MPLS (Multiprotocol Label Switching)
Enrutamiento Óptimo entre Sitios
En un escenario MPLS, se requiere solo una conexión MPLS con un proveedor de servicios (SP).
Conmutación en capa 2 y 3.
Envía paquetes cortos con etiquetas de longitud fija.
Beneficios de MPLS
- Reduce la búsqueda de enrutamiento.
- Reenvía los paquetes MPLS basándose en etiquetas.
Las etiquetas suelen corresponder a las redes IP de destino (igual al reenvío IP tradicional).
Las etiquetas también pueden corresponder a otros parámetros:
- VPN de capa 3 de destino
- Circuito de capa 2
- Interfaz de salida en el router
- Calidad de Servicio (QoS)
- Dirección de origen
MPLS soporta el reenvío de todos los protocolos de capa 3, no sólo IP. Solo los routers de borde deben realizar una búsqueda de enrutamiento. Los routers núcleo conmutan paquetes basándose en búsquedas simples de etiquetas e intercambio de etiquetas.
Terminología MPLS
- Etiqueta:
- Es un identificador de tamaño fijo que identifica un grupo de redes que comparten un destino común. Normalmente tiene significado local.
- Pila de Etiquetas:
- Es un conjunto de etiquetas donde cada una es independiente de las otras.
- Intercambio de Etiquetas:
- Es la operación básica de envío en la red MPLS, consiste en identificar el tráfico de entrada y colocarle una etiqueta de salida.
- Salto con Conmutación de Etiquetas (LSH):
- Es el salto entre dos nodos MPLS en el cual el envío se hace a través de etiquetas.
- Ruta con Conmutación de Etiquetas (LSP):
- Es el camino a través de uno o más LSR según la jerarquía.
- Router de Conmutación de Etiquetas (LSR):
- Es un nodo MPLS capaz de enviar paquetes etiquetados.
- Dominio MPLS:
- Es un conjunto de nodos que llevan a cabo enrutamiento MPLS y que normalmente pertenecen al mismo dominio administrativo.
- Nodo de Borde MPLS:
- Es un nodo MPLS que conecta con un nodo vecino que está fuera del dominio MPLS.
- Nodo de Ingreso MPLS:
- Es un nodo de borde que maneja tráfico que entra en el dominio MPLS.
- Etiqueta MPLS:
- Es una etiqueta que se añade en la cabecera del paquete y que representa el FEC (Forwarding Equivalence Class) del paquete.
Tipos de Routers MPLS
- Router de Borde (Edge): Pueden enrutar en etiquetas y en capa 3.
- Router de Núcleo (Core): Solo trabajan con etiquetas.
Técnicas de Conmutación
- Intercambio (Swapping):
- Pasar de una etiqueta a otra etiqueta.
- Conmutación por Proceso:
- Es demasiado lento, ya que tiene que buscar la ruta en la tabla de enrutamiento. Está obsoleto.
- Conmutación Rápida (Fast Switching):
- Guarda en caché la respuesta de la tabla de enrutamiento contra la MAC.
- Enrutamiento Express de Cisco (CEF):
- Es una tecnología que utiliza la FIB (Forwarding Information Base), que es una imagen de la tabla de enrutamiento.
- Conmutación Dirigida por Caché:
- Los paquetes de destino son almacenados en la memoria y utilizados para hacer envíos.
- Conmutación Dirigida por Topología:
- La FIB se construye antes de que se realicen las tareas de envío.
Nomenclatura de Routers MPLS
- Edge LSR o PE: Router de extremo del cliente donde se realiza la transición de paquete IP a paquete etiquetado.
- P o LSR: Opera solo dentro del área MPLS, donde se procesan únicamente etiquetas.
MPLS VPN
MPLS VPN (Multiprotocol BGP – MP-BGP): Se utiliza para propagar una segunda etiqueta que identifica a la VPN, además de la etiqueta que se propaga por el Protocolo de Distribución de Etiquetas (LDP) para identificar la ruta.
MPLS TE (Traffic Engineering): Usa RSVP para establecer túneles LSP. RSVP propaga información adicional sobre etiquetas usadas para identificar el túnel LSP.
MPLS VPN junto con MPLS TE: Tres o más etiquetas se utilizan para identificar la VPN, el túnel LSP y la LSP subyacente.
Componentes de MPLS VPN
- Distinguidor de Ruta (RD):
- Es un identificador de 64 bits que se antepone delante de la IPv4, haciendo que esta sea globalmente única.
- Objetivo de Ruta (RT):
- Es un atributo que se asocia a las rutas VPNv4 BGP.
- Tabla de Enrutamiento y Reenvío Virtual (VRF):
- Es una instancia de enrutamiento específica para un cliente.
Planos de MPLS
- Plano de Control:
- Mantiene la tabla de enrutamiento y las etiquetas que se intercambian entre los dispositivos adyacentes. Contiene mecanismos complejos, tales como RIP, OSPF, EIGRP, IS-IS y BGP para el intercambio de información de enrutamiento. Intercambia etiquetas, como LDP, BGP y RSVP.
- Plano de Datos:
- Envía tráfico basándose en direcciones destino o etiquetas, también conocido como plano de reenvío o forwarding plane. Aquí se encuentran la FIB y la LFIB.
Estructura de una Etiqueta MPLS
- Etiqueta (Label): 20 bits, este es el propio campo de la etiqueta.
- COS (Class of Service) Experimental: 3 bits, Cisco lo utiliza para QoS.
- Indicador de Fondo de Pila (Bottom of Stack): 1 bit, usado cuando existen múltiples etiquetas MPLS en un mismo paquete.
- Tiempo de Vida (TTL): 8 bits, cumple las mismas funciones que en la cabecera IP.
Routers de Conmutación de Etiquetas
- LSR:
- Un dispositivo que envía paquetes basado principalmente en etiquetas.
- Edge LSR:
- Un dispositivo que principalmente etiqueta los paquetes o remueve las etiquetas.
Estructuras de Datos de Etiquetas
- LIB (Label Information Base): En el plano de control, es la base de datos que utiliza LDP. Aquí, un prefijo IP se le asigna una etiqueta con significado local, que está asignada a una etiqueta del siguiente salto aprendida de un vecino.
- LFIB (Label Forwarding Information Base): En el plano de datos, se utiliza para enviar paquetes etiquetados. Las etiquetas locales, previamente anunciadas a los vecinos, se asignan a la etiqueta del siguiente salto, recibida de los vecinos.
- FIB (Forwarding Information Base): En el plano de datos, se utiliza para reenviar paquetes IP sin etiqueta. Un paquete se etiqueta si una etiqueta del siguiente salto está disponible para una red IP de destino específica. De lo contrario, el paquete no se etiqueta.
Penúltimo Salto Estallar (PHP)
Utilizando PHP, un LSR remueve la etiqueta externa de un paquete MPLS con múltiples etiquetas antes de pasarlo a un LSR Edge adyacente. El proceso reduce la carga sobre el Edge LSR. La aplicación de PHP en redes con QoS requiere una cuidadosa consideración. Por ejemplo, los routers de salida en el borde de la red MPLS no usan PHP.
Sin PHP, el LSR Edge debe realizar al menos dos búsquedas de etiqueta:
- Etiqueta externa: Indica que el paquete debe tener la etiqueta removida en este router.
- Etiqueta interna: Identifica la instancia VRF a utilizar para el enrutamiento IP posterior.
Configuración de MPLS
Configurar CEF, configurar el modo de trama MPLS en las interfaces y configurar las MTU apropiadas.
Protección ante Amenazas
Zonas Desmilitarizadas (DMZ)
Cisco IOS Firewall utiliza las DMZ para aislar servicios de la red interna. Las DMZ no son redes internas ni externas. El acceso a la DMZ se controla mediante firewalls dedicados, como PIX o ASA de Cisco, o un router con múltiples interfaces.
- ALG (Application Layer Gateway):
- Aparenta ser el servidor para el cliente, pero en realidad es un cliente del servidor interno.
- VLAN Privada:
- Es una o varias VLAN dentro de una VLAN principal, generalmente la de administración.
La mejor opción, aunque costosa, es configurar varias DMZ para aislar y proteger diferentes tipos de servicios.
Fundamentos de los Firewalls
Bloquean el acceso no autorizado. Son dispositivos o conjuntos de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico según normas y criterios. Pueden ser implementados en hardware, software o ambos. Utilizan estas tecnologías:
- Filtrado de Paquetes: Usa IP y puertos con ACL. Es la implementación más simple. No registra el estado de las conexiones.
- Gateway de Capa de Aplicación (ALG): Funciona como un servidor proxy. El tráfico del usuario es interceptado por el servidor proxy, que responde como si fuera el servidor que provee el servicio. Es seguro porque las conexiones finalizan en la DMZ, no en la red interna.
- Filtrado Stateful Inspection: Usa ACL y registra el estado de las conexiones. Evolución del filtrado de paquetes tradicional. No acepta tráfico de entrada a menos que corresponda a una conexión establecida o iniciada desde la red interna. Permite filtrado en la capa 7 (aplicación).
Para conexiones UDP, al no haber sesión, se usa filtrado tradicional.
| Aplicaciones | Características |
|---|---|
| TCP | Chequea el flujo de información y el número de secuencia. |
| UDP | Es difícil de seguir, no hay números de secuencia. Chequea timeouts, registra direcciones IP y puertos UDP de origen y destino. |
| Aplicaciones | Está pendiente de la negociación. |
| Servicios sin conexión (GRE, IPsec, etc.) | Normalmente opera en modo de filtrado de paquetes stateless. |
Componentes del Firewall IOS de Cisco
- Firewall IOS: Firewall Stateful Packet con las siguientes características:
- Permite o deniega tráfico TCP o UDP específico.
- Registra el estado de las conexiones.
- Modifica las ACL dinámicamente.
- Protege contra ataques DoS.
- Inspecciona los paquetes.
- Proxy de Autenticación: Utiliza RADIUS o TACACS+ para HTTP, HTTPS, FTP y Telnet.
- IPS (Intrusion Prevention System): Detecta y responde a más de 700 tipos de ataque. Puede:
- Bloquear el tráfico malicioso.
- Resetear la conexión.
- Enviar una alerta.
Operación de los IDS e IPS
Los IDS (Intrusion Detection Systems) son pasivos, reciben una copia del tráfico y lo analizan. Alertan o configuran dispositivos para detener ataques.
Los IPS (Intrusion Prevention Systems) son activos, el tráfico pasa a través de ellos. Alertan o bloquean paquetes sospechosos. Detectan virus, gusanos, troyanos y exploits.
Categorías de IDS e IPS
- Red (NIDS/NIPS): Monitorizan varios dispositivos.
- Host (HIDS/HIPS): Residen en la estación o servidor. Ven el tráfico aunque esté encriptado. Ejemplo: Cisco Security Agent.
- HIDS: Basado en red (denegación de servicios).
- HIPS: Basado en sistemas (aplicación).
Otra categorización depende de cómo identifican el tráfico malicioso:
- Basados en Firmas Digitales: Buscan patrones específicos.
- Basados en Políticas: Examinan cadenas de paquetes para determinar patrones y comportamientos.
- Basados en Anomalías: Buscan comportamientos inusuales.
- Basados en Equipo de Trampa (Honeypot): Atraen ataques con un servidor ficticio.
Firmas en IDS e IPS
Una firma es un patrón de tráfico que causa una reacción. Los IPS e IDS usan SME (Signature Microengine) para detectar firmas. Categorías:
- Exploit: Identifica paquetes maliciosos que coinciden con un patrón. Requiere firmas específicas para cada exploit.
- Conexión: Monitoriza conexiones y protocolos válidos. Detecta comportamientos anómalos.
- Cadena: Usan expresiones regulares para coincidir con patrones.
- DoS (Denial of Service): Examinan el comportamiento típico de ataques DoS.
7 Pasos para Hackear una Red
- El hacker crea una huella de la organización.
- Enumera la información.
- Manipula usuarios para obtener acceso.
- Intenta elevar sus privilegios.
- Obtiene claves secretas.
- Instala puertas traseras y redirige puertos.
- Se aprovecha de los sistemas comprometidos.
Tipos de Atacantes
- Hackers:
- Ingresan a las redes para aprender, algunos con malas intenciones.
- Crackers:
- Hackers con intención criminal. Buscan lucro.
- Phreakers:
- Atacan sistemas de telefonía.
Prácticas para Frenar a un Hacker
- Mantener actualizados los parches.
- Cerrar puertos y servicios innecesarios.
- Controlar el acceso físico.
- Evitar entradas innecesarias a páginas web.
- Realizar copias de seguridad y probarlas.
- Educar a los empleados sobre ingeniería social.
- Encriptar datos sensibles.
- Implementar hardware y software de seguridad (firewall, IPS, antivirus).
- Desarrollar una política de seguridad.
Ataques de Acceso
- Ataques de Contraseña: Adivinar contraseñas (ej. ataque de diccionario).
- Explotación de Confianza: Usar privilegios de forma no autorizada.
- Redirección de Puertos: Usar un sistema comprometido para atacar otros objetivos.
- Man-in-the-Middle: Interceptar la comunicación entre dos entidades.
- Desbordamiento de Búfer: Escribir datos más allá del límite de un búfer en memoria.