antireplay: evita que loos pquetes se duplicquen.
Uno de los principales protocolos que usa IPSEC es IKE (Internet Key Exchange). Provee de
encriptación autenticada usando encryption keys, el cual son periódicamente cambiado, pero
también se puede configurar manualmente estas keys. Hay 2 fases para establecer un tunnel
IPSEC:
1. ISAKMP (IKE Phase 1): Los gateways negocian una canal bidireccional que servirá para
proteger la siguiente fase de negociacion. En esta fase, el SA es bidireccional, es decir,
que el mismo intercambio de keys es usado por los datos que fluyen en cualquier
dirección.
2. IKE Phase 2: Ocurre dentro de la protección de un túnel IKE phase 1. Usando ese canal
creado, se establece un par de SA’s (tomados como canales, uno para cada sentido).
Indica también si va a usar ESP (incluye el cifrado) o AH.
Modo Transporte
Solo la carga útil (datos a transferir9 son cifrados y/o autenticadas. Una forma de encapsular
menajes IPSEC y que pasen el NAT, es el NAT-T.
Modo Tunel
En esta caso todo el paquete es cifraddo y/o autenticado. Ya que todo el paquetes es cifrado,
debe ajustarse al enrutamiento el neuvo paquete. Usado en vpns.
Desventajas de IPSEC
- No evita DOS.
- AUntentica dispositivos, no ususarios.
DMVPN
Con una topología Hub and Spke (Topologia estrella par la WAN), se puede configurar tunneles
estáticos. Este protocolo combina mGRE, IPSEC (opcional) y NHRP.
La ventaja de este protocolo es que comúnmente se tendría que configurar GRE/IPSEC
estáticamente para cada nuevo Spoke que vaya al Hub, ahora configurando solo una interfaz
tunnel mGRE y un solo perfil IPSEC en el Hub router para administrar a todos los Hub router.
Por lo tanto la configuración del Hub router permanece constante.
Otra característica es que GRE utiliza NHRP para configurar y resolver la dirección destino del
Peer. Esta característica permite que IPSEC se active inmediatamente para crear tuneles GRE
de punto a punto sin ninguna configuración de Peer.
DMVPN que crea túneles temporales entre los SPOKES mediante el protocolo NHRP. La función
de NHRP es como una tabla de enrutamiento. EL Hub se convertirá en una NHS (NHRP server)
y los Spoke se convertirán en NHC (NHRP Client). La comunicación spke-spke esta habilitada en
la Fase 2.
Hay casos en que se configuran no solo un mGRE, sino varios, para estos casos, al usar nhrp, se
vuelve full mege automativamente. Con solo 1 mGRE, los tuenesl son temproales.
La fase 3 se activa configurando
NRHP
Como se menciono, hace la tarea como una tabla de enrutamiento aplicado a los tunneles.
Cuando un Spoke se conecta por primera vez a la red DMVPN, registra su dirección interna
(tunnel) y externa (interfaz real). Para que todos se peuden comincar y establecer como una
VPN en común, se debe tener el NHRP network-id iguales en todos los router.
IS-IS no es compatible con DMVPN ya que no son paquetes IP. DMPVN tampoc es compatible
con RIPV1.
Fases DmVPN
EVN
Para un verdadera aislamiento de rutas, EVN porporciona la simplicidad de capa 2 con los
controles de capa3. Aprovecha la tecnología de vrf-lite para:
Compatible para pequeñas empresas ya que solo admite 32 dnets. Existe una vnet tag
(identifica la vlan) y vrf definition (vrf).
Admite 2 protocolos de autenticación: PAP y CHAP. Estos protocolos son soportados por
interfaces tanto síncronas como asíncronas. PPP es un protocolo de L2 que puede establecer
una conexión directa entre 2 nodos. Se compone de 3 componentes principales:
LCP
Encargado de establecer, mantener y terminar la sesión. Usado para acordar una serie de
parámetros que van a ser usados sobre ese enlace.
NCP
Usado para acordar parámetros referentes a los protocolos de red que van a operar sobre el
enlace:
Inicialmete se intercambian paquetes ncp para luego ya para el enalce con el protocolo
negociado.
Autenticacion PAP
Chap usa un challenge string y requiere que el cliente suministre el username y password. Su
username default es “Hostname”
PPPOE
Con PPP los ISP lo pueden usar para a cada cliente una dirección ipv4 publica. Los enlaces
Ethernet no son compatibles con PPP de forma nativa. 8 clientes pueden ser configurados en
un solo CPE y conectarse sobre DMVPN, pero solo el cliente puede iniciar la sesión PPPOE. Para
esta razón se creó PPPoE (PPP over Ethernet). Este nuevo protocolo permite el envío de
tramas PPP encapsuladas dentro de tramas Ethernet.
PPPoE crea un tunnel PPP a través de la conexión Ethernet. Luego el Modem DSL convierte las
tramas Ethernet a tramas PPP eliminando la cabecera Ethernet. El modem luego transmite
estas tramas al ISP por medio de la DSL. Con esto, el ISP podrá continuar utilizando el mismo
modelo de la autenticación con el analógico y el ISDN.
Para configurar un túnel PPP la configuración usa interfaces dialer. Un dialer se una interfaz
virual. La configuración del PPP está ubicada en la interfaz dialer y no en la física. El cliente
peude crear una ip estatica pero es mas probable que el ISP le asigne automáticamente.
El ISP autentica al cliente por CHAP, una autenticación unidireccional. Las credenciales del
cliente deben coincidir con las credenciales configuradas en el router del ISP.
La interfaz física que se conecta al modem DSL se habilita con el comand “pppoe enable”, que
vincula la interfaz física con la interfaz dialer por medio del “#dialer pool” y “pppo
client”usando el mismo numero.
NOTA: El valor del MTU se debe reducir a 1492 frente a 1500 default (el header es de 8 byte
del PPP). Ademas el Dialer es bajo demanda, si se quiere que sea permanente se debe
especificar un “persistent” al dialer.
Fase de sesión: La fase de Sesión negocia y autentica y una vez completada PPPOE funciona
como capa 2 y transmite las tramas PPP dentro de las tramas PPPOE.
Infrastructure Services
SNMP
Protocolo para la administración de la red, por lo tanto se restringe el acceso. Opera en la capa
7.
La acción GET proporciona al SNMP Manager acceso de lectura al MIB del SNMP Agent. La
acción SET proporciona acceso de escritura y lectura al SNMP Agent. El MIB solo esta
disponible para los SNMP Managment. El Agent es UDP 161 y el Managment 162 (SNMP Trap).
Versiones
V1: Utiliza community strings (se intercambia texto plano) para la autenticación. Obsoleto.
V2: Mejoró la seguridad y otras características, sigue usando las community strings.
AuthNoPriv: autentica los mensajes con MD5 pero no encrypta los mensajes.
CONFIGURACION
EL “ro” indica Read-only, también se peude reemplazar por “rw” Read Write.
Snmp-server managment : Habilita al equipo para que envie SNMP request y response.
Para el caso de SNMPv3, al usar el primero modo, solo el username hace match para la
autenticación.
NTP
Usa el puerto UDP 123. “NTP disable” deshabilita el trafico NTP en una interfaz.
Modos NTP
VRF
Usado para analizar el flujo del tráfico en la red, volumen, conversaciones, etc. En un router
habilitado con netflow, exporta las estadísticas del tráfico que luego es recopilado por el
Collector. Existen versiones 5 y 9.
La versión 9 está basado en plantilla (template based). El template peude incrmeentar el uso
del BW. Pertenece a la IETF.
RADIUS TACACS
RADIUS sólo cifra la contraseña en el paquete de solicitud de acceso, del cliente al servidor. El
resto del paquete no está cifrado.
TACACS+ cifra todo el cuerpo del paquete pero deja un encabezado estándar de TACACS+.
Propietario cisco?