UNIVERSIDAD NACIONAL AUTNOMA DE NICARAGUA FAREM - CARAZO

TECNICO EN REDES TELEINFORMATICAS ASIGNATURA: REDES I Prof.: Ing. Jairo Gonzlez Moreno

Carazo 19/05/13

Protocolos
Para poder enviar informacin entre dos mquinas, es necesario que ambas estaciones hablen el mismo lenguaje para que se entiendan entre ellas. A este lenguaje se le llamar protocolo. Los protocolos ms representativos que figuran en la capa de Aplicacin del modelo TCP/IP son: - File Transfer Protocol (FTP) - Hypertext Transfer Protocol (HTTP) - Simple Mail Transfer Protocol (SMTP) - Domain Name System (DNS) - Trivial File Transfer Protocol (TFTP) Los protocolos de la capa de Transporte son: - Transport Control Protocol (TCP) - User Datagram Protocol (UDP) El protocolo ms conocido de la capa de Internet es: - Internet Protocol (IP) El protocolo utilizado en la mayora de redes locales en la capa de Acceso es: - Ethernet A continuacin se describirn los protocolos anteriormente comentados y su puerto asociadode la capa de Transporte. Ms adelante se detallarn todos los puertos y su significado.

Protocolos de la capa de Aplicacin

El protocolo FTP es til para la transmisin de archivos entre dos mquinas. Utiliza TCP para crear una conexin virtual para la informacin de control, y luego crea otra conexin para el envo de datos. Los puertos utilizados son el puerto 20 y 21.

El protocolo HTTP es para visualizar la mayora de pginas web de Internet. Sus mensajes se distribuyen como los de correo electrnico. El puerto que se utiliza es el 80.
El protocolo SMTP es un servicio de correo que se basa en el modelo de FTP. Transfiere mensajes de correo entre dos sistemas y provee de notificaciones de correo entrante. El puerto que se utiliza es el 25. El protocolo DNS es el que se encarga de reconocer el nombre de la mquina remota con la que se quiere establecer la conexin y traduce el nombre a su direccin IP. El puerto que se utiliza es el 53. El protocolo TFTP tiene las mismas funciones que el protocolo FTP pero funciona sobre UDP, con lo que hay mayor rapidez pero menor seguridad y confiabilidad. El puerto que se utiliza es el 69.

Protocolos de la capa de Transporte

Dentro de la capa de transporte existen dos protocolos que se utilizan para el envo de segmentos de informacin:

- TCP: El protocolo TCP establece una conexin lgica entre puntos finales de la red. Sincroniza y regula el trfico con lo que se conoce como Three Way Handshake. Controla el flujo para que no se pierdan los paquetes y evitar as una congestin en la red. Es un protocolo orientado a conexin.

- UDP: El protocolo UDP es un protocolo de transporte no orientado a conexin que intercambia datagramas sin la utilizacin de ACK ni SYN que se utiliza como acuse de recibo en el caso de TCP. El procesamiento de errores y retransmisiones es soportado por los protocolos de capas superiores

Puertos
Tanto TCP como UDP utilizan puertos para pasarse informacin con las capas superiores. Con la definicin de un puerto, es posible acceder a un mismo destino, un host, y aplicar sobre l distintos servicios. Con la utilizacin de los puertos los servidores son capaces de saber qu tipo de peticin a nivel de aplicacin le estn solicitando, si es http o ftp, y pueden mantener ms de una comunicacin simultnea con diferentes clientes Para poder mantener una coherencia en los nmeros de los puertos la IANA, organismo internacional regulador, establece que los puertos inferiores a 1024 se utilizan para los servicios comunes y el resto de nmeros de puertos es para asignaciones dinmicas de programas o servicios particulares.

Listas de Acceso
Desde la primera ves que realizamos la conexin de una red de rea local pensamos en la necesidad de restringir el acceso a determinadas funciones de la misma. Mediante la utilizacin de las funciones de filtrado de paquetes, el administrador puede restringir el acceso a determinadas funciones de la red.
El filtrado de paquetes permite controlar el movimiento de estos dentro de la red. Este control puede ayudar a limitar el trafico originado por el propio Router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibicin que se aplican a direcciones IP o a protocolos IP de capa superior. Las listas de acceso identifican el trafico que a de ser filtrado al pasar los paquetes en el Router, pero no pueden filtrar el trafico originado por el propio Router. Cuando un paquete llega a la interfaz el Router comprueba si puede ser trasmitido verificando la tabla de enrutamiento, sino existe ninguna ruta de destino el paquete es descartado. Si se encuentra la ruta en la tabla de enrutamiento el Router verifica si esta agrupada alguna lista de acceso, si no es as es enviada al buffer de salida.

Para las listas de acceso saliente un permit significa enviar al buffer de salida, mientras que un deny se traduce en descartar el paquete

Tipos de listas de acceso

Listas de acceso estndar Las listas de acceso estndar solo comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. El resultado es el permiso o la denegacin de la salida del paquete por parte del protocolo basndose en la direccin IP de red-subred-host de origen.

Listas de acceso extendida

Las listas de acceso extendidas comprueban tanto la direccin de origen como la de destino de cada paquete. Tambin pueden verificar protocolos especficos, nmeros de puertos y otros parmetros

Listas de acceso con nombre

Permiten asignar nombres en lugar de un rango numrico en las listas de acceso estndar y extendidas

Tipos de listas de acceso

Lista de acceso entrante Lista de acceso saliente

Tipos de listas de acceso

Mascara comodn

Puede ser necesario proar un grupo o rango de direcciones IP o bien para una direccin IP individual. Se utiliza el enmascaramiento wildcard par los bits de direcciones IP utiliza los nmeros 1 y 0 para referirse a los bit de direccin teniendo en cuenta que:
Un bits de mascara wildcard 0 significa comprobar el valor correspondiente Un bits de mascara wildcard 1 significa no comprobar el valor del bits correspondiente

Tipos de listas de acceso

Las ACL numeradas llevan un numero identificativo que las identifica segn las caractersticas. La siguiente tabla muestra los rangos de listas de acceso

Configuracin de listas de acceso

Listas de Control de Acceso. Estructura Bsica

Las reglas que componen las listas de acceso tienen tres partes: un nmero que identifica la lista, una instruccin deny o permit y una condicin.

access-list nmero_identificador [permit|deny] condicin

El nmero utilizado para identificar una lista concreta debe ser seleccionado de un rango numrico acorde con el uso concreto de la lista.

Mscaras comodn (Wildcard)

Ejemplos: Permit 172.17.0.0 0.0.255.255 Deny 192.168.10.0 0.0.0.255 Permit 200.24.14.122 0.0.0.0 (host) Permit any

Configuracin de listas de acceso

Comandos bsicos
A continuacin de definen los comandos ms utilizados para la creacin de listas de acceso

Configuracin de listas de acceso

ZZ: nmero de listado (de 1 a 99) X.X.X.X: direccin IP Y.Y.Y.Y: mscara comodn (wildcard mask) Si queremos que dos declaraciones pertenezcan al mismo ACL tenemos que asignarles el mismo nmero de listado

Configuracin de listas de acceso

Sintaxis para las ACLs:

La sintaxis general de las listas de acceso listas de acceso extendidas (extended ACLs):

Para el protocolo IP:

access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name]

Para el protocolo ICMP:

access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} icmp source source-wildcard destination destination-wildcard [icmp-type | [[icmp-type icmp-code] | [icmp-message]] [precedenceprecedence] [tos tos] [log | log-input] [time-range time-range-name]

Configuracin de listas de acceso

Comandos Tenemos que asignar la ACL a la interfaz (o las interfaces) del router que corresponda, indicando si se aplica al trfico de entrada o salida:

Tambin podemos asignar una ACL a los puertos telnet

OTRAS POSIBILIDADES DE LAS LISTAS DE ACCESO

Digamos que queremos dejar navegar por internet , hacer telnet y el correo: hostname RouterB ! interface Serial0 ip accessgroup 120 in ! accesslist 120 permit tcp any any eq www accesslist 120 permit tcp any any eq telnet accesslist 120 permit tcp any any eq smtp accesslist 120 permit tcp any any pop3 Una lista como la anterior no dejara pasar el trfico ftp, por ejemplo. A veces podemos ser vctimas de un ataque de denegacin de servicio distribuido. Podemos ser inundados con peticiones ping (ICMP) de muy diversos origenes. Probemos con

hostname RouterC ! interface serial0 ip accessgroup 130 in ! accesslist 130 deny icmp any any accesslist 130 permit ip any any

OTRAS POSIBILIDADES DE LAS LISTAS DE ACCESO Un uso muy interesante es el de la instruccin log, si ponemos accesslist 130 deny icmp any any log accesslist 130 permit ip any any Quedarn registrados en el log del router (show logg) todos los origenes y destinos de los paquetes que encajan con la condicin. Podemos convertir el router en un analizador de trfico con un par de instrucciones:

hostname RouterB ! interface serial0 ip accessgroup 140 in ip accessgroup 150 out ! accesslist 140 permit ip any any log accesslist 150 permit ip any any log
Este era el mecanismo usado en el artculo sobre ping para ver el origen y destino de los paquetes. Ms ejemplos: con listas de acceso horarias podemos controlar el uso de determinados servicios en funcin de la hora time-range bloquear-internet periodic weekdays 8:30 to 17:45 ! accesslist 150 deny any any eq www time-range bloquear-internet accesslist 150 permit any any ! interface ethernet0 ip accessgroup 150 in.

RESUMEN
Las listas de acceso son el mecanismo por excelencia para seleccionar trfico. Una vez que un conjunto de paquetes ha sido seleccionado el router puede realizar diversas tareas sobre ellos. Uno de los usos ms extendidos de las listas de acceso es el de controlar el flujo de trfico entrante y saliente de un router, pero hay otras muchas aplicaciones prcticas. El proceso de configuracin de listas de acceso consta de dos pasos generales: La creacin de la lista de acceso en s. Su aplicacin en la interfaz correspondiente (o, de forma ms general, en el proceso deseado). Hay que tomar unas precauciones generales a la hora de aplicar listas de acceso.

Gracias por su atencin