Subnetting
En nuestro artículo Firewall, expusimos un método para bloquear o aceptar sitios en internet (direcciones IP) mediante el uso del firewall iptables de Linux.
Para facilitar el trabajo ofrecimos algunos rangos de las IP's de los servicios más usados principalmente en el entorno corporativo, como son bancos, correos electrónicos, etc, sin embargo hay que mantener actualizadas las ACLs contenedoras de estas IPs para que los usuarios en nuestra red no se queden sin sus servicios habituales. Lo anterior se debe a que en Internet el trasteo de servidores es muy usual y puede que hotmail, yahoo o facebook tengan una o o varias IPs hoy y mañana desaparezcan por arte de magia y sean otras muy diferentes, o simplemente aumente el número de servidores o cambien solamente algunos servicios. Esto implica validar las nuevas IPs en el firewall.
Para determinar estas IP (o rangos de IP), hay que hacer constantes host -t a los sitios que queremos validar o denegar, pero verificar IP por IP, o determinar un rango puede ser una tarea de nunca acabar.
Hoy vamos a ofrecer algunas herramientas que hacen más eficiente esta actividad, conocida como Subnetting o Subneteo, cuyo objetivo es determinar el CIDR.
Classless Inter-Domain Routing o CIDR
también llamado "Ruteo interno de dominios sin clases" (Sin clases hace referencia a las clases de red A, B y C) y
VLSM
(mascaras de subred de tamaño variable, que no trabaja con las clases de red y permite un aprovechamiento mayor de las direcciones Ip) son las armas en esta cruzada.
CIDR
El cálculo de la IP objetivo a bloquear o permitir, se estructura así:
IP 192.168.0.1
Máscara subred: 255.255.255.0
CIDRs: 192.168.0.1/24
Por qué 24?
Porque es el número de bits de la Máscara de Subred que están a 1
Ejemplo:
255.255.255.0
11111111.11111111.11111111.00000000
Si los contamos son 24 bits a 1. Además IpV4 esta compuesto por 32Bits, así que al restarle 32 al CIDR y elevamos 2 a ese resultado, tendremos:
192.168.0.1/24
232-24 = 28 = 256
256 -2 = Número de hosts posibles en la red 192.168.0.1/24
Ejemplos de captura de rangos
Una manera de determinar el rango de www.facebook.com puede ser la siguiente:
1. Haciendo host a facebook
host -t a www.facebook.com (aqui se determina la ip)
Salida: www.facebook.com has address 69.171.228.40
2. Buscar el CIDR para 69.171.228.40:
whois 69.171.228.40 | grep CIDR
salida: CIDR: 69.171.224.0/19
También puede usar un Subnet (CIDR) Calculator, como el programa sipcalc. Para instalarlo basta con lanzar en el terminal (para Debian y familia):
apt-get update
apt-get install sipcalc
Puede consultar el HowTO de instalación y manejo AQUI
VLSM
Con el método “VLSM” se desperdician menos direcciones ip porque te permite calcular la cantidad especifica de host y tb, calcular los enlaces de router a router teniendo la mascara 255.255.255.252/30
Ya hay disponibles sitios en internet que hacen este cálculo por nosotros, como es el caso de SM (CIDR) Subnet Calculator
Con
VLSM, un administrador de red puede usar una máscara larga en las redes con pocos hosts, y una máscara corta en las subredes con muchos hosts. Para mayor información visite AQUI
Lo malo de estas herramientas es que ninguna brinda información detallada del propietario de los servidores detrás de la IP, por tanto es posible que esta (o su rango) sea mucho mayor del que suponemos. Casi siempre es así
Por consecuencia el uso de Whois Domain Tool y Lookup IP Address Location es esencial, ya que nos brindan mucha más información sobre las IP objetivo.
Lo malo de estas herramientas es que ninguna brinda información detallada del propietario de los servidores detrás de la IP, por tanto es posible que esta (o su rango) sea mucho mayor del que suponemos. Casi siempre es así
Por consecuencia el uso de Whois Domain Tool y Lookup IP Address Location es esencial, ya que nos brindan mucha más información sobre las IP objetivo.
Conclusión
Existen muchas maneras de determinar las IP de un propietario y sus rangos, ya sea manualmente (buscándolos en whois o mediante el uso de las herramientas descritas (hay muchas otras), pero lo más importante aquí no es la cantidad de métodos para saber cuales son las IP de Facebook, Hotmail, Google o Twitter para permitirlas o bloquearlas, sino el manejo que le demos a las ACLs contenedoras en el iptables.
Iptables, antes de aplicar cada regla a las peticiones que salgan o entren a una red local, debe consultar las ACLs creadas con la longaniza de direcciones IP, lo que ocasiona ralentización del firewall y por ende de su servidor.
Para mayor información sobre las conexiones ipV6 lea el post Hacking en redes de datos IPv6: Conceptos básicos IPv6
Lecturas recomendadas:
Redes con subnetting, Subnetting y Supernetting
Herramientas (Calculadoras de red online)
calcule su IP/subnet Calculador a Redes
Imagen cortesía de LifeWire
Iptables, antes de aplicar cada regla a las peticiones que salgan o entren a una red local, debe consultar las ACLs creadas con la longaniza de direcciones IP, lo que ocasiona ralentización del firewall y por ende de su servidor.
Para mayor información sobre las conexiones ipV6 lea el post Hacking en redes de datos IPv6: Conceptos básicos IPv6
Lecturas recomendadas:
Redes con subnetting, Subnetting y Supernetting
Herramientas (Calculadoras de red online)
calcule su IP/subnet Calculador a Redes
Imagen cortesía de LifeWire
Post a Comment