Professional Documents
Culture Documents
Internetworking (Miscelnea)
Rogelio Montaana
Esta obra est bajo una Licencia Creative Commons Atribucin-NoComercial-CompartirIgual 4.0 Internacional.
Universidad de Valencia
Redes 6-1
Rogelio Montaana
Sumario
Listas de Control de Acceso (ACLs)
Dispositivos de proteccin frente a ataques.
Cortafuegos
Tneles. Redes Privadas Virtuales
IPSec
NAT. Tipos y limitaciones
Universidad de Valencia
Redes 6-2
Rogelio Montaana
20.0.1.1
E0
S0
20.0.1.2
E1
Red 20.0.1.0/24
C
20.0.2.1
D
20.0.2.2
Red 20.0.2.0/24
Universidad de Valencia
Internet
Redes 6-3
Rogelio Montaana
Redes 6-4
Rogelio Montaana
Definicin de ACLs
Cada ACL est compuesta por un conjunto de reglas que se
evalan en el orden en que se han declarado.
Todas las reglas son de tipo permit o deny (permitir o
denegar)
Si el paquete cumple una regla de la lista se le aplica la
accin indicada (permit o deny) y ya no se comprueba el
resto de la lista
Las listas siempre tienen un DENY ANY ANY implcito al final
Las ACLs se configuran en modo configuracin global. Cada
ACL se identifica con un nmero:
Del 1 al 99 para las ACLs estndar
Del 100 al 199 para las ACLs extendidas
Se pueden aadir reglas al final de una ACL, pero no se
pueden borrar, modificar o cambiar de orden. Para esto es
preciso borrar y definir toda la ACL de nuevo
Universidad de Valencia
Redes 6-5
Rogelio Montaana
Ejemplos:
1 regla
2 regla
Identificador
IP origen Wild-mask
Router#CONFigure Terminal
Router(config)# ACcess-list 1 DEny 20.0.1.1 0.0.0.0
Router(config)# ACcess-list 1 Permit Any
Router(config)#CTRL/Z
Efecto: Descarta paquetes con IP origen 20.0.1.1. Permite todo lo dems
ojo
Router#CONFigure Terminal
Router(config)# ACcess-list 2 DEny 20.0.1.0 0.0.0.255
Router(config)# ACcess-list 2 Permit Any
Router(config)#CTRL/Z
Efecto: Descarta paquetes con IP origen 20.0.1.0/24. Permite todo lo dems
Universidad de Valencia
Redes 6-6
Rogelio Montaana
Aplicacin de ACLs
La definicin de una ACL en un router no tiene por s
misma ningn efecto.
Una vez definida la ACL se puede aplicar sobre una
(o varias) interfaces, en sentido entrante o saliente
Una misma ACL se puede aplicar a la vez sobre
varias interfaces
Una interfaz puede tener aplicadas como mximo
dos ACLs, una en sentido entrante y otra en sentido
saliente
Las ACLs se aplican con los comandos:
IP ACCEss-group n_lista In
IP ACCEss-group n_lista Out
en modo Configuracin de Interfaz. El n_lista es
el nmero que identifica la ACL.
Universidad de Valencia
Redes 6-7
Rogelio Montaana
20.0.1.1
E0
S0
20.0.1.2
Internet
E1
Red 20.0.1.0/24
C
20.0.2.1
Router#CONFigure Terminal
Router(config)# ACcess-list 1 DEny 20.0.1.1 0.0.0.0
Router(config)# ACcess-list 1 Permit Any
Router(config)# Interface S0
Router(config-if)# IP ACCEss-group 1 Out
20.0.2.2
Red 20.0.2.0/24
Efecto: Descarta paquetes con IP origen 20.0.1.1 que salgan por S0. Permite todo lo dems
Universidad de Valencia
Redes 6-8
Rogelio Montaana
Ejemplos:
1 regla
2 regla
Identificador
Router#CONFigure Terminal
Router(config)# ACcess-list 100 DEny IP 20.0.1.1 0.0.0.0 Any
Router(config)# ACcess-list 100 Permit IP Any Any
Router(config)#CTRL/Z
Efecto: Descarta paquetes con IP origen 20.0.1.1. Permite todo lo dems
Router#CONFigure Terminal
Router(config)# ACcess-list 101 DEny IP Any 20.0.1.1 0.0.0.0
Router(config)# ACcess-list 101 Permit IP Any Any
Router(config)#CTRL/Z
Efecto: Descarta paquetes con IP destino 20.0.1.1. Permite todo lo dems
Universidad de Valencia
Redes 6-9
Rogelio Montaana
20.0.1.1
100
101
E0
S0
20.0.1.2
Internet
E1
Red 20.0.1.0/24
C
20.0.2.1
D
20.0.2.2
Red 20.0.2.0/24
Router#CONFigure Terminal
Router(config)# ACcess-list 100 DEny IP 20.0.1.1 0.0.0.0 Any
Router(config)# ACcess-list 100 Permit IP Any Any
Router(config)# ACcess-list 101 DEny IP Any 20.0.1.1 0.0.0.0
Router(config)# ACcess-list 101 Permit IP Any Any
Router(config)# Interface S0
Router(config-if)# IP ACCEss-group 100 Out
Router(config-if)# IP ACCEss-group 101 In
Efecto: Descarta paquetes con IP origen 20.0.1.1 que salgan por S0 y paquetes con IP
destino 20.0.1.1 que entren por S0 . Permite todo lo dems
Universidad de Valencia
Redes 6-10
Rogelio Montaana
Red 147.156.0.0/16
100
101
E0
S0
Internet
Router#CONFigure Terminal
Router(config)# ACcess-list 100 Permit IP 147.156.0.0 0.0.255.255 Any
Router(config)# ACcess-list 100 DEny IP Any Any
Router(config)# ACcess-list 101 DEny IP 147.156.0.0 0.0.255.255 Any
Router(config)# ACcess-list 101 Permit IP Any Any
Router(config)# Interface E0
Router(config-if)# IP ACCEss-group 100 In
Router(config-if)# Interface S0
Router(config-if)# IP ACCEss-group 101 In
Efecto: Descarta paquetes que entren por E0 con IP origen 147.156.0.0/16. Descarta
paquetes que entren por S0 con IP origen 147.156.0.0./16. Permite todo lo dems
Universidad de Valencia
Redes 6-11
Rogelio Montaana
100
E0
20.0.1.x
S0
Internet
Router#CONFigure Terminal
Router(config)# ACcess-list 100 Permit Tcp 20.0.1.10 0.0.0.0 Any EQ 80
Router(config)# ACcess-list 100 DEny Tcp 20.0.1.0 0.0.0.255 Any EQ 80
Router(config)# ACcess-list 100 Permit IP Any Any
Router(config)# Interface E0
Router(config-if)# IP ACCEss-group 100 In
Servidor Proxy
20.0.1.10
Efecto: Permite paquetes IP/TCP que entren por E0 con IP origen 20.0.1.10 y puerto
destino 80. Descarta paquetes IP/TCP que entren por E0 con IP origen 20.0.1.10 y
puerto destino 80. Permite todo lo dems
Universidad de Valencia
Redes 6-12
Rogelio Montaana
100
E0
S0
Internet
Router#CONFigure Terminal
Router(config)# ACcess-list 100 Permit Tcp Any 20.0.1.0 0.0.0.255 EStablished
Router(config)# ACcess-list 100 DEny IP Any Any
Router(config)# Interface S0
Router(config-if)# IP ACCEss-group 100 In
Universidad de Valencia
Redes 6-13
Rogelio Montaana
Universidad de Valencia
Redes 6-14
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1433
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
1434
Rogelio Montaana
Universidad de Valencia
Redes 6-15
Rogelio Montaana
Sumario
Listas de Control de Acceso (ACLs)
Dispositivos de proteccin frente a ataques.
Cortafuegos
Tneles. Redes Privadas Virtuales
IPSec
NAT. Tipos y limitaciones
Universidad de Valencia
Redes 6-16
Rogelio Montaana
Dispositivos de proteccin
Cortafuegos o firewall: controlan todo el trfico que
entra y sale de la red, impidiendo el que se considera
peligroso
IDS/IPS (Intrusion Detection System / Intrusion
Protection System) o Husmeador de paquetes:
Dispositivo que inspecciona todo el trfico que entra
y sale de la red, buscando evidencias de ataques
(firmas)
Honeypot: Equipo con vulnerabilidades conocidas y
controladas que se instala en una red para que acte
de cebo y atraiga a los hackers
Universidad de Valencia
Redes 6-17
Rogelio Montaana
S0
E0
Internet
Honeypot
Cortafuegos
E1
Red interna
(Intranet)
Universidad de Valencia
Redes 6-18
Rogelio Montaana
Reglas de filtrado
Las reglas de filtrado pueden establecerse segn
diversos campos de la cabecera IP y TCP/UDP:
Universidad de Valencia
Redes 6-19
Rogelio Montaana
Zona Desmilitarizada
Normalmente la red de una empresa tiene un conjunto
de servidores que deben estar accesibles desde el
exterior, por ejemplo servidor Web, FTP, etc.
Estos servidores estn expuestos a ataques, por lo que
deben estar especialmente bien protegidos. Por eso se
colocan en una red especial denominada Zona
Desmilitarizada o DMZ (DeMilitarized Zone).
Generalmente el control se realiza por nmero de
puerto
La comunicacin entre la zona desmilitarizada y la
red interior debe pasar siempre por el cortafuegos.
Ojo con los hosts dual-homed
Universidad de Valencia
Redes 6-20
Rogelio Montaana
Red interna
(fuertemente protegida)
Universidad de Valencia
80.1.1.1
DNS, Mail
80.1.1.2
FTP
80.1.1.3
HTTP
Rogelio Montaana
Universidad de Valencia
Redes 6-22
Rogelio Montaana
Sumario
Listas de Control de Acceso (ACLs)
Dispositivos de proteccin frente a ataques.
Cortafuegos
Tneles. Redes Privadas Virtuales
IPSec
NAT. Tipos y limitaciones
Universidad de Valencia
Redes 6-23
Rogelio Montaana
Tneles
Permiten conectar un protocolo a travs de otro
Ejemplos:
Universidad de Valencia
Redes 6-24
Rogelio Montaana
Ejemplo de tnel
Encapsulador
Encapsulador
Red SNA
Red TCP/IP
Red TCP/IP
Paquete
SNA
Datagrama IP
Redes 6-25
Rogelio Montaana
Universidad de Valencia
Redes 6-26
Rogelio Montaana
199.1.1.69
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
199.1.1.10
Servidor de Tneles
Rango 199.1.1.245-254
ISP 2
199.1.1.245
200.1.1.20
Ping 199.1.1.69
ISP 1
PN
V
l
e
Tn
Origen: 200.1.1.20
Destino: 199.1.1.10
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
Red 199.1.1.0/24
Puede ir encriptado
(si se usa IPSec ESP)
Universidad de Valencia
Redes 6-27
Rogelio Montaana
Ping 199.1.1.69
192.168.1.1/30
200.1.1.20
199.1.1.245
192.168.1.2/30
130.1.1.12
Tnel VPN
Internet
199.1.1.193
199.1.1.246
199.1.1.69
Subred 199.1.1.192/26
Red oficina
remota
Universidad de Valencia
199.1.1.1
199.1.1.50
Origen: 200.1.1.20
Destino: 130.1.1.12
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
Redes 6-28
Subred 199.1.1.0/25
Red oficina
principal
Puede ir encriptado
(si se usa IPSec ESP)
Rogelio Montaana
Sumario
Listas de Control de Acceso (ACLs)
Dispositivos de proteccin frente a ataques.
Cortafuegos
Tneles. Redes Privadas Virtuales
IPSec
NAT. Tipos y limitaciones
Universidad de Valencia
Redes 6-29
Rogelio Montaana
Objetivos de la Seguridad
El problema de la seguridad en redes comprende cuatro
cuestiones fundamentales:
Confidencialidad: el mensaje no puede ser interpretado
por usuarios no autorizados
Control de integridad: El mensaje no puede ser
modificado, o si lo es la alteracin es detectada por el
receptor.
Autenticacin: el receptor tiene la certeza de que el autor
del mensaje es fiable (firma digital)
No repudio: El autor del mensaje no puede negar haberlo
enviado (firma digital)
Universidad de Valencia
Redes 6-30
Rogelio Montaana
IPSec
La comunicacin segura puede realizarse a diversos niveles:
Nivel
Ejemplo
Ventajas
Inconvenientes
Enlace
Redes CATV,
redes inalmbricas
Encriptar-desencriptar en
cada salto introduce retardo y
consume recursos.
Requiere control de la
infraestructura de red.
Red
IPSec
Independiente de nivel de
transporte o aplicacin.
Independiente de
infraestructura.
Conexin transparente de
LANs.
Adecuado para VPNs.
Aplicaci
n
Mxima seguridad
(comunicacin extremo a
extremo).
Selectivo.
Ha de implementarse en cada
aplicacin y en cada host.
Universidad de Valencia
Redes 6-31
Rogelio Montaana
Funcionalidades de IPSec
AH (Autentication Header, RFC 4302): garantiza
que el datagrama fue enviado por el remitente y que
no ha sido alterado durante su viaje (integridad y
autenticacin).
ESP (Encapsulating Security Payload, RFC
4303): garantiza que el contenido no pueda ser
interpretado por terceros (confidencialidad).
Opcionalmente puede incluir la funcin de AH.
Universidad de Valencia
Redes 6-32
Rogelio Montaana
Universidad de Valencia
Redes 6-33
Rogelio Montaana
Internet
Router sin IPSec
Internet
Tnel IPSec
Universidad de Valencia
Redes 6-34
Rogelio Montaana
Encapsulado IPSec
Modo transporte
Cabecera IP
Cabecera IP
Datos
Cabecera
IPSec
Datos
Modo tnel
Cabecera
IP Tnel
Cabecera
IPSec
Cabecera
IP
Datos
Cabecera
IP
Datos
Redes 6-35
Rogelio Montaana
Sumario
Listas de Control de Acceso (ACLs)
Dispositivos de proteccin frente a ataques.
Cortafuegos
Tneles. Redes Privadas Virtuales
IPSec
NAT. Tipos y limitaciones
Universidad de Valencia
Redes 6-36
Rogelio Montaana
Universidad de Valencia
Redes 6-37
Rogelio Montaana
Uso de NAT
Servidor
Web
Cliente
207.29.194.84
192.168.0.1
192.168.0.2
Cliente
206.245.160.1
Router
NAT
Tabla de traduccin
192.168.0.3
Internet
Servidor
FTP
205.197.101.111
Direccionamiento privado
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Universidad de Valencia
Direccionamiento pblico
Redes 6-38
Rogelio Montaana
Universidad de Valencia
Redes 6-39
Rogelio Montaana
Universidad de Valencia
Redes 6-40
Rogelio Montaana
NAT Esttico/dinmico
Segn la temporalidad de correspondencia el NAT
puede ser:
Esttico: cuando la tabla de conversin de direcciones
(y puertos) se carga al arrancar el router que hace NAT
y se mantiene invariable (el trfico no la modifica)
Dinmico: la tabla de conversin se construye y
modifica en funcin del trfico recibido. Las
direcciones pueden reutilizarse. Requiere mantener en
el NAT informacin de estado. Normalmente este tipo
de NAT es unidireccional solo permite conexiones
salientes.
Universidad de Valencia
Redes 6-41
Rogelio Montaana
Tipos de NAT
Esttico (bidireccional) Dinmico (unidireccional)
NAT
Bsico
El nmero de
direcciones pblicas ha
de ser igual al de
privadas
En conexiones entrantes
NAPT o permite asociar a una
misma direccin
PAT
diferentes servidores,
eligiendo por el nmero
de puerto
Universidad de Valencia
Redes 6-42
Rogelio Montaana
Cliente
192.168.0.2
Origen: 206.245.160.2:1108
Destino: 207.29.194.84:80
Servidor
Web
192.168.0.1
206.245.160.1
Router
NAT
Cliente
192.168.0.3
Universidad de Valencia
Internet
Origen: 192.168.0.3:1108
Destino: 205.197.101.111:21
207.29.194.84
Servidor
FTP
205.197.101.111
Origen: 206.245.160.3:1108
Destino: 205.197.101.111:21
Redes 6-43
Rogelio Montaana
Cliente
192.168.0.2
Origen: 206.245.160.5:1108
Destino: 207.29.194.84:80
Servidor
Web
192.168.0.1
206.245.160.1
Router
NAT
Cliente
192.168.0.3
206.245.160.5
206.245.160.6
Origen: 192.168.0.3:1108
Destino: 205.197.101.111:21
Universidad de Valencia
Internet
207.29.194.84
Servidor
FTP
205.197.101.111
Origen: 206.245.160.6:1108
Destino: 205.197.101.111:21
Redes 6-44
Rogelio Montaana
Cliente
192.168.0.2
Origen: 206.245.160.1:61001
Destino: 207.29.194.84:80
Servidor
Web
192.168.0.1
206.245.160.1
Router
NAT
Cliente
192.168.0.3
Universidad de Valencia
Internet
Origen: 192.168.0.3:1108
Destino: 205.197.101.111:21
207.29.194.84
Servidor
FTP
205.197.101.111
Origen: 206.245.160.1:61002
Destino: 205.197.101.111:21
Redes 6-45
Rogelio Montaana
Universidad de Valencia
Redes 6-46
Rogelio Montaana
Servidor
FTP
Cliente
192.168.0.1
192.168.0.5
Origen: 209.15.7.2:1067
Destino: 192.168.0.5:80
Universidad de Valencia
211.23.5.6
206.245.160.1
Router
NAT
192.168.0.4
Servidor
Web
Origen: 211.23.5.6:1084
Destino: 206.245.160.1:21
Internet
Cliente
209.15.7.2
Origen: 209.15.7.2:1067
Destino: 206.245.160.1:80
Redes 6-47
Rogelio Montaana
Universidad de Valencia
Redes 6-48
Rogelio Montaana
Consecuencias de NAT
Al cambiar la direccin IP es preciso:
Modificar la direccin origen o destino de la cabecera IP.
Tambin hay que recalcular el checksum
Recalcular el checksum de la cabecera TCP o UDP (ya que
la direccin IP, que aparece en la pseudocabecera, se utiliza
para calcularlo).
En caso de utilizar NAPT hay que modificar el nmero de
puerto TCP/UDP origen o destino.
En algunos protocolos (ICMP y SNMP por ejemplo) los
mensajes contienen repetidas las direcciones IP de la
cabecera del paquete, o a veces toda la cabecera. En estos
casos el router ha de buscar esa informacin y modificarla.
Universidad de Valencia
Redes 6-50
Rogelio Montaana
Universidad de Valencia
Redes 6-51
Rogelio Montaana
Universidad de Valencia
Redes 6-52
Rogelio Montaana
Universidad de Valencia
Redes 6-53
Rogelio Montaana