Interconexion de switches

887 views
745 views

Published on

interconexion de switches

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
887
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Point-to-Point Protocol (PPP) Because PPTP and L2TP depend heavily on the features originally specified for PPP, it is worth examining this protocol more closely. PPP was designed to send data across dial-up or dedicated point-to-point connections. For IP, PPP encapsulates IP packets within PPP frames, and then transmits the PPP-encapsulated packets across a point-to-point link. PPP was originally defined as the protocol to use between a dial-up client and a NAS. There are four distinct phases of negotiation in a PPP connection. Each of these four phases must complete successfully before the PPP connection is ready to transfer user data. Phase 1: PPP Link Establishment PPP uses the Link Control Protocol (LCP) to establish, maintain, and terminate the logical point-to-point connection. During Phase 1, basic communication options are selected. For example, authentication protocols are selected, but they are not actually implemented until the connection authentication phase (Phase 2). Similarly, during Phase 1, a decision is made as to whether the two peers will negotiate the use of compression and/or encryption. The actual choice of compression and encryption algorithms and other details occurs during Phase 4. Phase 2: User Authentication In the second phase, the client computer sends the user’s credentials to the remote access server. A secure authentication scheme provides protection against replay attacks and remote client impersonation. A replay attack occurs when a third party monitors a successful connection and uses captured packets to play back the remote client’s response so that it can gain an authenticated connection. Remote client impersonation occurs when a third party takes over an authenticated connection. The intruder waits until the connection has been authenticated and then traps the communication parameters, disconnects the authenticated user, and takes control of the authenticated connection. Phase 3: PPP Callback Control The Microsoft implementation of PPP includes an optional callback control phase. This phase uses the Callback Control Protocol (CBCP) immediately after the authentication phase. If configured for callback, both the remote client and NAS disconnect after authentication. The NAS then calls the remote client back at a specified phone number. This provides an additional level of security to dial-up connections. The NAS allows connections from remote clients physically residing at specific phone numbers only. Callback is only used for dial-up connections, not for VPN connections. Phase 4: Invoking Network Layer Protocol(s) Once the previous phases have been completed, PPP invokes the various network control protocols (NCPs) that were selected during the link establishment phase (Phase 1) to configure protocols used by the remote client. For example, during this phase, IPCP is used to assign a dynamic address to the PPP client. In the Microsoft implementation of PPP, the Compression Control Protocol (CCP) is used to negotiate both data compression (using MPPC) and data encryption (using MPPE). Data-Transfer Phase Once the four phases of PPP negotiation have been completed, PPP begins to forward data to and from the two peers. Each transmitted data packet is wrapped in a PPP header that is removed by the receiving system. If data compression was selected in phase 1 and negotiated in phase 4, data is compressed before transmission. If data encryption is selected and negotiated, data is encrypted before transmission. If both encryption and compression are negotiated, the data is compressed first, and then encrypted.
  • PPTP is a Microsoft-developed protocol that has become the de facto industry standard due to its wide deployment in Windows; PPTP clients ship with all versions of Windows since Microsoft® Windows® 95, with Mac OS X, and with most Linux distributions. PPTP supports a variety of authentication methods, which we’ll discuss later, and it encrypts connections in both directions using a randomly generated, and periodically changed, symmetric key. You may have heard from customers that PPTP is insecure; in fact, there were some vulnerabilities discovered in the NT 4.0 timeframe, but Microsoft moved quickly to fix them. A few non-Microsoft PPTP implementations on Linux still have a number of implementation flaws. Unlike PPTP, the Layer 2 Tunneling Protocol (L2TP) is a pure tunneling protocol. It doesn’t incorporate any authentication or encryption, which makes it unsuitable for use on its own. L2TP is almost always combined with the IPsec extensions for VPN functionality: this combination provides strong encryption and authentication, plus tunneling that can be used either to link two remote networks or a single remote client to a network (we’ll discuss these two modes in the IPsec module). For the remainder of this course, we’ll treat the L2TP+IPsec combination as though it were a single protocol.
  • Microsoft TechNet Seminar 2006 Seminar Name
  • Interconexion de switches

    1. 1. Interconexión de switches Ing. John Antony Ruíz Cueva COMUNICACIÓN DE DATOS
    2. 2. Interconexión de redes  Dos redes LAN separadas intercambian datos y existen dos maneras para hacerlo:  Enlaces punto a punto.  Utilización de VPNs sobre Internet
    3. 3. Enlaces punto a punto  Alta velocidad, alta confiabilidad.  Calidad de servicio garantizada.  Costo muy elevado.  Requiere equipos especiales.  Ejemplos:  ATM  Frame Relay
    4. 4. Frame Relay
    5. 5. Repaso de Frame Relay  Frame Relay fue originalmente desarrollado como una extensión de Integrated Services Digital Network (ISDN).  Designado para habilitar el transporte de la tecnología conmutada por circuitos en una red conmutada por paquetes.  Los switches de Frame Relay crean circuitos virtuales para conectar LANs remotas a una WAN.  La red de Frame Relay existe entre la frontera de un dispositivo LAN usualmente un router, y el switch del carrier.
    6. 6. Características de Frame Relay  Barato  Fácil configuración del equipo de usuario  Interface de trama de Circuito Virtual  Servicio público  Backbone privado  Disponible hasta 2 Mbps  Conmutación-paquetes, Orientado-conexión, Servicio WAN  Opera en la capa de enlace de datos de OSI
    7. 7. FRAME RELAY USA CIRCUITOS VIRTUALES CONMUTADOS FRAME RELAY
    8. 8. Topología de Estrella de Frame Relay  Hub con un enlace físico llevando múltiples circuitos virtuales.
    9. 9. Topología Malla de Frame Relay  Cada DTE tiene un enlace físico llevando 4 circuitos virtuales.
    10. 10. RED PRIVADA VIRTUAL (VPN)
    11. 11. Redes Virtuales Privadas (VPN) Las Redes Virtuales Privadas VPN’s son un concepto de tecnología que permite conectar varias LAN’s o estaciones remotas entre sí, de forma segura y confidencial, a través de un medio inseguro como INTERNET, mediante el uso de la autenticación, encriptación y túneles para las conexiones.”
    12. 12. ¿Que es una VPN?  Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red pública.
    13. 13. Redes Virtuales Privadas (VPN)
    14. 14. Beneficios de las VPN  Ahorro de costes directos  Reducción del tiempo de aprendizaje  Reducción de equipos  Reducción de soporte técnico necesario  Aumento de flexibilidad  Escalabilidad: extiende la red WAN a más usuarios remotos  Soporta más conexiones y ancho de banda  Basadas en rendimiento, fiabilidad de conexión, cantidad de información y no en tiempo de conexión y en distancia
    15. 15. Escenarios típicos donde usar VPN  Branch Offices o delegaciones. Empresas separadas geográficamente necesitan compartir datos de forma segura  Extranets Empresas diferentes necesitan hacer negocios de forma segura  Usuarios móviles o road-warriorws Personas que necesitan acceder a la red de la empresa de forma segura desde cualquier parte
    16. 16. Tecnologias Anteriores Redes Virtuales Privadas (VPN) Tecnologias anteriores a las VPN Enlaces Dedicados Enlaces Conmutados ATM Clear Channel Frame Relay Digitales RSDIAnalógico Acceso Remoto a Redes
    17. 17. Tecnologías Anteriores a VPN Enlaces Dedicados Fueron la primera tecnología WAN que se adoptó usando la infraestructura de voz de los distintos operadores de telefonía. Se necesitaban conexiones físicas reales necesitando de un proveedor en cada sitio resultando en una solo línea de comunicación entre dos partes.
    18. 18. FRAME RELAY• Método de comunicación orientado a paquetes para la conexión de sistemas informáticos. • Frame Relay es un protocolo WAN de alto rendimiento que trabaja en la capa física y de enlace de datos del modelo de referencia OSI. • Permite compartir dinámicamente el medio y por ende el ancho de banda disponible. • Ofrece un alto desempeño y una gran eficiencia de transmisión. • Ofrece un ancho de banda en el rango de 64 kbps 4 Mbps. Tecnologías Anteriores a VPN Enlaces Dedicados
    19. 19. •ATM (Asynchronous Transfer Mode / Modo de Transferencia Asíncrono) es un protocolo de transporte de alta velocidad. • Actualmente tiene mucho uso como red troncal (Backbone). • La velocidad de trabajo en ATM es 155 Mbps y 622 Mbps (4 canales a 155 Mbps). Tecnologías Anteriores Enlaces Dedicados
    20. 20. ATM ha sido definido para soportar de forma flexible, la conmutación y transmisión de tráfico multimedia comprendiendo datos, voz, imágenes y vídeo. Tecnologías Anteriores a VPN Enlaces Dedicados
    21. 21. ACCESO REMOTO)• En este tipo de arquitecturas existe un RAS (Remote Access Server) que actúa como una puerta de enlace entre el cliente remoto y la red. Después de que un usuario haya establecido la conexión por medio de una llamada, la línea telefónica es transparente para el usuario, y este puede tener acceso a todos los recursos de la red como si estuviera ante un equipo directamente conectado a ella. • Este tipo de implementación fue el antecesor más próximo de las VPNIP, sus deficiencias radican en los costos de las llamadas que se deben efectuar, principalmente las de larga distancias y la falta de confidencialidad en la transmisión de la información ya que no soportan encriptación de datos. Tecnologías Anteriores a VPN Enlaces Conmutados
    22. 22. Tecnologías Anteriores a VPN Enlaces Conmutados
    23. 23. Redes Virtuales Privadas (VPN) • El proceso de encriptación y desencriptación se realiza a nivel físico. • Se necesita equipos que permitan realizar esta tarea de forma transparente. • Por lo general los elementos utilizados son los routers con VPN incorporada. • Estos dispositivos llevan incorporado un procesador y algoritmos de encriptación. Implementación por Hardware
    24. 24. Redes Virtuales Privadas (VPN) Implementación por Software • Existe una gran variedad de Redes Privadas Virtuales desarrolladas por software, donde elegir y que están continuamente mejorando sus prestaciones. • El número de usuarios de este tipo de red es mucho mayor que el número de usuarios de VPNs realizadas por hardware, con lo que la posibilidad de encontrar documentación y ayuda para estos elementos es mayor. • Pueden dar cobertura tanto a redes internas (intranet) como redes externas. • La seguridad puede cubrir de máquina a máquina, donde se encuentren colocados los extremos de la VPN.
    25. 25. Redes Virtuales Privadas (VPN) Tecnologías VPN-IP • PPTP (Point to Point Protocol Tunneling). • L2TP (Layer 2 Protocol Tunneling). • IPSec (Internet ProtocolSecurity). • MPLS (Multiprotocol Label Switching). • VPNs SSL/TLS (Secure Socket Layer - Transport Layer Security).
    26. 26. Redes Virtuales Privadas (VPN) Fue la primera aplicación que se le dio a la emergente tecnología de las VPNs. • Esta solución nació de la necesidad de poder acceder a la red corporativa desde cualquier ubicación, incluso a nivel mundial. • Con el Acceso Remoto VPN, los RAS corporativos quedaron olvidados, pues su mantenimiento era costoso y además las conexiones que tenían que hacer los trabajadores de planta externa eran muy costosas. ACCESO REMOTO
    27. 27. Redes Virtuales Privadas (VPN) ACCESO REMOTO
    28. 28. Redes Virtuales Privadas (VPN) • En general, cuando se necesita concentrar tráfico en al menos un nodo, es preferible usar tecnologías como Frame Relay pues solo se necesita un último kilómetro por el cual viajan todos los PVCs contratados con el proveedor de servicio; pero económicamente sigue siendo igual de costosa porque las compañías que prestan el servicio de interconexión Frame Relay cobran por PVC activado, así usen la misma solución de último kilómetro. • A parte del alto precio que tiene una solución Frame Relay o Clear Channel, hay otros factores a tener en cuenta para decidir cambiar este tipo de tecnologías a una solución usando VPNs, y son entre otras, la seguridad, la eficiencia en el manejo del ancho de banda y la amplia cobertura que ha logrado Internet. INTRANET LAN TO LAN
    29. 29. Redes Virtuales Privadas (VPN) INTRANET LAN TO LAN
    30. 30. Redes Virtuales Privadas (VPN) EXTRANET • Las empresas necesitan intercambiar información y realizar transacciones no solamente entre sitios de su misma organización sino también con otras compañías. Por ejemplo, una empresa manufacturera quisiera permitirle a los computadores de sus distribuidores accesar a su sistema de control de inventarios. • También dicha empresa quisiera poder accesar a la base de datos de sus proveedores y poder ordenar fácil y automáticamente cuando ellos necesiten materia prima. Hoy en día todas las empresas están haciendo presencia en la Internet y esto hace casi imperativo la comunicación con las otras empresas por este medio.
    31. 31. Redes Virtuales Privadas (VPN) EXTRANET
    32. 32. Redes Virtuales Privadas (VPN) • Es quizá el protocolo más sencillo de entunelamiento de paquetes. • En general, usado por pequeñas empresas. • Debido a la integración que hizo Microsoft en sus sistemas operativos, PPTP tuvo gran acogida en el mercado mundial. • PPTP se soporta sobre toda la funcionalidad que PPP le brinda a un acceso conmutado para construir sus túneles a través de Internet. • Es capaz de encapsular paquetes IP, IPX y NETBEUI. • PPTP encapsula paquetes PPP usando una versión modificada del Protocolo de Encapsulamiento Ruteado Genérico (GRE - Generic Routing Encapsulation) PPTP PROTOCOLO DE TUNEL PUNTO A PUNTO
    33. 33. Redes Virtuales Privadas (VPN) • L2TP fue creado como el sucesor de PPTP y L2F. • Las dos compañias abanderadas de cada uno de estos protocolos, Microsoft por PPTP y Cisco por L2F, acordaron trabajar en conjunto para la creación de un único protocolo de capa 2 y lograr su estandarización por parte de la IETF. • Soporta multiprotocolo. • Permite que un único túnel soporte más de una conexión. • El Entunelamiento no depende de IP y GRE. •no cifra en principio el tráfico de datos de usuario, lo cual puede dar problemas cuando sea importante mantener la confidencialidad de los datos. L2TP PROTOCOLO DE TUNEL CAPA 2
    34. 34. Redes Virtuales Privadas (VPN) • IPSec es un conjunto de protocolos diseñados para proveer una seguridad basada en criptografía robusta para IPv4 e IPv6, de hecho IPSec está incluido en IPv6. • Entre los servicios de seguridad definidos en IPSec se encuentran, control de acceso, integridad de datos, autenticación del origen de los datos, protección antirepetición y confidencialidad en los datos. • Es un protocolo modular, ya que no depende de un algoritmo criptográfico específico. • Trabaja en la Capa 3 del Modelo OSI, es independiente tanto del nivel de transporte como de la infraestructura de la red. • Solo aplicable a IP (Protocolo de Internet). IPSec PROTOCOLO DE SEGURIDAD INTERNET
    35. 35. Redes Virtuales Privadas (VPN) IPSec PROTOCOLO DE SEGURIDAD INTERNET
    36. 36. Redes Virtuales Privadas (VPN) Redes Virtuales Privadas sobre SSL • Los objetivos iniciales de la primera generación de VPN- SSL fueron: 1- Facilitar el acceso a través de cortafuegos. 2- Ser una solución de acceso remoto que trabaje desde cualquier lugar independientemente de los dispositivos NAT. • SSL-VPN cliente no necesita instalación y ofrece la funcionalidad de un VPN clientes o Web VPN. • Software mas utilizado en VPN-SSL : - SSTP. - OpenVPN. - SSL-explorer. SSL SECURE SOCKET LAYER
    37. 37. Redes Virtuales Privadas (VPN) •El protocolo Secure Socket Tunneling Protocol (SSTP) de Microsoft ,es por definición, un protocolo de capa de aplicación que encapsula tráfico PPP por el canal SSL del protocolo HTTPS. • El uso de PPP habilita la compatibilidad con todos los métodos de autenticación seguros, como EAP-TLS. • El empleo de HTTPS significa que el tráfico pasa a través del puerto TCP 443, un puerto que se suele usar para el acceso web, eliminando así los problemas asociados con las conexiones VPN basadas en PPTP o L2TP. SSTP SECURE SOCKET TUNNELING PROTOCOL
    38. 38. Ventajas de la implementación por Hardware • La instalación y la configuración son relativamentesencillas. • No necesita personal especializado y su mantenimiento es mínimo. • Un único elemento puede habilitar varias VPNs ubicadas en distintos sitios. • El sistema es independiente de las máquinas conectadas a la red. • No necesitamos máquinas dedicadas para realizar la VPN. Redes Virtuales Privadas (VPN) Inconvenientes de la implementación por Hardware • El firmware de los sistemas es cerrado y se depende del fabricante para poder cambiarlo. • Los sistemas de encriptación suelen ser cerrados y el fabricante suele utilizar un único tipo. • En la mayoría de las ocasiones los elementos hardware de los extremos que componen la red privada virtual, deben ser iguales o por lo menos del mismo fabricante. • La seguridad sólo se implementa desde los dos extremos de la VPN, siendo inseguro el camino que recorre la información desde el ordenador hasta eldispositivo VPN.
    39. 39. Redes Virtuales Privadas (VPN) Ventajas de las implementaciones por software • Existe una gran variedad de Redes Privadas Virtuales desarrolladas por software, donde elegir y que están continuamente mejorando sus prestaciones. • El número de usuarios de este tipo de red es mucho mayor que el número de usuarios de VPNs realizadas por hardware, con lo que la posibilidad de encontrar documentación y ayuda para estos elementos es mayor. • Pueden dar cobertura tanto a redes internas (intranet) como redes externas. • La seguridad puede cubrir de máquina a máquina, donde se encuentren colocados los extremos de la VPN.
    40. 40. Funcionamiento de una VPN
    41. 41. Funcionamiento de una VPN  Las VPN pueden enlazar oficinas corporativas con los socios, con usuarios móviles, con oficinas remotas mediante los protocolos como Internet, IP, Ipsec, Frame Relay y ATM
    42. 42. Tecnología de túnel  Las redes privadas virtuales crean un túnel o conducto de un sitio a otro para transferir datos a esto se le conoce como encapsulación además los paquetes van encriptados de forma que los datos son ilegibles para los extraños.
    43. 43. Requerimientos básicos de una VPN Por lo general cuando se desea implantar una VPN hay que asegurarse que esta proporcione:  Identificación de usuario  Administración de direcciones  Codificación de datos  Administración de claves  Soporte a protocolos múltiples  Identificación de usuario
    44. 44. Requerimientos básicos de una VPN  La VPN debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren quien acceso, que información y cuando.  Administración de direcciones  La VPN debe establecer una dirección del cliente en la red privada y debe cerciorarse que las direcciones privadas se conserven así.
    45. 45. Requerimientos básicos de una VPN  Codificación de datos  Los datos que se van a transmitir a traves de la red pública deben ser previamente encriptados para que no puedan ser leídos por clientes no autorizados de la red.  Administración de claves : La VPN debe generar y renovar las claves de codificación para el cliente y el servidor.
    46. 46. Requerimientos básicos de una VPN  Soporte a protocolos múltiples  La VPN debe ser capaz de manejar los protocolos comunes que se utilizan en la red pública. Estos incluyen el protocolo de internet(IP), el intercambio de paquete de internet(IPX) entre otros.
    47. 47. Herramientas de una VPN  VPN Gateway  Software  Firewall  Router  VPN Gateway  Dispositivos con un software y hardware especial para proveer de capacidad a la VPN.  Esta sobre una plataforma PC o Workstation, el software desempeña todas las funciones de la VPN.
    48. 48. Ventajas de una VPN  Dentro de las ventajas más significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. Reducción de costos. Sencilla de usar. Sencilla instalación del cliente en cualquier PC Windows.
    49. 49. Ventajas de una VPN  Control de Acceso basado en políticas de la organización  Herramientas de diagnostico remoto.  Los algoritmos de compresión optimizan el tráfico del cliente.  Evita el alto costo de las actualizaciones y mantenimiento a las PC´s remotas.
    50. 50. VPN en el Modelo OSI 1.Físico 2. Conexión 3. Red 4. Transporte 5. Sesión SSL IPSEC PPTP L2TP Soluciones VPN
    51. 51. PPP  Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto.  Encapsula Paquetes IP  Cuatro fases en la negociación de la conexión: 1. Establecimiento de la conexión (LCP) 2. Autenticación de usuario (PAP, CHAP, MS-CHAP, MS- CHAPv2, EAP) 3. Control de devolución de llamada (CBCP) 4. Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)  Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4
    52. 52. Protocolos de túnel  PPTP  Desarrollado por Microsoft, es un estándar de facto  Esta ampliamente implementado y existen varias implementaciones compatibles  Suficientemente seguro para casi todas las aplicaciones  L2TP  Estándar de la “Internet Engineering Task Force” (IETF)  Unión  Algunos problemas de interoperabilidad.  Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.
    53. 53. VPN para acceso remoto de clientes
    54. 54. VPN conexión entre sedes
    55. 55. Intelligent Application Gateway Client High-Availability, Management, Logging, Reporting, Multiple Portals Authentication Authorization User Experience Tunneling Security Specific Applications Web Client/Server Java/Browser Embedded Exchange/ Outlook OWA SharePoint /Portals Citri x Generic Applications Application Aware Modules SSL VPN Gateway Applications Knowledge Centre OWA … ………... Citrix …….. Sharepoint . ……….... Devices Knowledge Centre PDA ….... Linux …….. Windows . ………... MAC …..... ISO7799 Corporate Governance SarbOx Basel2 Policy & Regulation Awareness Centre W H O ? W H A T? W H ER E? C O M PLIA N T?
    56. 56. Conclusiones  Las VPN representan una gran solución para las empresas en cuanto a seguridad, confidencialidad e integridad de los datos y prácticamente se ha vuelto un tema importante en las organizaciones, debido a que reduce significativamente el costo de la transferencia de datos de un lugar a otro
    57. 57. Conclusiones  El único inconveniente que pudieran tener las VPN es que primero se deben establecer correctamente las políticas de seguridad y de acceso porque si esto no esta bien definido pueden existir consecuencias serias.

    ×