TCP Connection Management – TCP Connection Establishment (Three-Way Handshake).

 

Continuando con la serie “TCP Connection Management”, hoy quiero hablar acerca del “saludo de tres vías” o “Three-Way Handshake”. Solo explicaremos en esta entrada, el establecimiento de una conexión bajo circunstancias normales no anómalas. Antes de comprender el “saludo de tres vías” es necesario entender un par de conceptos.

¿Qué es un segmento?

Un segmento no es nada más que el nombre de la PDU de capa de transporte. En nuestro caso será un encabezado TCP + Padding (bytes de relleno).

Vamos a describir algunos campos del encabezado TCP que importan a la discusión del “saludo de tres vías” o “Three-Way Handshake”.

Es recomendable tener un encabezado TCP a mano, para ir comparándolo con las explicaciones dadas acá. No lo coloco acá principalmente por razones de espacio. Pero buscando en google, o en el post anterior puedes localizarlo.

1. Source port: representa el puerto de origen, un número de 1 a 65535. Es de 16 bits de largo.
2. Destination port: representa el puerto de destino, un número de 1 a 65535. Es es de 16 bits de largo.
3.Secuence number: representa el número de secuencia de un segmento cualquiera, un número de 1 a 4.294.967.296. Es de 32 bits de largo.
4.Acknowledgment Number: representa el número de acuse de recibo del receptor, en base a un segmento enviado. Puede contener un número de 1 a 4.294.967.296 de largo. Tiene un largo de 32 bits este campo.
5. TCP FLAGs: Este campo tiene 8 bits, los cuales son “indicadores” o más formalmente llamados “flags”.

  • SYN: Es utilizado para iniciar una conexión TCP.
  • ACK: Es utilizado para dar “acuses de recibo o confirmar el recibo” al emisor de un segmento.

Nota: el cliente elige un puerto de origen de manera pseudo-aleatoria, que no esté ocupado.

 

Connection Set-up or establishment o “Three-Way Handshake”

El establecimiento de una conexión TCP, es para que dos hosts se pongan de acuerdo para conversar o transmitir datos entre ellos, y saber que la conexión, valga la redundancia está “comenzando”.Para establecer una conexión TCP, es necesario que ocurra un fenómeno llamado “Three-Way Handshake” o “saludo de 3 vías”,  donde los extremos se intercambian “tres mensajes”, o para ser más precisos “tres segmentos” según la terminología de TCP.

En los segmentos intercambiados, van los números de secuencia, los números de puertos, y opciones que servirán para la posterior transmisión de datos. Es importante tener en cuenta que solo son 3 segmentos los intercambiados en este proceso.

En términos generales el establecimiento de conexión o “Three-Way Handshake” es lo siguiente:
1. El cliente envía un segmento con el flag o indicador SYN activado.
2. El servidor responde un segmento con el flag o indicador SYN/ACK activado.
3. El cliente envía un segmento con el flag o indicador ACK activado.

 

Vamos a retomar parte de la imagen del post anterior, y explicar alguna terminología vista en la imágen y utilizada para esta discusión:

 

Three-Way Handshake

 

Sigue leyendo

TCP Connection Management – TCP General Concepts

 

En esta entrada vamos a ver un primer enfoque de TCP, sin profundizar mucho en detalles del protocolo, sólo una primera aproximación.

¿Qué es TCP – Transmission Control Protocol?

Según la RFC 1112, el protocolo de control de transmisión es el protocolo de transporte de circuito virtual primario de la pila de protocolos TCP/IP. TCP proporciona un servicio confiable, de entrega de datos en secuencia u orden, y un flujo de datos en ambas direcciones entre dos hosts. 

TCP es utilizado por aquellas aplicaciones que necesiten un servicio de transporte confiable, orientado a conexión como por ejemplo: el correo electrónico (SMTP), transferencia de archivos (FTP), servicios de terminal virtual (SSH), web (HTTP), etc.

Acá tenemos el encabezado TCP

TCP_Header

Sigue leyendo

Cisco IOS Security: VRF Aware IPSec

Cisco IOS Security: VRF Aware IPSec

Hola a todos!!  de forma atrasada pero cumpliendo les traigo este post de más VPN :D esta vez aplicada a VRF, entonces partamos con la primera pregunta que se deben estar haciendo.

¿WTF es una VRF?

Primero que todo VRF es el acrónimo de ‘Virtual Routing Forwarding’ entonces cuando pensamos en VRF,  pensemos en virtualización, una VRF es una instancia de ruteo dentro de un Router,  sería como tener varios mini-routers dentro del mismo equipo físico, por ende en un equipo físico podríamos tener la misma IP o el mismo segmento de red en diferentes interfaces o en la misma interface subdividida. Ahora porque sería necesario usar VRF? Imaginemos una ISP con varios clientes cada uno de ellos teniendo sus propias redes privadas y su propio protocolo de enrutamiento (EIGRP, OSPF, IS-IS, BGP), habría que pensar en poder separar cada uno de estos para que las tablas de rutas de los clientes no se ‘aplastaran’ entre ellas :D. Bien ya que tenemos la idea de que es una VRF y donde o cuando se puede usar pasemos a la parte de VPN  :D

En el siguiente escenario podemos observar 3 routers, 2 clientes y 1 proveedor, por el lado del proveedor crearemos las VRF para los 2 clientes y así poder separar el tráfico de cada uno de ellos. Luego pasaremos a encriptar las redes de ambos clientes en forma separada con IPSec.

VRF-aware-2

Routing Router Proveedor

Generamos las VRF con el simple comando ‘IP VRF <nombre-VRF>’

VRF-aware-3

La interface hacia la nube la dividimos y las encapsulamos con las VLAN 20 y 30 respectivamente (las vlan pueden cambiar es decisión de ustedes), asignando las VRF creadas y la primera IP disponible en el segmento mostrado, hay que tener en cuenta que primero se aplica la VRF y luego la IP, ya que si se realiza de forma inversa la IP será borrada :D

VRF-aware-4

Creamos 2 loopbacks, asignamos una VRF para cada una de estas y asignamos las IP correspondientes, el resultado a continuación

VRF-aware-5

Ahora nos faltaría generar el enrutamiento para las VRF, para esto usaremos rutas estáticas solo para ver cómo se harían

VRF-aware-6

Con esto estaríamos listos por la parte de enrutamiento con las VRF por el lado del proveedor, los Router de cliente no van a usar VRF por ende con una configuración básica de interfaces y una ruta por defecto hacia el proveedor bastaría.

VRF-aware-7

VRF-aware-8

IPSEC Router

Configuramos el perfil de ISAKMP también conocido como fase 1 como también el perfil IPSec o de fase 2 en los 3 routers

VRF-aware-9

En el Router de proveedor generamos la ACL para hacer match del tráfico interesante el cual será encriptado, en este caso solo generaré una ACL para ser usada con ambos clientes.

VRF-aware-10

Para el cliente A la ACL no varía mucho ya que solo se debería cambiar la posición de las redes origen por destino y destino por origen;  las claves pre compartidas PSK, usaremos un nuevo comando que es  el keyring esto para hacer encajar las VRF con la PSK cisco

VRF-aware-12

Para las PSK de los clientes lo realizaremos de la forma tradicional

VRF-aware-13

Solo faltaría crear el crypto map y aplicarlo a las interfaces en los 3 routers

VRF-aware-14

VRF-aware-15

Realicemos las pruebas, con el siempre usado ping, en este caso debido a que usamos VRF al ping se le debe decir por cual VRF debe ser ejecutado

VRF-aware-16

Verifiquemos el estado de fase 1 y si nuestro tráfico se está encriptando bajo la VRF del cliente A

VRF-aware-19

VRF-aware-17

Success!!! , podemos ver que la VRF protegida es la VRF del cliente A, cuando se realiza una VPN S2S de la forma tradicional  este campo se presenta como ‘none’

Una ves más, con esto concluimos la parte de ‘Cisco IOS Security: VRF Aware IPSec‘, espero que  sido de su agrado  8-) , favor si les gusto o tienen preguntas al respecto no duden en consultar :mrgreen:

Estudio CCNP Route: Lab 2 – IPv6

Siguiendo con nuestra serie de laboratorios de estudio para CCNP Route, dejo a continuación el Lab 2 sobre IP versión 6. En este Lab podrán practicar direccionamiento IPv6, implementación de OSPF versión 3, implementación de EIGRP para versión 6 (Depende del IOS que utilicen), BGP-Multiprotocol para IPv6 y túneles automáticos 6to4.

topology

Descargar Lab: LAB_IPv6
Descargar Solución: Running-configs-solucion-Lab-IPv6

 

Estudio CCNP Route: Lab 1: EIGRP

Hoy he decidido comenzar a compartir material y ejercicios de laboratorios para practicar para el exámen de certificación 642-902 (CCNP Route). A continuación les dejo el Lab N°1 de esta serie que trata sobre EIGRP. Pronto subiré un video con la solución del ejercicio. Por ahora intenten resolverlo solos :) (está hecho bajo GNS3, el cual pueden descargar en http://www.gns3.net/download/ (el IOS no se los puedo pasar, pero una búsqueda rápida los ayudará).

En este ejercicio practicarán:

1.- Configuración básica de EIGRP
2.- Conectividad de EIGRP bajo entornos Frame Relay Hub and Spoke
3.- Sumarización manual
4.- Autenticación de EIGRP
5.- EIGRP stub
6. Administración de ancho de banda WAN de EIGRP.
7. Interfaces pasivas.

Descargar Lab: LAB_EIGRP

Solución: running-configs-solucion-LAB_EIGRP

Cisco IOS Security: GETVPN

Cisco IOS Security: GETVPN

Hace algunos días un ex compañero tenia algunas dudas sobre GETVPN una tecnología de VPN muy poco vista … y es por eso que a continuación veremos de que trata y como configurarlo.

GETVPN o Group Encrypted Transport VPN es una tecnología VPN túnel inferior o sea que no utiliza túneles la cual proporciona seguridad de extremo a extremo para el tráfico de red en un modo nativo y mantenimiento la inteligencia de la red como conexiones full-mesh, routing, QOS. GETVPN Utiliza la capacidad de la red de núcleo para poder enrutar y replicar los paquetes entre diferentes sitios dentro de la empresa. Por lo tanto, es en gran medida adecuado para una empresa que se encuentre corriendo sobre una MPLS. También es adecuado para encriptar tráfico multicast. Una implementación de  GETVPN tiene esencialmente tres componentes que son los siguientes:

  • Key Server (KS)
  • Group Member (GM)
  • Group Domain of Interpretation (GDOI)

Los GM realizan las tareas de encriptación y desencriptación del tráfico y el KS distribuye la llave de encriptación hacia todos los miembros del grupo. Debido a que todos los GM usan la misma llave, cualquier GM puede desencriptar el tráfico encriptado por otro GM. GDOI es un protocolo usado entre el KS y los GM.GDOI no depende de nadie más que de IKE o la fase1 para proteger la distribución de claves,, al igual que con las VPN IPSec tradicionales es posible utilizar métodos como claves pre compartidas o también PKI para la autenticación de IKE. GDOI implementa dos llaves de encriptación diferentes; Key Encryption key (KEK) es utilizada para asegurar el plano de control, mientras que la llave utilizada para la encriptación de datos es la Traffic Encryption Key (TEK).

Ahora a revisar la configuración con el siguiente escenario, en donde tenemos un KS con IP 10.0.1.2, dos GM (R1 y R2) y enrutamiento OSPF en toda la red. Los host poseen la IP 192.168.1.10 y 192.168.2.10 respectivamente.

getvpn-diag

Configuración del KEY Server

Configuración de la fase 1 o perfil de ISAKMP o IKEv1 con la clave pre compartida

ks1

Sigue leyendo

Vulnerabilidad de manipulación de LSAs encontrada en múltiples productos Cisco corriendo OSPF

Alert

Se ha encontrado una vulnerabilidad en algunas versiones de dispositivos Cisco que ejecutan OSPF que permitiría a un atacante no autenticado enviar paquetes LSAs de tipo 1 a una red y causar que algún router borre o modifique completamente la tabla de enrutamiento y tomar control completo de todo el sistema autónomo (AS) que ejecuta OSPF, permitiendo crear agujeros negros o interceptar tráfico de usuarios.

El atacante podría lanzar esta vulnerabilidad inyectando paquetes OSPF modificados. Un ataque exitoso puede causar el borrado completo de las rutas en el router vulnerable, así como también hacer que esos LSA de tipo 1 modificados se propaguen por todo el dominio del AS. Hasta ahora se ha determinado que solamente ciertos LSA1 son vulnerables solamente y no afectan a otros tipos de LSA.

Vale destacar que OSPFv3 no es vulnerable a este ataque ni tampoco FSPF (Fabric Shortest Path First).
Cisco ha lanzado actualizaciones de seguridad que solucionan este problema. Las versiones de IOS vulnerables y las soluciones al problema pueden encontrarlas acá:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf

Video Clase Introducción a las listas de control de acceso

Cisco ASA: Configurando Interfaces.

Cisco ASA: Configurando Interfaces.

Muy bien estimados, es la hora de ver configuraciones sobre interfaces, veamos que cosas interesantes podemos realizar.

Configurando parámetros de interfaces

La configuración de una interface en un Cisco ASA no es muy diferente a la de un Router, para esto necesitamos configurar lo siguiente:

  • Dirección IP
  • Nombre de interface
  • Nivel de seguridad
  • Velocidades y modos de operación (opcional)

asa-3-1

Al momento de configurar el nombre de la interface, el ASA propone niveles de seguridad según el nombre que hayamos otorgado, por ejemplo si configuramos la interface con el nombre ‘outside’, el ASA automáticamente le asignará un nivel de seguridad 0, lo cual hace referencia a la zona menos segura, sin embargo si configuramos la interface con el nombre ‘inside’, el ASA le asignará un nivel de seguridad 100, la cual hace referencia a la zona más segura. Por ´filosofía´ el ASA permite pasar tráfico desde una interface con un nivel mayor de seguridad hacia una interface con menor nivel de seguridad; deniega el tráfico si este proviene de un nivel de seguridad menor a uno mayor, como también deniega el tráfico si este proviene y se dirige a una interface con los mismos niveles de seguridad, esto se aplica solamente para el flujo inicial de datos, sin embargo podemos ‘romper las reglas’ agregando listas de acceso ACL.

asa-3-2

asa-3-3

Sigue leyendo

Excelente review de OSPF: Yo sé networking

A continuación les dejo un documento resumen de OSPF muy bueno realizado por Felipe Arellano, estudiante de la Universidad INACAP en Santiago Sur, Chile. Excelente para consultas rápidas sobre temáticas referentes a la currícula CCNA y CCNP acerca de este protocolo.

Para revisar o descargar en formato PDF hagan click en la imagen.

yosenet

 

Encuesta

Encuesta VideoClase
¿Que tema te gustaría?

Síguenos

Lista de correos

Grupos de Google
Suscribirte a Redes Cisco.NET
Correo electrónico:
Consultar este grupo

Puedes ayudarnos!

Síguenos!

Subscribe via RSS

Sitios Recomendados