Switch

Switch
Sirve para conectar varios nodos de una red, pero a diferencia del hub solo envía a puertos que lo
necesiten

Características:
• Puede trabajar con velocidades distintas, es decir, reconoce puestos que pueden funcionar desde 10
Mbps hasta 100 Mbps
• Mejora la seguridad e integridad de la red ya que es capaz de codificar los datos
• Es mejor que un hub para una red de un gran número de puestos
• Se puede conectar a una misma red ambos, los switch y los hub
SWITCH
• Funcionamiento
• Es un dispositivo de capa 2, (enlace de datos)
• Conoce los dispositivos que tiene conectados a cada uno de sus puertos (enchufes).
Cuando en la especificación del un “switch” leemos algo como “8k MAC address
table” se refiere a la memoria que el “switch” destina a almacenar las direcciones. Un
“switch” cuando se enchufa no conoce las direcciones de los disposivos de sus puertos,
las aprende a medida que circula información a través de él.
SWITCH
• Cuando un “switch” no conoce la dirección MAC de destino envía la trama por todos sus
puertos, al igual que un HUB. Cuando hay más de un ordenador conectado a un puerto de
un “switch” este aprende sus direcciones MAC y cuando se envían información entre ellos
no la propaga al resto de la red, a esto se llama filtrado.
• El “switch” almacena la trama antes de reenviarla. Tiene una serie de métodos, para saber
hacia dónde va la información. Uno de ellos consiste en recibir los 6 primeros bytes de una
trama que contienen la dirección MAC y a partir de aquí ya empezar a enviar al destinatario.
Y no permite descartar paquetes defectuosos. También permite adaptar velocidades de
distintos dispositivos de una forma más cómoda.
• Un “switch” moderno también suele tener lo que se llama “Auto-Negotation”, es decir,
negocia con los dispositivos que se conectan a él la velocidad de funcionamiento, 10
megabit ó 100, así como si se funcionara en modo “full-duplex” o “half-duplex”
SWITCH

• Velocidad de proceso: todo lo anterior explicado requiere que el “switch” tenga un

procesador y claro, debe ser lo más rápido posible. También hay un parámetro
conocido como “back-plane” o plano trasero que define el ancho de banda máximo
que soporta un “switch”. El “back plane” dependerá del procesador, del número de
tramas que sea capaz de procesar. Si hacemos números vemos lo siguiente:
100megabits x 2 (cada puerto puede enviar 100 megabit y enviar 100 más en modo
“full-duplex”) x 8 puertos = 1,6 gigabit. Así pues, un “switch” de 8 puertos debe
tener un “back-plane” de 1,6 gigabit para ir bien. Lo que sucede es que para
abaratar costos esto se reduce ya que es muy improbable que se produzca la
situación de tener los 8 puertos enviando a tope...
 El switch permite construir redes
escalables

• Ventajas
• Los switches, al interconectarse unos con otros, permiten cubrir grandes áreas
geográficas (además, toleran la latencia). Permiten construir grandes redes
• Pueden soportar un gran número de nodos (ancho de banda es escalable).
• Colocar un nuevo host al switch no necesariamente carga más la red.
• las redes con switches son más escalables que con concentradores
Tipos de switches
• Cut-through: Alta velocidad, puede re-enviar frames malos
• Store-and-forward: Revisa el frame antes de enviarlo
• FramengFree (Cut-Through modificado): Antes de enviar, espera que lleguen 64 bytes
• ATM (Asynchronous Transfer Mode): transfiere celdas fijas, soportan voz, video y
datos.
• LAN: Interconecta múltiples segmentos LAN, separa dominios de colisión.
• Switches nivel 3
Cortafuegos “Firewall”
Definición de cortafuegos

• Un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir

una política de control de acceso entre dos redes, es decir, cualquier sistema
utilizado para separar, en cuanto a seguridad se refiere, una máquina o subred del
resto, protegiéndolos de servicios y protocolos que desde el exterior pueden
suponer una amenaza de seguridad.

• El espacio protegido perímetro de seguridad

• Red externa no confiable zona de riesgo

¿ Por qué utilizar un firewall?

• Riesgo de confidencialidad

• Riesgo de integridad de datos

• Riesgo de disponibilidad
Puntos fuertes

• Los firewalls son excelentes para reforzar la política de una empresa.

• Los firewalls se utilizan para restringir el acceso a servicios específicos

• Los firewalls solo tienen un propósito

• Los firewalls son excelentes auditores

• Los firewalls son excelentes para alertar a las personas apropiadas acerca
de los sucesos que se producen
Puntos débiles
• Los firewalls no ofrecen protección ante lo que está autorizado.

• Los firewalls son tan eficaces como las reglas que tienen que aplicar de
acuerdo con su configuración.

• El firewall no puede detener la ingeniería social o a un usuario

autorizado que utilice su acceso con propósitos maliciosos.

• Los firewalls no pueden solucionar las prácticas administrativas débiles

o un diseño inadecuado de una directiva de seguridad.

• Los firewalls no pueden detener ataques si el tráfico no pasa a través de

ellos.
Características de diseño
• Existen tres decisiones básicas en el diseño o la configuración de un firewall:

• Primera: la política de seguridad de la organización

• Segunda: decisión de diseño es el nivel de monitorización, redundancia y

control deseado en la organización

• Tercera: económica
 Tipos de Firewall
• Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de
paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los
paquetes IP: dirección IP origen, dirección IP destino, etc. A menudo en este tipo de
cortafuegos se permiten filtrados según campos de nivel de transporte (nivel 4) como el
puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC.
• Cortafuegos de capa de aplicación
Trabaja en el nivel de aplicación (nivel 7), de manera que los filtrados se pueden adaptar
a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico
HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.
Filtrado de paquetes
• En función de una serie de reglas preestablecidas la trama es bloqueada o se le permite
seguir su camino. Las reglas normalmente se expresan con una simple tabla de condiciones:

Origen Destino Tipo Puerto Acción

165.56.0.0/16 * * * Denegar

124.12.12.0/24 * * * Aceptar

195.5.5.1 TCP 80 Aceptar

Filtrado de paquetes
• Si llegara un paquete que no encajara dentro de ninguna de las reglas lo
mejor que podemos hacer es añadir siempre al final de la tabla una última regla
donde se exprese la acción que deseamos realizar por defecto.

Origen Destino Tipo Puerto Acción

* * * * Denegar
Arquitecturas de cortafuegos

Cortafuegos de filtrado de
paquetes

Dual-Homed Host

Screened Host

Screened Subnet (DMZ)

Cortafuegos de filtrado de paquetes

• Arquitectura sencilla
• Consta de un enrutador (screening routers)
• Contacto directo con las máquinas externas ( No existen proxies)
• Para organizaciones que no precisan de grandes medidas de seguridad
Dual-Homed Host

• Máquina Unix equipadas con dos

o más tarjetas de red:

• Una tarjeta se conecta a la red

interna para protegerla.
• Otra tarjeta a la red externa
de la organización.

• Un servidor proxy para cada uno

de los servicios.

• Deshabilitado el IP
Fordwarding
Screened Host
• Combina un router con un host
bastión

• Router: línea de defensa más

importante gracias al filtrado de
paquetes.

• Host bastión: único sistema

accesible desde el exterior,
donde se ejecutan los proxies de
las aplicaciones
Screened Subnet (DMZ)
• Subred entre la red interna y la
externa.

• Aislamiento del Host bastión

en la subred.

• Aísla otros servidores

potencialmente peligrosos
(servidores Web, correo, etc.)
Puntos fuertes y débiles
de un firewall

• Un firewall sólo es una parte de una arquitectura de seguridad

general. Sin embargo, como pieza individual de la arquitectura, está
diseñado para cumplir un requisito muy importante dentro del diseño
general.
ROUTER
 Conexiones del Router

Los routers conectan dos o más redes,

cada una de las cuales debe tener un
número de red exclusivo para que el
enrutamiento se produzca con éxito. El
número de red exclusivo se incorpora a la
dirección IP que se le asigna a cada
dispositivo conectado a esa red.
 UN ROUTER TRADICIONAL
Routing processor

Main
 Cuenta con varias
forwarding interfaces de red (line
engine cards) a donde llegan
los paquetes.
Packet
switching
 Los paquetes son
Line card Line card dirigidos al procesador
fabric
central quien calcula la
ruta y los devuelve a las
LC
Line card

 Esta forma de operar es altamente centralizada y la causa de que un

router tradicional no pueda ser más eficiente
Más específicamente:
Routing processor
Routing processor

El procesador de ruteo realiza la Main

Main
forwarding
mayoría de las operaciones de ruteo forwarding
engine
ayudado por una tabla de ruteo engine
maestra mantenida por el
procesador de red, quien además Packet
Packet
implementa los protocolos de ruteo. switching
Line card
Line card switching Line card
Line card
Cada LC incluye un procesador y una fabric
fabric
memoria caché con las últimas rutas.

Line card
Line card

Aquellos paquetes cuyas rutas se desconozcan son

enviados al procesador de ruteo.
Entre una LC y el procesador se ruteo sólo se envían
headers, paquetes enteros son enviados solamente entre
LC’s.
 Arquitectura distribuida
Network processor
 LFE: Local forwarding
Main engine
forwarding
engine  El MFE contiene la
tabla de ruteo maestra y
el procesador de ruteo
Packet
Line card switching Line card
fabric  El procesador de ruteo
LFE LFE
baja tablas de ruteo y
las distribuye a cada
Line card LFE
LFE
 Un paquete es enviado al MFE sólo cuando una ruta no puede ser
calculada.
 Arquitectura paralela
Routing Forwarding  IPS: IP Switching
processor engines
controller
 Las unidades de
cálculo de rutas
Packet están separadas de
Line card switching Line card las LC’s y son
fabric compartidas entre
IPS IPS
ellas.
 Todas estas unidades
Line card mantienen las mismas
IPS tablas de ruteo

 Se emplea un modelo cliente-servidor: cada vez que llega un

paquete a una LC esta hace una solicitud al grupo de MFE y
aguarda por la respuesta.
Interfaz del Router

En el enrutamiento IP, cada interfaz debe tener una dirección de red (o de subred)
individual y única.
Protocolos enrutables:
Los protocolos como:

- IP, IPX y AppleTalk suministran soporte de Capa 3 y, en consecuencia, son

enrutables.

Sin embargo, hay protocolos que no soportan Capa 3, que se clasifican como
protocolos no enrutables.

El más común de estos protocolos es NetBEUI.

NetBEUI es un protocolo pequeño, veloz y eficiente que está limitado a ejecutarse en
un segmento.
Protocolos de enrutamiento
Determinan las rutas que siguen los protocolos enrutados hacia los
destinos.

Entre los ejemplos de protocolos de enrutamiento se pueden incluir:

el Protocolo de Información de Enrutamiento (RIP)

el Protocolo de enrutamiento de gateway interior (IGRP)
el Protocolo de enrutamiento de gateway interior mejorado (EIGRP)
el Primero la ruta libre más corta (OSPF) e ISIS.

Los protocolos de enrutamiento permiten que los routers conectados creen

un mapa interno de los demás routers de la red o de Internet.

Esto permite que se produzca el enrutamiento (es decir, la selección de la

mejor ruta y conmutación).

Estos mapas forman parte de la tabla de enrutamiento de cada router.

Enrutamiento Multiprotocolo

Esta capacidad le permite al router entregar paquetes desde varios

protocolos enrutados a través de los mismos enlaces de datos
TIPOS DE
ROUTERS
Router
Tipos:

• Router Adsl: Es el router que nos proporciona el proveedor de internet

(ISP).

• Router Software. Es una pc que permite pasar los paquetes de una red a

otra. Linux da soporte para este tipo de software, llamado reenvio

(forwarding).

• Router Hardware. Es un router que permite pasar de una subred a otra.

Hace de enmáscaramiento. Es una opción interesante si la red es nueva, y

no se disponen de computadoras antiguas para hacerlos por software.

• Los router tienes dos IPs, por lo que permite comunicarse con las redes de

esas ips
 3COM
LANPLEX
2500

Clasificación
- LAN/Workgroup
Técnica de Conmutación de IP
- Fast IP
Arquitectura
- Ethernet 16 (TX, FL), Fast Ethernet 2 (TX, FX), FDDI 2 (UTP, fiber), ATM OC-3 2 (fiber)
- ASIC- RISC
Filtro de paquetes
Sopota IP, IP multicast, IPX y Apple Talk
CISCO
SERIE
7500

Clasificación
LAN/Workgroup
Técnica de Conmutación de IP
Tag Swiching de Cisco
Arquitectura
Modelos con 5, 7 y 13 slots
Pueden ser utilizados con interfaces ethernet, fast-ethernet, token ring, FDDI y
ATM
Desarrollado para funcionar como un Tag Edge Router
• Soporta ATM Forum UNI 3.0/3.1
• Soporta todos los tipos de tráficos (CBR, VBR, ABR, UBR)
• No bloqueante (de acuerdo con el fabricante)
• Procesador RISC R4000 a 100MHz
Capacidad
Capacidad de conmutación de 1,066Gbps (7505) y 2132Gbps (7507 y 7513)
Tolerancia a fallas
Redundancia de fuentes de alimentación con balance de cargas
Redundancia de procesador
Hot-Swappability de dos módulos de sistema y fuente de alimentación
Direccionamiento
SNMP vía IP. Funciones adicionales a través de software
Cisco 7200
 CISCO
SERIE
12000

Clasificación
WAN/Enterprise
Técnica de Conmutación de IP
Tag Swiching de Cisco
Arquitectura
Modelos con 4 y 12 slots
Los slots pueden ser ocupados por diversas placas: 4 puertas Packet-Over-SONET
OC3/STM-1 155Mbps; 1 puerta Packet-Over-SONET OC12/STM-4 622Mbps; 1
puerta Packet-Over-SONET OC12/STM-4 622Mbps
No bloqueante
Procesador RISC R5000 a 200MHz
CISCO
SERIE
12000

Capacidad
Capacidad de conmutación de 5Gbps (12004) y
60Gbps (12012)
Tolerancia a fallas
Redundancia de fuentes de alimentación con balance
de cargas y módulos, del subsistema de ventilación y
de la matriz de conmutación
Hot-Swappability de dos módulos de sistema y
fuente de alimentación
CISCO
SERIE
12000

Direccionamiento
• SNMP vía IP. Funciones adicionales a
través de software
• Los puertos de administración son el de consola y AUX, no se utilizan para
el envío de paquetes.

• El término interfaz en los routers Cisco se refiere a un conector físico en el

router cuyo principal propósito es recibir y enviar paquetes.

• El IOS de Cisco no permitirá que dos interfaces activas en el mismo router

pertenezcan a la misma red.
Cisco 12008
Router
• Un router es un elemento de un red capaz de dirigir y
filtrar el tráfico de una red. Por ejemplo, si un router
trabajara en Correos sería la persona encargada de decidir
hacia dónde va una carta ya que es capaz de leer la
dirección y dirigirla al lugar de destino.
NAPT (Network Adress Port Translation):
•  Esta parte es una de las más importantes del router,
proporciona seguridad y es la que da más problemas.
• Se distingue el tráfico de paquetes mediante el puerto. Por
ejemplo, si tenemos dos computadoras conectados y los
dos visitan www.hotmail.com el router recibirá sus
paquetes y traducirá la IP pero a cada ordenador le
asignará un puerto distinto, el servidor de HOTMAIL
recibirá paquetes con la misma dirección IP (la del router)
pero con distintos puertos y responderá a cada uno por
separado. La respuesta llegará al router donde este
separará los paquetes destinados a cada ordenador,
distinguiéndolos mediante el puerto
 ROUTER
• Este proceso también ofrece seguridad ya que los
paquetes que se reciben si no están en la tabla
son descartados evitando las temidas intrusiones.
Es por esto que todos los programas que inician
una conexión no tienen ningún problema ya que
crean una entrada en la tabla anterior y el tráfico
que generan pasa a través del router sin
problemas, por otro lado los programas que
esperan una respuesta de Internet por algún
puerto sin tener iniciada alguna comunicación por
el mismo no funcionan.
GATEWAY

• Formalmente, el Gateway o Pasarela se

define como
• “Dispositivo que tenía la función de comunicar
dos redes (de distinto medio de transmisión o
no)”.
• En la práctica, el objetivo de las Pasarelas
de comunicaciones es:
• “Facilitar la convergencia de los tipos de redes
presentes en el entorno doméstico (control,
datos y entretenimiento) y conectar estas redes
con el exterior, dando de esta manera acceso a
las redes de banda ancha (ADSL, Cable, etc)”.
GATEWAY

• Consiste en una computadora u otro dispositivo que actúa como

traductor entre dos sistemas que no utilizan los mismos protocolos de
comunicaciones, formatos de estructuras de datos, lenguajes y/o
arquitecturas. Un gateway (compuerta) no es como un puente, que
simplemente transfiere información entre dos sistemas sin realizar
conversión. Este modifica el empaquetamiento de la información o su
sintaxis para acomodarse al sistema destino. Los Gateways trabajan
en el nivel más alto del modelo OSI ( el de Aplicación ). Son el
método más sofisticado de interconectar redes. Se pueden conectar
redes con arquitecturas completamente distintas; por ejemplo, una
red Novell PC con una red con arquitectura SNA o TCP/IP, o con una
red Ethernet. Las compuertas no hacen funciones de enrutamiento en
la red, simplemente transmiten paquetes para que puedan ser leídos.
Cuando una compuerta recibe un paquete de una red, ésta traduce el
paquete del formato usado en la red a un formato común entre
compuertas, y luego lo envía a otra compuerta, la cual después de
recibirlo lo traduce del formato común al formato usado en la red
destino, y por último lo envía a ésta.
 
• Existen dos tipos de Gateways :
·        Board and software Devices.
·        Box Level Devices.
GATEWAY

Board And Software Devices.

Estos dispositivos vienen siendo computadoras
equipadas con adaptadores de comunicaciones de
diferentes protocolos correspondientes a los segmentos
de los diferentes tipos de red que se desea
interconectar. Además, del software que nos permita
traducir los diferentes elementos de los protocolos a
comunicar. Por lo general, son computadoras
dedicadas. En la mayoría de los casos un servidor de
archivos se puede habilitar como un Gateway de este
tipo.
Box Level Devices.  
Son dispositivos inteligentes dedicados que nos
permiten no solamente la traducción de protocolos sino
también la comunicación entre dispositivos de
GATEWAY

Ventajas:
• Puedes conectar desde cualquier máquina, o de todas al
mismo tiempo!!
• Puedess ofrecer servicios a Internet desde distintas maquinas
en la red interna
• Tener control de donde se navega, o donde no se puede.

Desventajas
• Si tienes una conexión de baja velocidad, digamos un acceso
telefónico, el ancho de banda será distribuido entre las
diferentes máquinas que generen peticiones a Internet. Esto
no es tan terrible si vas a navegar y verificar correo correo,
pero si quieres jugar algún juego en red con gráficos pesados
y demás, vas a tener menor rendimiento.
• Tener control de donde se navega, o donde no se puede
Protocolos de Gateway
Los protocolos de enrutamiento de gateway interior (IGP) y los protocolos de
enrutamiento de gateway exterior (EGP) son dos tipos de protocolos de
enrutamiento.
Los protocolos de gateway exterior enrutan datos entre sistemas
autónomos.
Un ejemplo de EGP es BGP (Protocolo de gateway fronterizo), el principal
protocolo de enrutamiento exterior de Internet. 
Los protocolos de gateway interior enrutan los datos en un sistema
autónomo.
Entre los ejemplos de los protocolos IGP se incluyen:
• RIP
• IGRP
• EIGRP
• OSPF
Firewalls

Grupo de Seguridad del CEM

29/04/2000
¿ Que es un Firewall ?
• Existen 2 Tipos básicos de Firewall
• Hardware Firewall: Normalmente es un
ruteador, tiene ciertas reglas para
dejar o no dejar pasar los paquetes.
• Software Firewall: Es un programa que
esta corriendo preferentemente en un
bastioned host, que verifica los
paquetes con diferentes criterios para
dejarlos pasar o descartarlos.
Hardware Firewall
Software Firewall
¿ Que hace un Firewall ?
• Basicamente examina el trafico en
la red, tanto entrante como saliente
y lo examina en base a ciertos
criterios, para determinar si lo deja
pasar o lo descarta. Si detectan
algo anormal pueden tener
procedimientos a seguir o poner en
aviso al administrador.
Operación básica de un Firewall
¿En que capa trabaja el Firewall?
Tipos de Firewalls

• Packet filters
• Circuit Level Gateways
• Aplication Level Gateways
• Stateful Multilayer Inspection
Firewall
Paquet Filters
Circuit Level Gateways
Aplication Level Gateways
Stateful Multilayer Inspection Firewall
Como Implementar un Firewall
• Determinar el nivel de Seguridad
requerido.
• Determinar el trafico que va a
entrar a la red.
• Determinar el trafico que va a salir
de la red.
• Alternativas.
¿ Qué es un Proxy Server ?
• Es un intermediario entre la red
interna y el internet, puede
implementar ciertos criterios de
seguridad, asi como tambien cache,
lo que significa que si el proxy tiene
una petición, lo primero que hace es
buscar en su cache, si lo encuentra
responde a la petición.
Proxy Cache Server
Proxy Cache Server
Proxy Cache Server