Optimización y Seguridad en Redes: Configuración, Protocolos y Mejores Prácticas

Biotecnología, , , , , , ,

Diferencias entre PAP y CHAP en la Autenticación PPP

Se ha configurado PPP con autenticación entre RA y RB. A continuación, se detallan las diferencias entre PAP y CHAP en cuanto a las fases de establecimiento de la conexión:

  • PAP (Password Authentication Protocol): Es un protocolo básico de autenticación de dos vías. No utiliza cifrado. El nombre de usuario y la contraseña se envían en texto plano. Si las credenciales son aceptadas, se permite la conexión. PAP solo realiza el proceso de autenticación una vez, al inicio de la conexión.
  • CHAP (Challenge Handshake Authentication Protocol): A diferencia de PAP, CHAP realiza comprobaciones periódicas para verificar que el nodo remoto aún posee un valor de contraseña válido. Este valor es variable y cambia de forma impredecible mientras el enlace está activo. CHAP es más seguro que PAP.

Conclusión: CHAP es el protocolo preferido debido a su mayor seguridad, ya que utiliza un mecanismo de desafío-respuesta y la contraseña nunca se envía en texto plano.

Autenticación en Líneas VTY: Login vs. Login Local

Diferencias entre los comandos login y login local en las líneas VTY:

  • login: Habilita la autenticación por contraseña. Se utiliza cuando se configura una única contraseña para el acceso a las líneas VTY.
  • login local: Se utiliza cuando se configuran múltiples usuarios con diferentes credenciales para el acceso a las líneas VTY.

Opciones adicionales para autenticar usuarios:

Sí, existen más opciones para autenticar usuarios, como por ejemplo:

  • Autenticación a través de un servidor RADIUS o TACACS+.

Cifrado de Contraseñas con Enable Secret y MD5

El comando enable secret se utiliza para establecer la contraseña que permite el acceso al modo privilegiado en la administración del sistema. Se recomienda utilizar enable secret en lugar del antiguo comando enable password, ya que este último utiliza un algoritmo de cifrado débil.

enable secret cifra la contraseña utilizando el algoritmo MD5. MD5 ofrece integridad, no confidencialidad.

  • Integridad: Garantiza que el mensaje no ha sido modificado por terceros durante la transmisión. El receptor puede verificar si el mensaje ha sido alterado.
  • Confidencialidad: Mantiene la información secreta, accesible solo para usuarios autorizados.

Algoritmos Simétricos y Asimétricos en SSH

SSH utiliza una combinación de algoritmos simétricos y asimétricos para asegurar la comunicación.

  • Algoritmos Simétricos: Utilizan la misma clave para cifrar y descifrar. Son más rápidos que los asimétricos. Ejemplos: AES (Advanced Encryption Standard), DES (Data Encryption Standard), 3DES (Triple DES).
  • Algoritmos Asimétricos: Utilizan un par de claves: una pública para cifrar y una privada para descifrar. Son más lentos que los simétricos, pero ofrecen mayor seguridad en la distribución de claves. Ejemplos: RSA (Rivest-Shamir-Adleman), DSA (Digital Signature Algorithm).

Uso en SSH: SSH utiliza algoritmos asimétricos (como RSA) para el intercambio inicial de claves y la autenticación. Luego, se utiliza un algoritmo simétrico (como AES) para cifrar la sesión de comunicación.

Versiones de SSH, Protocolo de Transporte y Puerto

Existen dos versiones principales de SSH:

  • SSHv1: Vulnerable a un fallo de seguridad que permitía a un intruso insertar datos en el canal de comunicación. No se recomienda su uso.
  • SSHv2: Versión actual y segura. Corrige la vulnerabilidad de SSHv1. Se recomienda utilizar OpenSSH, una implementación de código abierto de SSHv2.

Protocolo de capa de transporte: SSH utiliza el protocolo TCP (Transmission Control Protocol) en la capa de transporte.

Puerto: SSH utiliza el puerto 22 por defecto.

Limitaciones del Bloqueo de Login

El bloqueo de login es una medida de seguridad que limita el número de intentos fallidos de inicio de sesión. Sin embargo, no protege contra ataques de fuerza bruta distribuidos, donde el atacante utiliza múltiples direcciones IP para realizar los intentos de inicio de sesión.

Servicios Deshabilitados por Auto-Secure

La función auto-secure deshabilita varios servicios considerados inseguros o innecesarios en la mayoría de las configuraciones. Algunos de los puntos generales que auto-secure verifica y configura son:

  • Desactivar el servicio Finger.
  • Desactivar el servicio PAD.
  • Desactivar los servicios de pequeños servidores TCP.
  • Desactivar los servicios de pequeños servidores UDP.
  • Desactivar el servicio del servidor IP BOOTP.
  • Desactivar el servicio IP IDENT.
  • Desactivar CDP (Cisco Discovery Protocol).
  • Desactivar SNMP (Simple Network Management Protocol) si no es necesario.

Interfaces Pasivas y Loopback

Una interfaz pasiva en un protocolo de enrutamiento es aquella que no envía actualizaciones de enrutamiento, pero sí puede publicar las redes configuradas en esas interfaces a los routers vecinos. Esto se hace por seguridad, para evitar que enrutadores de clientes finales reciban información innecesaria o sensible de la red.

Las interfaces loopback son interfaces virtuales. No tiene sentido enviar actualizaciones de enrutamiento a través de una interfaz loopback, ya que no está conectada a ninguna red física. Por lo tanto, se recomienda configurar las interfaces loopback como pasivas.

Diferencias en Interfaces Pasivas entre RIP, OSPF y EIGRP

El comportamiento de una interfaz pasiva varía ligeramente entre los protocolos de enrutamiento:

  • OSPF: Una interfaz pasiva en OSPF indica que la red de esa interfaz es una Stub Area, lo que significa que no se recibe ni se envía información de enrutamiento a través de ella.
  • EIGRP y OSPF: En estos protocolos, una interfaz pasiva deja de enviar paquetes de saludo (Hello), lo que impide que se formen adyacencias con otros routers a través de esa interfaz.
  • RIP: En RIP, una interfaz pasiva evita el envío de actualizaciones de enrutamiento innecesarias, lo que reduce el consumo de ancho de banda y el procesamiento en los dispositivos de red. Además, evita que las actualizaciones puedan ser interceptadas por software de detección de paquetes, lo que podría comprometer la seguridad de la red.

Uso de «no auto-summary»

El comando auto-summary permite la sumarización automática de rutas en los límites de la red principal. El comando no auto-summary deshabilita la sumarización automática.

  • Cuándo usar no auto-summary: Es necesario deshabilitar la sumarización automática cuando se utilizan redes no contiguas o cuando se necesita un control más granular sobre las rutas que se anuncian. Especialmente importante en redes con CIDR (Classless Inter-Domain Routing) o VLSM (Variable Length Subnet Masking).
  • Cuándo no es necesario: Se puede utilizar la sumarización automática en redes simples con direccionamiento contiguo y sin requisitos específicos de enrutamiento.

Prioridades en la Tabla de Enrutamiento

La tabla de enrutamiento utiliza la distancia administrativa para determinar la preferencia de un origen de ruta. Mientras menor es el valor, mayor es la preferencia.

Valores de distancia administrativa por defecto:

  • Conectada directamente: 0
  • Estática: 1
  • EIGRP interno: 90
  • OSPF: 110
  • RIP: 120
  • EIGRP externo: 170

Tipos de Paquetes LSP en OSPF

OSPF utiliza paquetes de estado de enlace (LSP) para intercambiar información de enrutamiento. Existen cinco tipos de LSP:

  • Tipo 1 (Router LSA): Anuncia los enlaces activos del router y sus costos.
  • Tipo 2 (Network LSA): Generado por el router designado (DR) en una red multiacceso. Describe todos los routers conectados a la red.
  • Tipo 3 (Summary LSA): Anuncia redes de otras áreas. Generado por los ABR (Area Border Router).
  • Tipo 4 (ASBR Summary LSA): Anuncia la ubicación del ASBR (Autonomous System Boundary Router).
  • Tipo 5 (External LSA): Anuncia rutas externas al sistema autónomo OSPF. Generado por el ASBR.

Diferencias entre Autenticación en OSPF/EIGRP y PAP/CHAP

La autenticación en protocolos de enrutamiento dinámico como OSPF y EIGRP se utiliza para asegurar el intercambio de información de enrutamiento entre routers. Si un router no está autenticado, podría inyectar rutas falsas en la red, causando problemas de conectividad o seguridad.

PAP y CHAP, en cambio, se utilizan para autenticar la conexión PPP entre dos nodos, no para autenticar el intercambio de información de enrutamiento.

Autenticación e Integridad

  • Autenticación: Garantiza que la entidad con la que se está comunicando es quien dice ser, evitando la suplantación de identidad.
  • Integridad: Garantiza que la información no ha sido modificada durante la transmisión.

Configuración del Registro para Recuperación de Contraseña

El valor del registro de configuración en los routers Cisco determina el modo de arranque del dispositivo. El valor hexadecimal 0x2102 es el valor normal de funcionamiento, donde el router arranca desde la IOS en la memoria flash y carga la configuración de inicio desde la NVRAM.

El valor 0x2142 se utiliza para la recuperación de contraseñas. Al configurar este valor, el router ignora la configuración de inicio almacenada en la NVRAM, permitiendo al administrador acceder al dispositivo y modificar la contraseña olvidada.

Parámetro «established» en ACL Extendidas

El parámetro established en una ACL extendida de TCP permite el tráfico de retorno de una conexión TCP ya establecida. Solo permite el paso de paquetes TCP que tengan los bits ACK (Acknowledgement) o RST (Reset) activados, indicando que forman parte de una conexión existente.

Tipos de ACL Complejas

  • ACL Dinámicas (de bloqueo): Se utilizan para bloquear el acceso a usuarios no autenticados. Los usuarios deben autenticarse a través de Telnet para obtener acceso temporal. Dependen de Telnet, la autenticación y las ACL extendidas.
  • ACL Reflexivas: Permiten el tráfico saliente y limitan el tráfico entrante en respuesta a sesiones que se originan dentro de la red. Se configuran dentro de una ACL extendida.
  • ACL Basadas en Tiempo: Permiten el control de acceso en función de la hora del día y el día de la semana. Se define un rango de tiempo y se asocia a una ACL.

Direcciones Locales y Globales, Internas y Externas en NAT

Cuando se utiliza NAT (Network Address Translation), las direcciones IP se clasifican en:

  • Dirección local interna: Dirección IP privada asignada a un host en la red interna.
  • Dirección global interna: Dirección IP pública que representa a la dirección local interna en Internet.
  • Dirección local externa: Dirección IP de un host externo vista desde la red interna (puede ser una dirección privada o pública).
  • Dirección global externa: Dirección IP pública asignada a un host en la red externa.

Direcciones IP Privadas según RFC 1918

El RFC 1918 define las direcciones IP privadas que se pueden utilizar en redes internas:

  • Clase A: 10.0.0.0 – 10.255.255.255 (16.777.216 direcciones)
  • Clase B: 172.16.0.0 – 172.31.255.255 (1.048.576 direcciones)
  • Clase C: 192.168.0.0 – 192.168.255.255 (65.536 direcciones)

RIR (Regional Internet Registries): Son organizaciones que gestionan la asignación y el registro de recursos de Internet, como direcciones IP públicas, en una región geográfica específica.

Funcionamiento de PAT

PAT (Port Address Translation) es una función de NAT que permite que múltiples dispositivos en una red interna compartan una única dirección IP pública. PAT traduce las conexiones TCP y UDP realizadas por los hosts internos, utilizando diferentes puertos para distinguir entre las diferentes sesiones. De esta manera, una sola dirección IP externa puede soportar hasta 64.000 direcciones internas.

IPv6: Longitud, Reducción y Direcciones Especiales

Longitud: Las direcciones IPv6 tienen una longitud de 128 bits.

Reglas de reducción:

  • Los ceros iniciales en un grupo de 4 dígitos hexadecimales se pueden omitir.
  • Uno o más grupos consecutivos de puros ceros se pueden reemplazar por dos puntos dobles (::), pero esto solo se puede hacer una vez en la dirección.

Ejemplos:

  • 2001:0db8:85a3:0000:1319:8a2e:0370:7344 se puede reducir a 2001:db8:85a3::1319:8a2e:370:7344
  • 2001:0DB8:0000:0000:0000:0000:1428:57ab se puede reducir a 2001:DB8::1428:57ab

Dirección de loopback: ::1

Dirección de broadcast: IPv6 no utiliza direcciones de broadcast. En su lugar, se utilizan direcciones multicast.

Construcción de Direcciones IPv6 con EUI-64

EUI-64 (Extended Unique Identifier) es un método para generar automáticamente la parte de interfaz (64 bits) de una dirección IPv6 a partir de la dirección MAC (48 bits) de la interfaz. Se inserta el valor hexadecimal FFFE en el medio de la dirección MAC y se invierte el séptimo bit del primer byte.

Diferencias entre RIPv2 y RIPng

  • RIPv1: Versión original de RIP. No soporta subredes ni direccionamiento CIDR. No incluye mecanismos de autenticación. Obsoleto.
  • RIPv2: Soporta subredes, CIDR y VLSM. Soporta autenticación mediante contraseña simple o MD5. Especificado en RFC 1723 y RFC 2453.
  • RIPng: Versión de RIP para IPv6. Especificado en RFC 2080.

Selección de DR y BDR en OSPF

En redes multiacceso, OSPF elige un router designado (DR) y un router designado de respaldo (BDR) para optimizar el intercambio de información de enrutamiento. La elección se basa en la prioridad OSPF de la interfaz. Si la prioridad es la misma, se utiliza la dirección IP más alta como desempate. La prioridad por defecto es 1. Una prioridad de 0 indica que el router no puede ser elegido como DR o BDR.

Se puede modificar la prioridad con el comando ip ospf priority <valor>, donde <valor> es un número entre 0 y 255.

Orden de prioridad para la elección de DR/BDR:

  1. Mayor prioridad OSPF configurada.
  2. Mayor dirección IP de loopback.
  3. Mayor dirección IP activa en la interfaz.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.