Teoría sobre interconexión de redes

De MediaWiki
Ir a la navegación Ir a la búsqueda

Consideracións pedagóxicas

  • No módulo Servizos en rede do Ciclo Medio de Sistemas Microinformáticos e Redes
    • No "BC8. Interconexión de redes"
      • Pasarelas a nivel de aplicació. Almacenaxe en memoria caché.
      • Encamiñamento de tráfico entre interfaces de rede
      • Devasas (firewlls). Filtraxe do tráfico entre redes
      • Reenvío de portos
  • No módulo Servizos en rede do Ciclo Medio de Sistemas Microinformáticos e Redes
    • No "BC3. Interconexión de equipamentos en redes locais"
      • Adaptadores para redes con cables
      • Dispositivos de interconexión de redes
      • Adaptadores para redes sen fíos
      • Dispositivos de interconexión de redes sen fíos
      • Redes mixtas
    • No "BC4. Instalación e configuración dos equipamentos de rede"
      • Configuración dos adaptadores de rede en sistemas operativos libres e propietarios
      • Configuración básica dos dispositivos de interconexión de redes con cables
      • Configuración básica dos dispositivos de interconexión de redes sen fíos

Pasarelas a nivel de aplicación

A pasarela ou porta de enlace (gateway) é un dispositivo, un computador o un programa que permite interconectar redes con protocolos e/o arquitecturas diferentes a todos os niveis de comunicación. É habitual a súa utilización para conectar redes LAN a redes WAN (internet).

As pasarelas software a nivel aplicación son máis coñecidas coma proxy (tamén chamados servidores intermediarios). A súa utilidade máxima é centralizar as conexións dunha rede:

  • cando so existe un único equipo ou router con conexión a internet
  • para forzar a todos os equipos a pasar por un servidor seguro (con SSL, antivirus, devesa, rexistros ou log de sucesos e toda medida de seguridade necesaria)
  • para aproveitar unha conexión proxy cache e así facer máis eficaz o uso de ancho de banda de varios equipos
  • para pasar por un único porto aberto
  • para evitar conexións a determinadas DNS, IP, páxinas web, etc. ou facer calquer outro filtrado de paquetes

O servidor proxy máis popular é Squid

Almacenaxe en memoria caché

Encamiñamento de tráfico entre interfaces de rede

Devesas (firewalls)

Unha devesa (cortafuegos ou firewall) é unha parte dun sistema ou red deseñado para bloquear o acceso non autorizado. Se

Trata dunha aplicación, parte dun sistema operativo, dispositivo hardware, ou unha combinación dos anteriores, configurados para filtrar, permitir, limitar ou cifrar o tráfico entre interfaces, terminais e redes en base a unhas normas e criterios (IP, DNS, paquetes, puertos, aplicaciones, procesos, etc.). Son imprescindibles nas empresas onde é habitual conectar á devesa unha terceria rede, coñecida coma zona desmilitarizada o DMZ (DeMilitarized Zone). Nela ubicanse os servidores accesibles desde o exterior, quedando a LAN protexida, pero con funcionalidade de intranet ou extranet.

As normas da devesa comunmente agrupanse en dúas políticas básicas de configuración:

Política restrictiva
denegase todo o tráfico excepto o explícitamente permitido; debemos ir habilitando os servizos necesarios. Esta é a política máis aconsellable por ser preventiva.
Política permisiva 
Permítese todo o tráfico excepto o explícitamente denegado. Este método é correctivo e precisa dunha continua "educación" ou reconfiguración.

Posibilidades

Os novos routers teñen capacidade de devesa de portos, IP ou incluso direccions MAC.

É normal nas empresas usar un servidor proxy devesa (Squid).

Windows ten unha devesa integrada desde a súa versión XP (Firewall ou Defender de Windows). Hai outras opcións:

  • ZoneAlarm
  • Ashampoo,
  • Comodo
  • Sunbeit Personal
  • Agnitum Outpost
  • Sygate
  • PC Tools

Outra alternativa son as suites de seguridade (Internet Security) que conteñen antivirus, devesa, antiespías, antimalware, antispam, antifraude, antimarcadores, escaneadores de portos, etc., coma son as dos segintes proveedores:

  • Panda
  • Norton
  • Karpesky
  • Bitdefender

O seu inconvinte e que ralentizan o funcionamento dos equipos para acadar a súa función.

Para Linux existen:

  • Port Scan Attack Detector
  • Bastion
  • Firestarter

En todo caso quizais a mellor opción sexa a que leva integrada Linux (iptables, netfilter), xa que posiblemente é o mellor filtro de red para DMZ; e realmente a maioría de devesas de Linux son entornos gráficos de manipulación de iptables.

IMPORTANTE. As devesas, do mesmo modo que os antivirus, non deben instalarse a pares, porque posiblemente se bloqueen entre eles e penalicen moito máis o rendemento da máquina. 

Como dicíamos, unha devesa en cada equipo é unha solución que ralentiza en exceso, sin contar co coste de licenzas; por iso unha boa solución sería instalar devesas en servidores proxy de acceso a internet ou configuralos nos propios puntos de acceso ou enrutadores.

Filtraxe do tráfico entre redes

A

Reenvío de portos (port forwarding)

O reenvío de portos (port forwarding) ou redireccionamiento de tráfico é unha técnica necesaria se usamos proxy ou servidor NAT para que accedan desde fóra equipos da rede. É unha forma de traducir os enderezos de paquetes entrantes.

O reenvío de portos fai posible que queden abertos; mais non debemos deixar abeertos estos buratos da devesa a non ser que sexa estrictamente necesario. O ideal e habitual é que os servidores estén nhuna terceira rede coñecida coma DMZ.

Unha forma moi habitual de facer este redireccionamente é mediante iptables; ou máis recentemente con nftables, o proxecto que o vai sustituir.

Tarefas

Ampliación

Referencias

  • Teoría do CIFP de aprendizaxes virtuais e dixitalizados]
  • Servicios en red. Editorial Mc Graw Hill
  • Servicios en red. Editorial Editex

Créditos