Universidad Mayor de San Simn

Seguridad y Auditoria de redes

Enrutamiento
Direccionamiento
La direccin es el identificador que permite a otras mquinas enviar informacin desde un punto a otro, en el protocolo IP significa un punto de unin en la red llamado interfaz. Una maquina puede tener mltiples interfaces, teniendo una direccin IP distinta por cada una de ellas, las interfaces son por lo general conexiones fsicas, pero tambin pueden ser conexiones lgicas que comparten una misma interfaz.

Estructura de una direccin IP

Las direcciones IP poseen 32 bits de longitud y estn divididas en cuatro octetos (8 bits). Una direccin IP puede ser escrita de varias formas: binaria, decimal y hexadecimal. Una direccin IP consiste de dos niveles jerrquicos, los cuales son: el identificador de red, netid, y el identificador de mquina, hostid. En el protocolo IP el identificador de red representa un nmero de mquinas que pueden comunicarse entre ellas a travs de la capa dos del modelo de referencia OSI, el mismo no puede ser utilizado como la direccin de un dispositivo (una interface de red), se representa por el primer nmero IP del segmento que se este analizando. 172.16.1.0 192.168.2.128 200.87.25.248 (Toda la red) (Un segmento de red superior) (Los ltimos 8 IP, por lo general)

El identificador de mquina representa el nmero de la mquina dentro de la red por tanto identifica a la mquina de forma nica en toda Internet.

Nmeros de red y mascara

La divisin del nmero de red y de mquina es distinta para cada red. Esto facilita al software de enrutadores y mquinas identificar con facilidad dnde ocurre la divisin. Cada direccin tiene una mscara de red asociada, la cual es representada por un nmero de 32 bits (4 octetos), donde todos los bits de la porcin de red estn en 1 y todos los bits de la porcin de mquina estn en 0. 11111111 11111111 11111111 Lo mismo que 255.255.255.0 11111111 11111111 11111111 Lo mismo que 255.255.255.240 00000000 11110000 (Toda la red) (Slo 16 Ips)

Los primeros 16 bits estn asociados al nmero de red y los 16 restantes al nmero de la mquina dentro de la red. Una computadora puede extraer el nmero de red de una direccin IP realizando una operacin lgica AND de la mscara con la direccin IP. Las mscaras de red permiten tener 1 discontinuos (por ejemplo 11001001), pero esta prctica ha sido eliminada pues tiende a confundir al momento de manejar los nmeros IP.

Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Seguridad y Auditoria de redes

La mscara por lo general permite a los dispositivos de red identificar el segmento de red en que estos se encuentran, todo dispositivo de la red siempre tendr acceso de red (enrutamiento) a todos los dispositivos de su segmento de red respectivo. Por ejemplo si el IP de un dispositivo es el 172.10.1.30 y su mscara de red es 255.255.255.248, entonces significa que el equipo tiene conectividad (puede hacer ping, y usar servicios) con 8 equipos de la red nicamente (256 248 = 8 IPs), para identificar el netid es necesario identificar el primer dispositivo de la red, y para ello se realiza una operacin AND entre los binarios del nmero IP y de la mscara de red: 172. 10. 1. 30 10101100 00001010 11111111 00001010 00000001 11111111 00000001 00011110 11111000 00011000

AND
255.255.255.248 11111111

=
172. 10. 1. 24 10101100 Por tanto el netid del equipo es el 172.10.1.24 y slo puede ver los equipos 172.10.1.25, 172.10.1.26, 172.10.1.27, 172.10.1.28, 172.10.1.29, 172.10.1.30, 172.10.1.31. La mscara de red en algunos sistemas se representa por un nmero decimal detrs del nmero IP del dispositivo, por ejemplo 172.10.1.30/29, este nmero indica el nmero de 1s que se tiene en la representacin binaria de la mascara. As una mscara 255.255.255.128 ser representada como /25. Las mscaras de red permiten realizar la segmentacin de la red, este proceso puede ser realizado dividiendo la red en porciones las cuales identificaran una red diferente o segmento.

255

127 (primer segmento de 128 IPs, mscara /25)

(segundo segmento mscara /25)

128

255

120

127 (Segmento de 8 IPs, mascara /29)

Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Seguridad y Auditoria de redes

Clases de direccin IP.

Las redes se clasifican en 3 categoras, Clases A, B, C, D y Clase E. Las redes clase A, utilizan el primer octeto (byte) para referirse al nmero de red. El primer bit comienza en 0. El rango de direcciones para estas redes est entre el 1.x.x.x y el 126.x.x.x y se pueden asignar direcciones hasta 16194277 hosts pues la direccin 127.x.x.x est reservada para designar a las interfaces locales.

Las redes clase B, emplean los dos primeros octetos para referirse al nmero de red. Los dos primeros bits son 10. El rango de direcciones para estas redes est comprendido entre el 128.1.x.x y el 191.254.x.x, pudindose asignar direcciones para 64516 hosts.

Las redes clase C, usan los tres primeros octetos para referirse al nmero de red. Los tres primeros bits son 110; y su rango de direcciones de red est comprendido entre el 192.1.1.x y el 223.254.254.x . A esta clase de red se le pueden asignar direcciones a 254 hosts.

Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Seguridad y Auditoria de redes

Originalmente las redes clase D eran definidas como las redes con los tres primeros bits en 111 y fueron reservadas para usos futuros. Desde entonces las investigaciones han provocado cambios en la definicin de la clase D, considerndose actualmente como las redes que comiencen con 1110. Estas redes no representan una mquina sino una coleccin que forma parte de un grupo multicast IP. Comprende las direcciones de red desde la 224.0.0.0 hasta la 239.255.255.255. Las redes clase E, comienzan con sus cinco primeros bits en 11111 y estn compuestas por las redes comprendidas desde la 240.0.0.0 hasta la 247.255.255.255. Estas direcciones de red estn reservadas para uso futuro y son conocidas como redes marcianas. Posiblemente una nueva clase podra ser necesaria, as la definicin de clase tipo E podra ser modificada por una clase que comience por 11110 y una nueva clase se definira ( y se reservara para uso futuro) comenzando con 11111. Existen adems direcciones IP pblicas y privadas, en Internet la manera como son asignadas garantiza su unicidad. El organismo encargado de administrar la asignacin de nmeros IP es conocido como Internet Registry. Las direcciones IP que son nicas son las conocidas como pblicas, pero algunas direcciones no son nicas y son utilizadas por corporaciones que no estn conectadas a Internet o que requieren de acceso restringido. Para estos casos se hace necesario el uso de direcciones privadas, las cuales son duplicadas en distintas corporaciones pues por lo general estn aisladas. Este direccionamiento es similar al sistema de numeracin telefnica, cada nmero se divide en cdigo nacional, que a su vez se divide en cdigo de rea (o regin) que a su vez se divide en los nmeros de usuario finales Toda esta informacin puede colocarse en el sistema mediante comando de direccionamiento IP como ser:
#ip address 192.168.1.1 255.255.255.48 O #ip address add address=192.168.1.1/24 interface ether1

Configuraciones Comunes de Enrutamiento

El proceso de direccionamiento IP es vlido para poder enviar paquetes desde un dispositivo a otro, por lo general (como se mencion anteriormente) una vez que se coloca una direccin IP el dispositivo es capaz de enrutar trfico a todos los dispositivos de su segmento de red.

Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Seguridad y Auditoria de redes

Sin embargo si el equipo al que se quiere llegar no se encuentra en su segmento de red ser necesario utilizar una configuracin de red.

Una red completamente aislada de otra red TCP/IP requiere solo de rutas mnimas. Las rutas mnimas se crean generalmente al momento de configurar la interfaz. Las rutas mnimas son: la ruta de red local y la ruta para loopback. Destination 127.0.0.0 Gateway Mask 0.0.0.0 255.0.0.0 Flags Metric Ref Use Interface 0 0 0 0 2 1 eth0 lo U

150.185.156.0 0.0.0.0

255.255.255.128 U

Una entrada es la ruta a la red 150.185.156.0 a travs de la interfaz eth0. La otra entrada es la ruta loopback a localhost establecida cuando lo fue creada. Observe los campos de
Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Seguridad y Auditoria de redes

bandera en cada entrada. Ambas entradas tienen la bandera U (Up), esto indica que la interfaz esta lista para ser usada. Ninguna de las entradas tiene la bandera G (Gateway). Esta bandera indica que un gateway externo esta siendo usado. La bandera G no aparece pues estas rutas son directas a travs de interfaces locales y no a travs de gateway externos. Observe que slo se tiene la ruta loopback y la ruta 150.185.156.0. Por lo que esta mquina slo se podr comunicar con otras mquinas dentro de la misma red 8sin necesidad de configurar un gateway, cualquier equipo dentro de la mascara de red ser visible directamente por la interfase). Esto es fcil de verificar con el comando ping . Si el comando ping devuelve un mensaje de Destination Unreachable significa que el equipo es incapaz de conocer como enviar el paquete a la red de la otra mquina.

Enrutamiento Esttico
Una red con un nmero mnimo de enrutadores puede ser configurada con enrutamiento esttico. Para una red con un solo gateway, la mejor opcin es el enrutamiento esttico. Una tabla de enrutamiento esttico es construida manualmente, por el administrador de la red, usando el comando de rutas (route, ip route, etc.) . Las tablas de enrutamiento esttico no se ajustan a los cambios de la red, ellos trabajan mejor cuando las rutas no cambian. Para agregar una ruta el destino final debe ser conocido, en algunos casos es necesario indicar tambin la mscara de la red a la que se quiere llegar. Cada ruta esttica debe indicar claramente el destino (a donde se puede llegar con el paquete, una ruta con destino 0.0.0.0 indica la ruta por defecto, si no se tiene ningn emparejamiento en la tabla de rutas cualquier paquete ser enviado por esta ruta), la mscara (para identificar y segmentar mejor la red) y el gateway de salida (equipo al que se debe tener conexin fsica por alguna interfaz). Por ejemplo
#ip route 0.0.0.0 0.0.0.0 192.168.1.1

o
#route add net 0.0.0.0 gw 192.168.1.1 netmask 0.0.0.0 eth1

tambin es posible colocar la ruta como

#route add default gw 192.168.1.1

Esta nueva ruta se agregar a la tabla de enrutamiento, en muchos casos no es necesario identificar la interfaz, el sistema identificara automticamente la interfase de salida: Destination 0.0.0.0 127.0.0.0 Gateway Mask Flags Metric Ref Use Interface 0 0 0 0 0 0 2 0 1 eth0 eth1 lo UG U

150.185.156.0 0.0.0.0 0.0.0.0

255.255.255.128 U 255.0.0.0

192.168.1.1 0.0.0.0

Yony Richard Montoya Burgos

Universidad Mayor de San Simn

Seguridad y Auditoria de redes

Todo el trfico que no le pertenezca al segmento de red, ser enviada al gateway que ser el encargado de enrutar (o redireccionar) el trfico si fuese necesario. En muchas situaciones en donde se tienen conectados mas de dos redes a un mismo equipo, se puede realizar el proceso de MultiPath o balanceo de carga, generando mas de un ruta hacia una red, siempre asegurando que se tenga mas de un interfase para la salida. Generando una tabla como: Destination Gateway 0.0.0.0 0.0.0.0 127.0.0.0 Mask Flags Metric Ref Use Interface UG UG 0 0 0 0 0 0 2 0 1 eth0 eth1 Lo

192.168.2.1 0.0.0.0 192.168.1.1 0.0.0.0 0.0.0.0

255.0.0.0 U

El enrutador automticamente balancear la carga hacia uno u otro gateway dependiendo de sus propios algoritmos de balanceo.

Yony Richard Montoya Burgos