lunes, 29 de febrero de 2016

Como funciona SSL (Secure Socket Layer)


SSL (Secure Sockets Layer) es una tecnología de seguridad estándar para establecer un enlace encriptado entre un servidor y un cliente - típicamente un servidor Web y un navegador, o un servidor de correo y un cliente de correo (por ejemplo Outlook).

SSL permite que la información sensible como números de tarjeta de crédito, números de identificación y credenciales de autenticación puedan ser transmitidos de forma segura. 

Normalmente los datos enviados entre los navegadores y los servidores Web son enviados en texto plano, dejando a estos vulnerables a ataques de espionaje. Si un atacante puede interceptar todos los datos que están siendo intercambiados entre un navegador y un servidor Web, el atacante puede ver y utilizar esa información.

Para ser más específicos hay que decir que SSL es un protocolo de seguridad. Los protocolos describen como los algoritmos deben ser usados; en este caso, el protocolo SSL determina las variables para hacer el cifrado del enlace y de los datos transmitidos.


Secure Socket Layer (SSL) se sitúa en la parte alta de la capa TCP, debajo de la capa de Aplicación y actúa como sockets conectados por conexiones TCP. 

Es usado para dar seguridad a aplicaciones basadas en TCP (No UDP) o directamente sobre IP. 

La aplicación mas popular en la que se utiliza SSL para dar seguridad a comunicaciones es HTTP sobre SSL ó HTTPS. Otras aplicaciones que podemos mencionar son SMTP/IMAP sobre SSL.



La conexión SSL se establece principalmente en dos fases, la fase de Handshake (Intercambio de saludo) y la fase de Transferencia Segura de Datos

La fase de Handshake negocia los algoritmos criptográficos, autentica al servidor y establece llaves para el cifrado de los datos y los Mensajes de Autenticación de Código (MAC - Message Authentication Code). 

La fase de Transferencia Segura de Datos envía datos cifrados sobre conexiones SSL establecidas.

La siguiente figura muestra como el flujo de mensajes durante la configuración de una conexión típica de SSL:



El cliente inicia una sesión enviando un mensaje Hello de cliente hacia el servidor. Este mensaje Hello contiene:
  • Version: El cliente envía el numero de la versión SSL que soporta. Por ejemplo, para SSLv3 el número de versión es 3.0, para TLS el número de versión es 3.1
  • Random: Esta es una estructura aleatoria generada por el cliente. Contiene la fecha y hora del cliente y un número de 26 bytes pseudo-randómico.
  • Session ID (if any): Este campo es incluido si el cliente desea retomar una sesión previa. Si la longitud de este campo es 0 indica una nueva sesión.
  • Cipher Suite: Esta es una lista de los conjuntos de cifrado que son soportados por el cliente. Un ejemplo de un conjunto de cifrado es TLS_RSA_WITH_DES_CBC_SHA, donde TLS es la versión del protocolo, RSA es el algoritmo que va a ser usado para un intercambio de llaves, DES_CBC es el algoritmo de cifrado y SHA es la función hash.
  • Compression Methods: Actualmente no existen métodos de compresión soportados.
Una captura de un paquete SSL Hello de cliente se muestra a continuación:


El servidor envía de regreso un mensaje en la versión mas alta que es soportada tanto por el Cliente como por el Servidor. Esta versión será usada durante la conexión. El servidor responde con su propio mensaje Hello. Este mensaje Hello contiene:

  • Version: El servidor manda el número de versión mas alta soportada por ambos, cliente y servidor.
  • Random: El servidor también genera su propio valor aleatorio. Este contiene su propia fecha y hora.
  • Session ID: Si el cliente envía un ID de sesión vacío para iniciar una nueva sesión, el servidor genera un nuevo ID de sesión. Si el cliente manda un Session ID diferente de cero para retomar una sesión previa, el servidor usa el mismo Session ID enviado por el cliente. Si el servidor no puede retomar una sesión previa, entonces genera un nuevo Session ID.
  • Cipher Suite: Esta es el conjunto de cifrado elegido por el servidor de la lista de conjuntos que fue propuesta por el cliente.
  • Compression Method: Actualmente no hay métodos de compresión soportados.
Lo siguiente imagen muestra un mensaje típico Hello de servidor:



Luego de intercambiados los mensajes Hello, el cliente y el servidor generan un "secreto compartido autenticado", llamado pre_master secret el cual es convertido a master sercret. El SSLv3 y TLS soportan RSA y Diffie-Hellman para hacer el intercambio de llaves.

El servidor envía su certificado al cliente. El certificado del servidor contienen la Llave Pública del servidor. El cliente va a usar esta llave para autenticar el servidor y para cifrar el pre_master secret.


El pre_master secret tiene dos partes:  La versión de protocolo del cliente y el número aleatorio. El pre_master secret es cifrado con la llave pública del servidor, obtenida del certificado que envió el servidor.

El servidor podría crear y enviar al cliente una llave Temporal usando un mensaje Server Key Exchange. Esta llave puede ser usada por el cliente para cifrar un mensaje Client Key Exchange. Este paso es requerido únicamente cuando el certificado del servidor no contiene una llave pública.

El servidor podría requerir la autenticación del cliente usando un mensaje Client Certificate Request

El cliente responde con los mensajes Client Certificate y Client Certificate Verify . El mensaje Certificado de cliente (Client Certificate) contiene la llave pública del cliente y el mensaje de verificación del certificado del cliente (Client Certificate Verify) contiene el hash de todos los mensajes intercambiados hasta ese momento durante el Handshake firmados con la llave pública del cliente. Esto cumple el objetivo de autenticar al cliente.



Después de estos mensajes, el servidor envía un mensaje Server Hello Done indicando que el servidor ha terminado y que está esperando una respuesta desde el cliente.

Obtención de llaves

El cliente envía un mensaje Client Key Exchange después de haber procesado el pre_master secret. Este es cifrado con la llave pública del servidor y enviado de vuelta al servidor. 

En esta etapa el cliente y el servidor crean una llave maestra "master secret" individualmente a partir de los datos intercambiados en las fases previas. 

La llave "Master secret" nunca es intercambiada. 

El cliente y el servidor usan lo siguiente para generar la llave "Master secret":
  1. Pre_master secret
  2. Valores aleatorios de cliente y servidor
Solamente el servidor con la llave privada que logre una coincidencia con la llave publica en el certificado puede decifrar estos datos y continuar con la negociación del protocolo.


Entonces el cliente envía un mensaje Change Cipher Spec indicando al servidor que todos los mensajes que siguen al mensaje cifrando "terminado" (Encrypted Handshake) van a ser cifrados usando las llaves y algoritmos negociados. 


El servidor manda también un mensaje Change Cipher Spec seguido por un mensaje Encrypted Handshake para indicar que el servidor va a comenzara cifrar los mensajes con las llaves negociadas. 

Datos de aplicación


Después de la fase handshake, la comunicación comienza sobre la conexión SSL recientemente establecida.  

El protocolo Record Protocol recibe los datos desde la capa de aplicación y es la responsable de la fragmentación de los datos en bloques y re-ensamblado de los bloques de datos, secuenciamiento de los bloques de datos, compresión/descompresión y cifrado/decifrado de los datos.



-----------------------------


Post tomado de (original post):  http://www.networksbaseline.in/2016/01/secure-socket-layer-ssl-connection-setup.html

Traducido por José R. Torrico - Cisco Networking Academy Instructor

viernes, 19 de febrero de 2016

Cisco lanza el primer firewall de próxima generación que utiliza información contextual

La nueva solución se enfoca en la defensa frente a amenazas, en lugar de hacerlo en el control de aplicaciones.


Diario TI 17/02/16 23:22:40
 
Cisco ha presentado el primer Firewall de Próxima Generación (NGFW, Next-Generation Firewall) plenamente integrado y centrado en las amenazas que optimiza la protección desde los terminales hasta la red y el Cloud.

La nueva solución se enfoca en la defensa frente a amenazas -en lugar de hacerlo en el control de aplicaciones-, permitiendo así a las compañías minimizar el riesgo al gestionar y actualizar la protección de forma dinámica a lo largo de toda la infraestructura -desde los terminales hasta la red y el Cloud-, identificar y detener las amenazas tanto conocidas como desconocidas.



Cisco también ha anunciado la disponibilidad del Servicio de Segmentación de Seguridad (Security Segmentation Service), un servicio de consultoría que permite a las organizaciones crear controles de seguridad que optimizan el cumplimiento con las políticas, la eliminación de agujeros de seguridad, la detección de amenazas, la protección del contenido y la prevención de pérdida de datos a través de su infraestructura de TI.

Información contextual e inteligencia

Al centrarse en el control de las aplicaciones, los fiewalls de próxima generación tradicionales limitan su capacidad de protección frente a la gran variedad de ciber-amenazas.

Por el contrario, Cisco Firepower NGFW es el primero de la industria en utilizar información contextual acerca de cómo los usuarios se conectan a las aplicaciones, incluyendo inteligencia frente a amenazas y reforzamiento de las políticas. 

Al lograr este nivel de visibilidad a través del entorno empresarial, se acelera la capacidad de detección y respuesta frente a amenazas y se optimiza la protección.

La nueva solución de Cisco puede también automatizar y refinar las medidas de seguridad para reforzar las defensas con rapidez, gracias a su capacidad para “ver” las vulnerabilidades, los activos y las amenazas. Estas funcionalidades avanzadas de seguridad, consistentes y ubicuas, proporcionan así una protección que las soluciones puntuales no pueden ofrecer.


Detección y defensa frente a amenazas

Al combinar la tecnología de cortafuegos con seguimiento de estado de Cisco con servicios líderes de protección frente a amenazas en una misma solución, el nuevo Cisco Firepower NGFW mejora significativamente la velocidad, sencillez y efectividad en la detección y respuesta frente a los ataques.

Los servicios mencionados llevan la protección a un nuevo nivel -más allá de la visibilidad y el control de aplicaciones- e incluyen Next-Generation Intrusion Prevention System (prevención de intrusiones de próxima generación), Advanced Malware Protection (protección frente a amenazas avanzadas) y filtrado de URLs basado en la reputación.

Cisco Firepower NGFW incluye soluciones propias y de terceros, permitiendo compartir de forma única la inteligencia y el contexto entre distintas soluciones. De esta forma, las organizaciones pueden ahora correlacionar eficazmente piezas de información antes dispares para identificar y detener ataques avanzados con mayor rapidez con independencia de dónde se encuentren, algo especialmente importante para las organizaciones que adoptan nuevos entornos virtuales y Cloud, soluciones Internet of Things (IoT) y terminales móviles.

Nuevos modelos para aplicaciones de alto rendimiento

Cisco también ha presentado nuevos dispositivos Cisco Firepower 4100 Series para aplicaciones de alto rendimiento. Diseñados para empresas medianas y grandes -y válidos para entornos de data center y aplicaciones con uso intensivo de datos como el análisis financiero), se trata de los equipos compactos con capacidad de inspección frente a amenazas de más alto rendimiento y baja latencia de su clase, y unos de los primeros en ofrecer conectividad 40 GbE en un formato de 1 rack.

 Foto: Cisco Firepower 4120

Firepower Management Center

El nuevo Cisco Firepower Management Center (Centro de Gestión Firepower) es el centro neurálgico del Firepower NGFW, proporcionando una completa consola de gestión unificada que ofrece inteligencia compartida, información contextual y refuerzo de políticas consistente tanto para los dispositivos Cisco Firepower NGFW como para otras soluciones de seguridad y de red de Cisco.



Este Centro también permite integrar soluciones complementarias de terceros como Radware for Distributed Denial of Service (DDoS), ofreciendo así una gestión y visibilidad completas desde una única consola y evitando la necesidad de utilizar tres o más consolas para que los usuarios puedan obtener el mismo nivel de detalle.

Servicio de Segmentación de Seguridad

El nuevo Servicio de Segmentación de Seguridad de Cisco ofrece consultoría para crear un entorno de trabajo personalizado que minimice el riesgo, simplifique los procesos de auditoría, blinde los datos y ayude a los negocios a cumplir con los requisitos marcados por los departamentos de dirección.

Diseñado para responder a las estrategias que pretenden segmentar la infraestructura, el servicio es personalizable, se extiende más allá de la red e incorpora patrones de diseño reutilizables para aplicar controles de seguridad en distintos ámbitos como cumplimiento con las políticas y regulaciones, eliminación de agujeros de seguridad, detección de amenazas, protección del contenido y prevención de pérdida de datos.

Oportunidad para los partners de canal

Los partners de canal de Cisco pueden apoyarse en estas ofertas para ampliar su portfolio y generar nuevas oportunidades de ingresos, además de reducir los costes de administración de los entonos de seguridad de sus clientes a través de una plataforma de gestión unificada y ofrecer nuevos servicios y opciones de contratación. Cisco también está diseñando nuevos programas de formación y aceleración de prácticas de seguridad en productos y servicios para sus partners de canal.

David Goeckeler, vicepresidente senior y director general de la División de Seguridad para Empresas de Cisco, declaró: “Para hacer frente a unos ataques cada vez más organizados y sofisticados, las organizaciones deben adoptar una estrategia de seguridad centrada en las amenazas, con protección desde los terminales móviles hasta el Cloud. Cisco Firepower NGFW funciona como una plataforma unificadora, integrando soluciones de seguridad de Cisco y de terceros para optimizar la correlación y el contexto. El resultado es una mayor protección y una capacidad de detección y respuesta más rápida frente a amenazas avanzadas, mientras el servicio de Segmentación de Cisco ayudará a las organizaciones a construir una infraestructura resistente y dinámica para combatir los ataques en tiempo real”.

Fuente: DiarioTI.com

lunes, 15 de febrero de 2016

Protocolos de enrutamiento de red


Una vez que un(a) ingeniero(a) ha logrado un conocimiento básico de como funciona el enrutamiento (reenvío) de paquetes, el paso siguiente es configurar el método de enrutamiento. En este post se consideran las principales categorías de configuración de enrutamiento y se habla de diferentes tipos de protocolos de enrutamiento dinámico que son frecuentemente utilizados.

Como configurar el enrutamiento de la red

Existen dos principales formas de configurar el enrutamiento: estático y dinámico.

El enrutamiento estático generalmente es usado en redes pequeñas, donde la cantidad de routers a ser configurados es pequeña. De todos modos, el enrutamiento estático es algunas veces usado en redes grandes como una pequeña pieza de una infraestructura de enrutamiento dinámicamente controlada. En estos casos, las rutas estáticas definen típicamente rutas por defecto o tráfico que se dirige de manera controlada de una red a otra.

El Enrutamiento Dinámico está pensado para poder manejar automáticamente cambios en la red a medida que la topología va cambiando y es típicamente utilizado en todos los tipos de redes que no hemos mencionado previamente.

Como un ejemplo, demos un vistazo a la siguiente imagen. Este ejemplo muestra un número de caminos diferentes que un mensaje puede tomar cuando sale desde el router R1 hacia el R6. Por ejemplo, el tráfico podría ir por  R1 > R2 > R4 > R6 ó podría ir por R1 > R3 > R4 > R6.


Cuando se configura enrutamiento estático, típicamente el(la) ingeniero(a) configura una sola ruta para alcanzar el destino. En este caso, para llegar de R1 a R6 usando el camino por R2 y R4 la ruta tendría que ser configurada en R1, R2 y R4 para la ruta de ida y otra ruta será necesaria en R6, R4 y R2 para el camino de regreso. Tenga en mente que esta ruta es solo para una única red de destino.

Para poder alcanzar cada destino potencial dentro de la red, el(la) ingeniero(a) inicialmente necesita calcular las mejores rutas para cada uno de los posibles destinos y luego configurar individualmente cada ruta a lo largo de cada "mejor camino". Obviamente este proceso puede tomar mucho tiempo. Piense en ¿que pasaría si ocurre una falla a lo largo del "mejor camino" calculado?.

Esta es la razón por la que se usan protocolos de enrutamiento Dinámico en redes grandes y enrutamiento estático en redes pequeñas o en casos específicos. Los protocolos de enrutamiento dinámico eliminan el problema de la configuración manual, han sido diseñados para manejar topologías complejas y para lidiar con fallas en la red sin la necesidad de atención por parte del(la) administrador(a) de la red.

Tipos de Enrutamiento Dinámico

Luego de haber decido usar un protocolo de enrutamiento dinámico, el(la) ingeniero(a) tiene que tomar algunas decisiones adicionales relacionadas con el tipo de protocolo de enrutamiento dinámico. 

En el nivel mas alto existen dos categorías de protocolos de enrutamiento dinámico: Protocolos de Gateway Exterior (exterior gateway protocols EGPs) y Protocolos de gateway Interior (interior gateway protocols IGPs). 

 
Los EGPs conectan multiples dominios de red, se llaman Exterior porque el protocolo es exterior a los dominios de red. (Un dominio en este caso es una organización específica, un Service Provider o una red bajo una misma administración. También se llama un Sistema Autónomo (AS) ).

Los IGPs manejan el enrutamiento dentro de estos dominios de red. Estos protocolos son los más comunes y cada compañía con una red maneja su propio dominio de red.

Las redes modernas usan solo un protocolo EGP: el Border Gateway Protocol (BGP). 

Como es de esperar, existen varios diferentes IGPs y la elección de uno de ellos dependerá de los requerimientos de cada red. Los más populares IGPs son cuatro:
  • Open Shortest Path First (OSPF)
  • Enhanced Interior Gateway Routing Protocol (EIGRP)
  • Intermediate System to Intermediate System (IS-IS)
  • Routing Information Protocol (RIP)

Estos protocolos EGP e IGP están categorizados en tres diferentes tipos de protocolos de enrutamiento: Vector-distancia, Estado-enlace y Vector-ruta

Existen un numero importante de diferencias entre estos tipos, los cuales vamos a ver en las siguientes tres secciones.

Protocolos Vector-distancia

Existen algunas características asociadas con los protocolos de enrutamiento Vector-distancia tradicionales:
  • La vista que un Router tiene de la red es solamente la que ha sido descubierta a partir de lo que conocen sus vecinos (También llamado "enrutamiento por rumor").
  • El Router envía una versión completa de su tabla de enrutamiento a sus vecinos en intervalos periódicos
  • Toman un tiempo largo en lograr la convergencia cuando ocurre una falla porque las actualizaciones solo se envían en intervalos regulares
  • En comparación con los protocolos Estado-enlace, los protocolos de Vector-distancia tienen una probabilidad mayor de causar bucles de enrutamiento (Routing loops).

 
El único protocolo moderno que conserva las características tradicionales de Vector-distancia es RIP. Este protocolo envía cada 30 segundos una copia completa de su tabla de enrutamiento a través de todas las interfaces habilitadas con RIP. Una vez que recibe una actualización desde uno de sus vecinos, instala la información recibida en su tabla de enrutamiento (asumiendo que no hay confictos). Si pasa algo y la ruta queda inalcanzable, la ruta permanece en la tabla de enrutamiento por al menos 180 segundos (temporizador de invalido por defecto) antes de ser marcada como "inalcansable". Esta técnica hace lenta la convergencia de una ruta que ha fallado y retraza el tráfico que podría haber sido enrutado por una ruta alternativa.

RIP tiene tres versiones: RIP versión 1 (RIPv1), RIP versión 2 (RIPv2) y RIP next generation (RIPng). La forma de operar de estas tres versiones es muy similar pero hay algunas diferencias:

  • RIPv1 envia sus actualizaciones en Broadcast, mientras que RIPv2 usa Multicast evitando que los dispositivos "no-RIP" tengan que procesar paquetes extra cada 30 segundos.
  • RIPv2 soporta redes subneteadas (Sin clase, Classless, CIDR, VLSM) mientras que el RIPv1 solo soporta enrutamiento con clase (Classfull)
  • RIPng trabaja de forma similar a RIPv2 pero para direcciones IPv6

EIGRP es tecnicamente un protocolo Vector-distancia y también se basa en la información de sus vecinos, pero EIGRP tiene varias características sobresalientes que lo hacen actuar como un protocolo Estado-enlace. Por esta razón a veces se considera a EIGRP como un protocolo híbrido, usando recursos de ambos tipos de protocolos. Otras características avanzadas incluyen la creación de adyacencias y actualizaciones parciales disparadas, por mencionar dos de ellas.



Para evitar los bucles de enrutamiento se usan dos métodos diferentes: Envenenamiento en reversa y Horizonte dividido. Envenenamiento en reversa es usado cada vez que una nueva ruta es aprendida de un vecino, cuando esto ocurre el router manda automáticamente una actualización de ruta de vuelta a la interface por la cual aprendió de esta ruta pero con una métrica infinita. Esto previente que el vecino use esa ruta que acaba de aprender.
 
Horizonte dividido es también usado cuando un router publica rutas fuera de sus interfaces. Con el horizonte divido, si una ruta es apredida por medio de una interface entonces no se envía la misma información sobre esa ruta por la misma interface.

Protocolos de Estado-enlace

Los protocolos de Estado-enlace a cada router en una red una vista completa de toda la red, permitiendo que cada router tenga la habilidad de calcular la mejor ruta a cada punto de la red. Todos los protocolos de enrutamiento de Estado-enlace modernos usan el algorimo SPF de Dijkstra.

 Los protocolos de Estado-enlace trabajan estableciendo adyacencias de vecinos con los routers conectados e intercambiando una copia de las redes conocidas (no solamente el contenido de su tabla de enrutamiento) con esos vecinos. Todas las actualizaciones que son recibidas son inmediatamente reenviadas a todos los otros vecinos conectados.

Ambos protocolos, el OSPF e IS-IS, son protocolos de Estado-enlace y ambos usan el algoritmo de Dijkstra para construir el mapa con las mejores rutas a todos los puntos de la red. De todos modos, su configuración es muy distinta, y la elección de una red sobre otra está basada principalmente en los requerimientos de una red específica.

OSPF es mayormente implementado en empresas mientras que IS-IS es mas popular en redes de Service Provider.

Protocolos de Vector-ruta


El único protocolo Vector-ruta en uso hoy en día es BGP. Cuando BGP es configurado, va a guardar una copia de todas los Sistemas autónomos (AS) alcanzables (AS es el término BGP para los Dominios de red de los que se habló antes en este post) y el camino para alcanzarlos. Esta información le da al protocolo una vista clara de cuales redes pueden alcanzarse y cual es el camino informado para cada una.


Un router BGP también usa un número diferente de atributos de ruta para determinar cual ruta finalmente usará para alcanzar un destino específico. Dado que BGP es un EGP y es usado para enrutar entre dominios de enrutamiento, es frecuente que existan múltiples caminos hacia un destino. Usando una combinación de estos atributos, un Router elige la ruta que usará.

Resumen

La opción de usar un método de enrutamiento dinámico o estático es determinado frecuentemente por el tamaño de la red. Si la red es muy pequeña (unos cuantos nodos) una solución con enrutamiento estático puede funcionar. De todos modos, aunque la red sea pequeña, un método de enrutamiento dinámico puede ser usado sin tener que hacer mucha configuración y este va a seguir siendo útil a medida que la red crezca.


El tipo de protocolo de enrutamiento dinámico a ser usado, finalmente, puede depender de la marca del equipo de enrutamiento que esté en uso. OSPF y EIGRP son dos de los protocolos de enrutamiento mas populares usados en redes empresariales. Uno de los dos, el EIGRP, es considerado mas sencillo de configurar, pero hasta hace no mucho tiempo ha sido un protocolo propietario de Cisco y en consecuencia no estaba disponible en equipos de otras marcas.

Si usted está instalando solamente equipo Cisco, la selección dependerá mas del entrenamiento que haya recibido su personal de redes y cual protocolo entienden mejor.

----------------------------------------
Post basado en el artículo de Sean Wilkins, publicado por CiscoPress en : http://www.ciscopress.com/articles/article.asp?p=2435847 con aportes del editor del blog

Traducido por José R. Torrico Gumucio - Cisco Networking Academy Instructor

miércoles, 10 de febrero de 2016

Enrutamiento asimétrico - Concepto y posibles soluciones


El enrutamiento asimétrico es una condición normal pero no deseada en una red IP. El Enrutamiento asimétrico es una situación en la cual, por alguna razón, los paquetes que estan fluyendo (por ejemplo en una conexión TCP) eligen diferentes rutas para ambas direcciones del flujo.

Por ejemplo, un host A y un host B están ubicados en diferentes continentes y están intercambiando datos a través de una conexión TCP. Los segmentos enviados del host A hacia el B usan el enlace de un ISP1, los segmentos que responde el host B hacia el A usan el enlace de un ISP2 diferente del primero.





El Enrutamiento asimétrico no debería ser un problema para las implementaciones TCP/IP modernas, ya que las conexiones TCP no toman en cuenta cual es la ruta que sigue un paquete IP, mientras este alcance el destino dentro de un tiempo razonable.

El Enrutamiento asimétrico puede ocurrir también en una pequeña escala. Puede ocurrir en una empresa que usa dos diferentes rutas, como un enlace VPN y un enlace dedicado, hacia una de sus sucursales.

En un contexto de tecnología de Cluster completo, se habla de Enrutamiento asimétrico cuando se da una situación donde los segmentos de una conexión ingresan a la red por un nodo y salen de la red por otro nodo diferente.





El Enrutamiento asimétrico no es un problema en si mismo, pero puede causar problemas cuando se usa Traducción de Direcciones de Red (NAT) o Firewalls en la ruta.

Por ejemplo, en los Firewalls, cierta información sobre el estado de una comunicación es almacenada cuando los paquetes fluyen de un área de alta seguridad a un área de menor seguridad. El Firewall siempre va a ser el punto de salida de un área de seguridad hacia otro.

Si el flujo de datos de una comunicación regresa a través de otro firewall entonces el paso de ese paquete va a ser denegado porque viene de un área de seguridad baja hacia uno de seguridad alta, entonces en esta situación no va a generarse ninguna información de estado en el segundo Firewall. La información de estado existe en el primer firewall. (Vea la primera imagen de este post para una referencia de este tipo de situación).

En otra situación de ejemplo, en el siguiente diagrama observe que el tráfico que se genera desde la PC usuario hacia el servidor Finance o el servidor WWW puede fluir de manera asimétrica en varios puntos a lo largo de la red.





Entre la PC y el servidor Finance, los Switches S1 y S3 representan el principal lugar donde esta situación puede ocurrir.

Entre la PC y el servidor WWW, el tráfico podría tomar una ruta asimétrica en S1 y S2 o en la Internet cuando el trafico regresa a través del ISP A o del ISP B. La mayoría de los diseñadores no tienen ningún problema con el tráfico asimétrico porque las redes IP son asimétricas por naturaleza. En cada punto de la transmisión un Router IP tomará la decisión de reenvío basándose en su propio punto de vista de la red: Su propia tabla de enrutamiento.

En este escenario es que el Enrutamiento asimétrico puede comenzar a causar problemas. Cosidere nuevamente que la PC se está comunicando con el servidor WWW. Un paquete puede fluir a través del S4 - S1 - FW1 - Inet_RTR_1 - ISP A en de ahí al servidor WWW.

En este camino el FW1 aprende que la PC está tratando de comunicarse con el servidor WWW, entonces añade una entrada en su tabla de estados para habilitar el tráfico de retorno cuando este fluya desde el servidor WWW hacia la PC. Entonces imaginemos que el tráfico de retorno desde el servidor WWW hacia la PC se enruta desde ISP B, Inet_RTR_2, FW2, S2, S4 y la PC. En este caso el paquete nunca llega a la PC porque el FW2 no tiene ninguna información de estado para esa comunicación.

Desde el punto de vista del servidor WWW, este está iniciando nuevas comunicaciones hacia la PC las cuales son bloqueadas en base a la política de seguridad configurada.

Este problema puede complicarse si estamos usando Sistemas de Detección de Intrusiones (IDS) en nuestra red o cerca de los Firewalls. Si el trafico fluye de manera asimétrica un IDS no va a poder ver la comunicación completa. En consecuencia se puede generar alarmas acerca de un tráfico que es benigno (falso positivo) o podría no detectarse un ataque completo (falso negativo).

Lamentablemente no hay una solución sencilla para este problema. En la siguiente sección se incluye una lista de posibles soluciones para un problema de tráfico asimétrico observado en una red:
  • Enrutar el tráfico simétricamente
  • Balanceo de carga "por flujo" (en lugar de "por paquete") 
  • Use dispositivos de seguridad que comparten el estado
  • Considere la redundancia a nivel de Capa 2 (L2)
  • Manipulación de flujos usando enrutamiento o NAT
  • Use funciones de seguridad sin estado

Enrutar el tráfico simétricamente

Esta solución parece ser sencilla, pero en diseño de redes reales puede representar un desafío significante. Incluso usted podría sorprenderse al ver cuantas redes grandes usan el enrutamiento simétrico para garantizar el funcionamiento de dispositivos de seguridad con estado o para resolver otros problemas de Networking. 

Esta solución es particularmente común en bordes de Internet, donde es frecuente ver que la totalidad de la carga es manejada a través de un solo ISP mientras que la conexión secundaria queda como reserva.

A continuación se muestra otro ejemplo de enrutamiento asimétrico:


Balanceo de carga "por flujo" (en lugar de "por paquete")

La mayoría de los dispositivos de Capa 3 (L3) pueden ser configurados para hacer una de dos cosas cuando existen dos rutas de igual costo para una determinada red de destino. La primera opción es que los paquetes son balanceados, por los enlaces de mismo costo, en un formato simple de "uno por cada enlace a la vez" (Round-robin) donde cada paquete sucesivo va hacia el siguiente router disponible en la secuencia.  Esta opción es la que mas problemas causa en sistemas de seguridad internos como los IDS.

La segunda opción, la mejor en este caso, es la de balancear el tráfico por un flujo determinado. Esto significa que el tráfico detectado, desde un cierto origen y hacia un cierto destino, es siempre enviado a través de un router específico. Esto permite a los sistemas IDS y otros dispositivos que inspeccionan estados, ver al menos la mitad de la comunicación de una manera consistente. Desafortunadamente no es posible determinar cual es el camino que toma (o que va a tomar) el tráfico de retorno el cual todavía podría tomar un camino diferente.


 Use dispositivos de seguridad que comparten el estado

 A medida que el problema del trafico asimétrico se ha manifestado en las redes, los fabricantes de equipos de seguridad han comenzando a ofrecer soluciones que permiten que varios dispositivos de seguridad compartan la información de estado.



Los Firewall ASA1 y ASA2 pueden intercambiar la información de sus tablas de estados para garantizar que si el otro dispositivo ve parte de un flujo entonces este va a conocer cual es el tráfico de retorno que debe permitir. Frecuentemente la cantidad de información intercambiada por estos dispositivos es grande y requiere que se configure un link dedicado entre los Firewalls.


Considere la redundancia a nivel de Capa 2 (L2)

Con la introducción de redundancia a nivel L2 como alternativa a la redundancia en L3, tecnologías como Virtual Router Redundancy Protocol (VRRP) o Hot Standby Router Protocol (HSRP) pueden permitir que el tráfico fluya a través de un solo punto garantizando la redundancia. Esta opción es la que mejor funciona en conexiones de alta velocidad donde el uso de un solo enlace, en lugar de dos o mas, no afecta la performance de la red.


El resultado es que el tráfico normalmente asimétrico puede ser simétrico por distancias cortas de la red, como por ejemplo el trafico que pasa a través de un Firewall.

Si los Firewalls FW1 y FW2 están conectados a la misma red L2 entonces se puede usar VRRP para que puedan verse como un solo dispositivo desde el punto de vista de los routers que están al rededor. Esto significa que el tráfico puede fluir de manera asimétrica en la Internet y en la red interna, pero fluye de manera simétrica cuando atraviesa el Firewall. Esto a veces no es una solución posible cuando los dos dispositivos Firewall no se encuentran cerca (o en la misma red).

Manipulación de flujos usando enrutamiento o NAT

El tema de la preferencia de rutas BGP es demasiado amplio como para poder incluirlo en este post. Sin embargo vale la pena mencionar que se pueden hacer algunas cosas con protocolos de enrutamiento para poder determinar cual es el camino que los paquetes deben seguir. De alguna manera es posible influenciar que camino deberían tomar las redes externas cuando desean comunicarse con nuestra red. 


Otras posibles soluciones implican el uso de diferentes POOLs NAT basados en cual es el dispositivo de seguridad que atraviesa un paquete. Entonces los paquetes que retornan hacia nuestra red pueden ser "forzados" a elegir un dispositivo de seguridad en particular gracias a que tiene un POOL NAT específico asociado a ese dispositivo.


Use funciones de seguridad sin estado

Los Firewalls son dispositivos de seguridad ampliamente utilizados hace muchos años. Sin embargo algunas compañías aún utilizan ACLs básicas en lugar de un dispositivo Firewall para poder lidiar, entre otras cosas, con el tema del Enrutamiento asimétrico.

Hacer esto evidentemente sacrifica ciertas funcionalidades de seguridad. Los ACLs básicos no hacen un seguimiento a la información de estado, pero si el tráfico de la red es relativamente sencillo de categorizar entonces es posible lograr un nivel aceptable de seguridad sin necesidad de tráfico simétrico. Recuerde que el tema de la seguridad es un tema integral que debe considerar todos los aspectos en la red. 


Con los sistemas IDS, las firmas que no trabajan bien con entornos de enrutamiento asimétrico podrían ser apagadas para prevenir que generen alarmas de tipo "falso positivo". Pero esto va a reducir la seguridad que estos sistemas proporcionan, sin embargo permiten que las demás firmas si generen alarmas oportunamente.

--------------
Post tomado de: http://www.networksbaseline.in/2016/01/the-concept-of-asymmetric-routing.html  con aportes del editor del Blog.

Traducido por José Torrico Gumucio, Cisco Networking Academy Instructor.

jueves, 4 de febrero de 2016

STP: Puerto Raíz / Puerto Designado


Por Oscar Gerometta

Cuando estudiamos Spanning Tree, hay conceptos que suelen confundirse: puerto raíz, puerto designado, puerto forwarding, etc. Intentaré poner un poco de claridad en estos conceptos iniciando por la diferencia entre puerto raíz y puerto designado.

Puerto Raíz


El objetivo primario de la implementación de STP es el establecimiento de una topología activa libre de bucles. Para esto el protocolo inicia la operación eligiendo un bridge raíz (root bridge o también switch raíz) a partir del cual se despliega esa topología activa.

Una vez definido el bridge raíz, cada switch no-raíz (non-root bridge) selecciona un puerto raíz.

¿Qué es el puerto raíz?

Es el puerto del switch no raíz que permite establecer la ruta con menor costo al bridge raíz. Por su naturaleza propia el puerto raíz se encuentra en estado de forwarding ya que es el que mantiene la ruta al bridge raíz.

Puerto Designado


Una topología activa es un conjunto de enlaces de capa 2 que permiten establecer entre cualesquiera 2 puntos de una red, una ruta libre de bucles.

Desde esta perspectiva, y dado que cada enlace está compuesto por dos o más puertos de switch conectados entre sí, los puertos conectados a cada enlace pueden desempeñar uno de tres roles posibles:

  • Puerto Raíz.
    Es el que definimos antes, en función de la constitución de una topología activa.
  • Puerto Designado.
    Puerto no-raíz que se encuentra en estado de forwarding.
    Básicamente son puertos designados: todos los puertos pertenecientes al bridge raíz, el puerto que se encuentra en el otro extremo de un enlace que conecta a un puerto raíz; el puerto que se encuentra en el extremo opuesto de un enlace que se conecta a un puerto bloqueado.
  • Puerto No Designado.
    Puerto que se encuentra en estado de blocking.


Tomado de: http://librosnetworking.blogspot.com/2016/02/stp-puerto-raiz-puerto-designado.html