Unidad 3. Seguridad de La Red
-
Upload
rosendo-ayala -
Category
Documents
-
view
70 -
download
1
Transcript of Unidad 3. Seguridad de La Red
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica
Ingeniera en Telemtica
Programa de la asignatura:
Optimizacin de redes
Unidad 3. Seguridad de la Red
Clave:
210930831
I
Universidad Abierta y a Distancia de Mxico
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 1
ndice
Unidad 3. Seguridad de la red ........................................................................................... 2
Presentacin de la unidad .............................................................................................. 2
Propsitos ...................................................................................................................... 5
Competencia especfica ................................................................................................. 5
3.1. Seguridad de la Red ................................................................................................ 6
3.1.1. Conceptos de Seguridad de la red .................................................................... 8
3.1.2. Tipos de amenazas ........................................................................................... 9
Actividad 1. Seguridad en la red ................................................................................... 12
3.2. Seguridad para routers .......................................................................................... 13
3.2.1. Aspectos de seguridad para ruteadores .......................................................... 13
3.2.1. Servicios de red y administracin .................................................................... 18
Actividad 2. Configuracin de router seguro ................................................................. 20
3.3. Listas de Acceso Controlado (ACL) ....................................................................... 20
3.3.1. Qu son las ACL ............................................................................................. 21
3.3.2. Configuracin estndar ACL ........................................................................... 25
3.3.3. Configuraciones extendidas y complejas ........................................................ 30
Actividad 3. ACL ........................................................................................................... 36
Autoevaluacin ............................................................................................................. 37
Evidencia de aprendizaje. Seguridad y diseo de una WAN ........................................ 37
Autorreflexin ............................................................................................................... 38
Cierre de la unidad ....................................................................................................... 38
Para saber ms ........................................................................................................ 39
Fuentes de consulta ..................................................................................................... 39
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 2
Unidad 3. Seguridad de la red
Presentacin de la unidad
En las unidades anteriores pudiste conocer cmo se estructuran y disean las WAN,
incluso aprendiste a configurar los enlaces PPP, ISDN y Frame Relay, sin embargo para
que el diseo de toda red este completo es necesario proveer a la misma de los
esquemas bsicos de seguridad, ya que este es un aspecto fundamental en la instalacin
y la administracin de las WAN.
El reto de la seguridad es proveer un equilibrio entre la necesidad de poseer redes
abiertas a el intercambio de informacin entre organizaciones distintas y el proteger los
datos privados de la organizacin y de las personas.
La definicin de una poltica de seguridad es de suma importancia pues permite a las
organizaciones proteger sus redes, brindando pautas que permiten que las actividades se
realicen de forma segura y fiable, adems de brindar los recursos necesarios que deben
usarse para proporcionar seguridad en la red de cualquier organizacin.
En esta unidad analizars los esquemas de seguridad de la red en la capa 2 de OSI, lo
que te permitir identificar las amenazas que existen en las redes, as como describir
cules mtodos se pueden utilizar para evitar amenazas de seguridad en las WAN.
Tambin aprenders a configurar esquemas de seguridad basados en listas de acceso
controlado en los routers, permitiendo as enlaces con seguridad en las interfaces de
conexin de stos. En esta unidad encontrars el trmino de routers que se usar
indistintamente para hacer referencia a los ruteadores.
En la siguiente infografa podrs visualizar diferentes elementos de seguridad como son
las variantes de ACL que permiten o deniegan el acceso; con dichos elementos se
permite filtrar los diversos paquetes que viajan en la red y que a su vez infieren en el
trfico de la misma.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 3
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 4
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 5
Propsitos
En esta unidad logrars:
Analizars los esquemas de seguridad de la
red en la capa 2 de OSI, lo que te permitir
identificar las amenazas que existen en las
redes
Adems describirs los mtodos utilizados
para evitar amenazas de seguridad en las
WAN. Tambin se utilizarn un conjunto de
actividades para confirmar y reforzar tu
aprendizaje.
Al finalizar esta unidad podrs aplicar las
diversas tcnicas de seguridad apropiadas
para habilitar servicios WAN confiables y
seguros.
Competencia especfica
Aplicar las distintas tcnicas de las
listas de acceso controlado para
configurar los dominios de broadcast
de una WAN simulando un diseo de
redes de rea amplia segura.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 6
3.1. Seguridad de la Red
La seguridad de la red ha sido una cuestin de importancia desde hace mucho tiempo, y
aunque cuando las LAN conectaban a las computadoras personales en los aos ochenta,
la seguridad no era el objetivo nmero uno, ya que en ese tiempo las redes eran cerradas,
con lo cual las medidas de seguridad solo se centraban en cuestiones de seguridad de
infraestructura fsicas (amenazas al hardware, amenazas ambientales, amenazas
elctricas y amenazas al mantenimiento). En la actualidad, sin embargo, la seguridad en
las redes se encuentra en la parte superior de la lista de prioridades, ya que las redes han
crecido, evolucionado y proveen comercio electrnico o servicios en lnea, esto a
consecuencia que las redes ahora son abiertas (Stallings, 2009).
La seguridad de las redes parte de que una red sea abierta o cerrada, ya que de eso depender el tipo de amenazas a las que pueda estar sujeta la red, estas amenazas pueden ser:
Amenazas Internas
Amenazas externas A continuacin se muestra un esquema que ejemplifica de cada una de este tipo de redes
Red cerrada sin problemas de amenazas externas pero s internas (Cisco, Gua del
segundo ao CCNA 3 y 4, 2008)
Red Abierta con problemas de amenazas internas y externas. (Cisco, Gua del segundo ao CCNA 3 y 4,
2008)
Uno de los desafos a la seguridad de la red es que las amenazas a la red cambian
constantemente, y t debes de poder hacer frente a stas, diseando redes con las
mejores prcticas en seguridad que permitan monitorear constantemente el trfico en la
red.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 7
Adems que casi todo esquema de seguridad es nico y muy particular ya que puede ir
desde una red completamente abierta, donde se permite acceso a cualquier servicio,
hasta una red completamente cerrada y restrictiva, en la cual se deniegan permiso de
manera predeterminada, a menos que se considere necesario el acceso.
En las redes abiertas, los riesgos son evidentes, pues el acceso no est restringido, sin
embargo las redes cerradas, las reglas de acceso se definen por medio de polticas,
denominadas polticas de seguridad, las cuales pueden reglamentar servicios de red
como se crea pertinente por la organizacin, un ejemplo podra ser el prohibir el uso de
las redes sociales.
La poltica de seguridad define qu tan abierta o cerrada es una red, por lo que podra
proponerse una red completamente cerrada al exterior, proporcionando solo conectividad
al interior de la organizacin y a las personas y sitios de confianza. Estas redes se
consideran seguras contra los ataques externos, pero aun as siguen existiendo
amenazas internas. (Baker, 2012)
Las amenazas se incrementarn en base al tipo de red tengamos si es abierta o cerrada, a continuacin se muestra un comparativo, siendo la mejor opcin un modelo equilibrado que permita combinar permisos especficos con restricciones determinadas.
Una red cerrada es una red donde todo lo que no est explcitamente permitido se niega, lo que da como consecuencia una red de difcil configuracin y administracin, el acceso de los usuarios a los recursos es complicado y difcil, y tiene un costo muy elevado en seguridad. Red Cerrada (Baker, 2012)
Una red abierta es una red donde se permite todo aquello que no est explcitamente denegado y que es fcil de configurar y administrar, el acceso a los recursos por parte de los usuarios es sencillo y el costo de seguridad es muy bajo Red Abierta (Baker, 2012)
De acuerdo con el tipo de red que desees tener, deber ser necesario desarrollar una
poltica de seguridad, la cual definir el que est permitido y que no en sta.
A manera de recordatorio en lo visto en las asignaturas de seguridad. Cisco considera que una poltica de seguridad es una declaracin formal de las normas por las que se deben regir las personas que obtienen acceso a los bienes de tecnologa e informacin de una organizacin. Una poltica de seguridad puede ser tan simple como una breve Poltica de uso aceptable para recursos de red, o puede
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 8
contener varios cientos de pginas y detallar cada aspecto de conectividad y las polticas asociadas. (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
3.1.1. Conceptos de Seguridad de la red
Como ha mencionado, los desafos de la seguridad evolucionan, con base en el tipo de
vulnerabilidad, de amenaza, y/o ataque se configure en su contra.
Una vulnerabilidad es una debilidad de una red y cada uno de los dispositivos que en ella
actan, como pueden ser routers, switches, computadoras personales, servidores y
dispositivos de seguridad.
Existen 3 tipos de vulnerabilidades:
Debilidades tecnolgicas: Son debilidades propias de las TIC como podran ser, las
debilidades propias de los protocolos de comunicaciones, de los dispositivos y del
software.
Debilidades en la configuracin: Son definidas por la mala configuracin de los
dispositivos y de red.
Debilidades en la poltica de seguridad: Si los usuarios no respetan la poltica de
seguridad esto acarrear riesgos de seguridad.
Debilidades tecnolgicas
Estas debilidades pueden dividirse en: debilidades derivadas del protocolo TCP/IP,
debilidades dependientes de los sistemas operativos y debilidades basadas en los
equipos de red.
Las debilidades debidas al protocolo TCP/IP, se refieren a aquellas fallas de seguridad
que algunos protocolos tienen y que sirven para ser utilizadas por algn tipo de amenaza,
los protocolos con mayor riesgo de ataques son: el protocolo de transferencia de
hipertexto (HTTP, Hypertext Transfer Protocol), el protocolo de transferencia de archivos
(FTP, File Transfer Protocol) y el protocolo de mensajes de control de Internet (ICMP,
Internet Control Message Protocol). Estos protocolos son utilizados por los hackers para
crear backdoors y acceder a los sistemas.
Las debilidades en seguridad debidas a los sistemas operativos son aquellas atribuidas a
cada uno de los problemas de seguridad que tienen los sistema operativo .Todas estas
debilidades que son utilizadas para vulnerar los sistemas se encuentran documentadas
por un grupo de especialistas de cada sistema operativo que se encuentran reunidos en lo
que se denomina el equipo de respuesta para emergencias computacionales o
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 9
(CERT, Computer Emergency Response Team). Las debilidades de los equipos de red
hacen referencia a cmo los routers, los firewalls y los switches tienen debilidades de
seguridad que deben ser conocidas y combatidas para evitar ataques; las debilidades
ms comunes de este tipo son: la falta de proteccin de contraseas, la nula
autenticacin, los ataques a protocolos de enrutamiento y los agujeros de firewall.
Debilidades de configuracin
Estas debilidades hacen referencia a cuentas de acceso de los usuarios inseguras, o
servicios o equipos mal configurados, donde en el primer caso la informacin de una
cuenta se puede transmitir de manera insegura a travs de la red, exponiendo nombres
de usuario y contraseas a terceros o cuando las cuentas del sistema tienen contraseas
fciles de adivinar.
Para el caso de una mala configuracin de los equipos o de los servicios podemos
encontrar servicios de Internet mal configurados lo que permite ataques mediante scripts
hostiles cuando se accede a sitios no confiables, o malas configuraciones en los equipos
que pueden causar problemas de seguridad importantes.
Debilidades en las polticas de seguridad
Como podrs ver en el tercer tema de esta unidad, las polticas coadyuvan a definir el
uso de ciertos protocolos y accesos a servicios que se proporcionan dentro de una red. Es
importante destacar que el uso de listas de acceso (ACL), permiten al administrador tener
un mayor grado de control y seguridad en el trfico de la red.
3.1.2. Tipos de amenazas
Las amenazas son por lo regular individuos calificados e interesados en aprovechar cada
una de las debilidades de la red. Dichas personas buscan continuamente nuevas
debilidades en la red para explotarlas.
Los trminos ms comunes utilizados en el tpico de seguridad de la red, haciendo
referencia al atacante son de acuerdo a Baker, (2012):
Hacker: es el trmino utilizado para definir a un individuo que es experto en el rea de
sistemas de informacin. Aunque recientemente este vocablo se ha venido usando
para describir a personas logran tener acceso no autorizado a las redes con
intenciones maliciosas.
Hacker de sombrero blanco: Es un individuo que est constantemente buscando las
vulnerabilidades en sistemas informticos o en redes, y que al encontrarlas las
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 10
reportan a los responsables de los sistemas para que las resuelvan. Nunca realizan
abusos en los sistemas.
Hacker de sombrero negro: individuo que aplica sus conocimientos en sistemas de
informacin o en redes para obtener beneficios personales.
Por lo general, un hacker de sombrero blanco se concentra en proporcionar seguridad a los sistemas informticos, mientras que a un hacker de sombrero negro (el opuesto) le gustara entrar por la fuerza en ellos. (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
Cracker: es una persona que obtiene acceso no autorizado a los recursos de la red
con intenciones maliciosas.
Phreaker: Es un individuo que manipula la red de telefona para llamadas de larga
distancia gratuitas.
Spammer: Individuo que enva mensajes de correo electrnico no solicitados y que
utilizan virus para tomar el control de las computadoras y usarlas para enviar sus e-
mails.
Estafador: Persona que usa las TIC para engaar a otros individuos para que le den
su informacin personal, como pueden ser los nmeros de tarjetas de crdito o
passwords.
El objetivo de cualquiera de estos tipos de agresores es afectar una red o una aplicacin
que se ejecuta dentro de una red, siendo los ataques informticos ms frecuentes (Baker,
2012):
Virus
Suplantacin de identidad
Denegacin de servicio
Acceso no autorizado a la informacin
Utilizacin de Bots
Robo de informacin
Penetracin en el sistema
Fraude
Deteccin de contraseas
Registro de claves
Ataque a sitios Web
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 11
La mayora de los atacantes no quieren ser descubiertos cuando realizan un ataque,
razn por la cual utilizarn diversas tcnicas para no ser descubiertos cuando realizan sus
fechoras.
Mtodos de Ataque
Las tcnicas de ataque ms utilizadas por los atacantes de acuerdo a Stallings, (2009)
son:
Reconocimiento: Este es el proceso de deteccin que se utiliza para encontrar
informacin acerca de la red, como podra ser la exploraciones de la red para
averiguar direcciones IP, escanear la red para conocer qu puertos estn
abiertos. Por lo general este es el primer paso para descubrir que hay en la red y
ver cmo est configurada, y as poder determinar que vulnerabilidades
potenciales existen.
Ingeniera social: Este tipo de ataque se centra en la debilidad nmero uno de la
red, el usuario. Aqu el atacante utiliza al usuario para que este le revele
informacin sensible por medio de un correo electrnico o pginas web, en el cual
el usuario har clic en algn link que lleva al atacante obtener informacin. La
ingeniera social tambin puede hacerse en persona o por telfono. Ejemplos de
este tipo de amenaza son el phishing y el pharming; el primero presenta un
enlace que parece un recurso de confianza vlido para un usuario, cuando el
usuario hace clic en l, se solicita al usuario a revelar informacin confidencial
como nombres de usuario / contraseas. Para el caso del pharming se utiliza una
URL para dirigir a un cliente de un recurso vlido a uno malicioso que pudiera
aparecer como el sitio que valida al usuario.
Escalamiento de privilegios: Este es el proceso de tomar un cierto nivel de
acceso (ya sea autorizado o no). Un ejemplo es cuando un atacante logra acceder
al modo de usuario a un router y luego utiliza un ataque de fuerza bruta atentado
contra el router, para determinar cul es el password del modo protegido del router
para realizar modificaciones en la configuracin de este.
Back doors o puertas traseras: Por lo regular cuando un atacante logra tener
acceso a un sistema, este desea poder seguir entrando sin ser detectado, por esa
razn los atacantes instalan aplicaciones que ya sea permitan el acceso futuro o
que recopilen informacin para su uso en nuevos ataques.
Los ataques informticos ms
comunes son los referentes a:
Reconocimiento: Es el descubrimiento y la asignacin no autorizados de sistemas, servicios o vulnerabilidades. Tambin se
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 12
Tipos de ataques informticos ms comunes
(Stallings, 2009)
conoce como recopilacin de informacin y en la mayora de los casos, precede a otro tipo de ataque.
Acceso: El acceso a los sistemas es la capacidad de un intruso de obtener acceso a un dispositivo respecto del cual no tiene cuenta ni contrasea.
Denegacin de servicios (DoS): Se lleva a cabo cuando un agresor desactiva o daa redes, sistemas o servicios, con el propsito de denegar servicios a los usuarios a quienes estn dirigidos. Los ataques de DoS incluyen colapsar el sistema o desacelerarlo hasta el punto en que queda inutilizable.
Cdigos maliciosos: Las principales vulnerabilidades de los usuarios finales son los ataques de gusanos, virus y caballos de Troya.
Actividad 1. Seguridad en la red
Bienvenido(a) a la primer actividad de la tercera unidad!
Como recomendacin general y para realizar la mayora de las actividades de esta
asignatura, ten siempre en cuenta (antes, durante y despus) las recomendaciones de tu
Facilitador(a).
Esta actividad es colaborativa y tiene como propsito que identifiques las diferentes
amenazas a las que una red est expuesta, y cules podran ser las medidas de
prevencin que se aplicaran a cada una de estas amenazas.
1. Ingresa al foro de la actividad, participa sobre el tema de acuerdo con la
pregunta o situacin que inicie tu Facilitador(a), para que as puedas realizar
tus aportaciones.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 13
2. En lo posible participa retroalimentando a mnimo dos de tus compaeros(as).
3. Espera el cierre de los aportes con la conclusin de tu Facilitador(a).
*Revisa los criterios de evaluacin de la actividad.
3.2. Seguridad para routers
Los esquemas de seguridad en los routers son un elemento bsico y que adems sirven
para el diseo de toda red, ya que sin stos no se tendr una red segura.
Comnmente los routers son objetos de ataques por parte de los agresores de la red, ya
que tratan de obtener acceso al router, para convertirlo en una ayuda potencial para sus
ataques, por lo que conocer las funciones que cumplen los routers en la red ayudar a
determinar cules pueden ser las vulnerabilidades que los routers pueden tener y as
evitarlas.
De acuerdo a Baker (2012), los routers cumplen las siguientes funciones:
Publicar las redes y filtrar a quienes pueden utilizarlas.
Proporcionar acceso a los segmentos de las redes y a las subredes.
Debido a que los routers son la pasarela a otras redes, estn sujetos a una diversidad de
ataques como pueden ser:
Comprometer el control de acceso al router, esto permite exponer los detalles de
configuracin de la red y as se facilitan los ataques contra otros componentes de la
red.
Si las tablas de enrutamiento son comprometidas, se puede afectar el rendimiento de
la red, realizar ataques de DoS y exponer informacin confidencial.
Una mala configuracin de una lista de acceso controlado (ACL) puede exponer los
componentes internos de la red a escaneos y ataques, lo que ayuda a los agresores a
evitar su deteccin.
Los agresores pueden comprometer a los routers de diferentes maneras, de modo que no
hay un enfoque que los administradores puedan utilizar para combatirlos.
3.2.1. Aspectos de seguridad para ruteadores
El primer paso para proteger una red, se basa en la proteccin de los routers que se
encuentran dentro de la red. Dicha seguridad de los routers se basa en:
Seguridad fsica
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 14
Seguridad y actualizacin del IOS de los routers
Configuracin y respaldo del IOS de los routers
Administracin de los puertos y servicios no utilizados
Una forma de proporcionar seguridad fsica a los routers es ubicarlos en un cuarto
cerrado con llave, al que solo el personal autorizado tenga acceso. Asimismo, dicho
cuarto no debe tener interferencia electrosttica, ni magntica y debe tener controles de
temperatura y humedad. Para disminuir la posibilidad de denegacin de servicio a causa
de una falla de alimentacin elctrica se debe de instalar una fuente de energa
ininterrumpible. Con base en lo anterior los dispositivos fsicos deben permanecer en
poder (resguardo) de una persona de confianza para que no se vean comprometidos. Un
dispositivo que se deja al aire libre podra tener troyanos o algn otro tipo de archivo
ejecutable almacenado en l (Baker, 2012).
Es necesario proveer al router de la mxima cantidad de memoria posible. La
disponibilidad de memoria puede servir como proteccin contra algunos ataques DoS,
mientras que admite la gama ms amplia de servicios de seguridad.
Las caractersticas de seguridad de un sistema operativo evolucionan con el tiempo. Sin
embargo, la ltima versin de un sistema operativo puede no ser la versin ms estable
disponible. Para obtener el mejor rendimiento de la seguridad de su sistema operativo,
utilice la versin estable ms reciente que cumpla los requisitos de las caractersticas de
su red.
Es de vital importancia tener siempre una copia de seguridad de una configuracin y el
IOS a mano para el caso de que se produzca una falla en un router. Tambin hay que
mantener una copia segura de la imagen del sistema operativo del router y del archivo de
configuracin del router en un servidor TFTP como respaldo (Baker, 2012).
De tal manera que hay que asegurar el router para hacerlo tan seguro como sea posible.
Un router tiene muchos servicios activados de forma predeterminada. Muchos de estos
servicios son innecesarios y pueden ser utilizados por un agresor para compilar o explotar
informacin. As que asegura la configuracin del router mediante la desactivacin de los
servicios innecesarios.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 15
Seguridad en los routers (Baker, 2012)
Seguridad Fsica
Ubicacin de router
en un Site seguro
Instalacin de
U.P.S.
Operacin de
Seguridad de
Sistemas
Utiliza las ltima
versin estable que
reune los requisitos
de la red
Mantiene una copia
del Sistema
Operativo y sus
respectivos archivos
de configuracin
Fortalecimiento del
Router
Administracin
segura de Accesos
Deshabilitar puertos
e interfaces sin uso
Deshabilitar
servicios
innecesarios.
Pasos para proteger un router
Realizar una buena administracin en la seguridad del router (claves de usuario,
passwords, puertos, etc.)
Limitar el acceso remoto a la administracin del router
Realizar y supervisar las actividades del router
Generar esquemas de proteccin para las interfaces y puertos del router, para que no
se puedan realizar conexiones a estos no permitidas
Medidas de seguridad en el uso de protocolos de enrutamiento
Control y filtrado de accesos por medio de ACL
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 16
Seguridad bsica del router
La seguridad bsica de los routers se basa en la configuracin de contraseas slidas
como un elemento fundamental para controlar los accesos seguros al router.
Las buenas prcticas definen que las contraseas solidas deben de basarse en los
siguientes puntos (Baker, 2012):
No escribir las contraseas ni dejarlas en lugares obvios
Evitar el uso de palabras del diccionario que provocan que las contraseas sean
vulnerables a los ataques
Combinar letras, nmeros y smbolos. Incluir, por lo menos, una letra minscula, una
letra mayscula, un dgito y un carcter especial
Crear contraseas largas. La mejor prctica es tener, como mnimo, ocho caracteres
Las contraseas en todos los routers no son cifradas por el sistema operativo o IOS, por
lo cual si se usa el comando enable password o el comando username username
password password estas contraseas se mostraran al observar la configuracin en
ejecucin.
Por esta razn, debes encriptar las contraseas para lo cual el sistema operativo o IOS
tiene dos opciones para proteger las contraseas (Baker, 2012):
Encriptacin simple o de tipo 7. La cual usa un algoritmo de encriptacin que
oculta la contrasea mediante encriptacin simple.
Encriptacin compleja, o de tipo 5. El cual usa un hash MD5 que provee ms
seguridad.
Encriptacin simple o de tipo 7
La encriptacin tipo 7 puede ser utilizada por los comandos enable password, username
y line password, sin embargo no ofrece gran proteccin, ya que slo oculta la contrasea
utilizando un algoritmo de encriptacin simple.
Para encriptar con este mtodo se debe de utilizar el comando service password-
encryption como se lo muestra en la siguiente tabla y as evitar que las contraseas
aparezcan en la pantalla.
(Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 17
Encriptacin compleja, o de tipo 5
La encriptacin del tipo 5 se configura al reemplazando la palabra password por secret,
lo cual permitir proteger el nivel privilegiado en el router (EXEC), en este mtodo
debemos asegurarnos que la contrasea secreta sea nica y no coincida con ninguna
otra.
Un router siempre utiliza la contrasea secreta antes que la contrasea de enable, por lo
que nunca se debe de configurar el comando enable password nunca se debe
configurar, ya que puede revelar la contrasea del sistema.
Ejemplo de Seguridad en los routers: encriptacin de claves de
usuario
Sin Encriptacin
El utilizar los comandos enable
password o username
username password password
las contraseas se despliegan al
desplegar la configuracin del
router.
Esto ocurre porque el indicador
0 denota que la contrasea no
ser ocultada.
Con Encriptacin tipo 7
Para encriptar contraseas
mediante la encriptacin se
utiliza el comando service
password-encryption con el
cual las contraseas que
aparecen en la pantalla no son
legibles.
Con Encriptacin tipo 5
La encriptacin tipo 5 se
configura reemplazando la
UnADM1(config)# username Student password unadm123 UnADM1 (config)# do show run | include username username Student password 0 unadm123 UnADM1 (config)#
UnADM1 (config)# service password-encryption UnADM1 (config)# do show run | include username username Student password 7 03075218050061 UnADM1 (config)#
UnADM1 (config)# username Student secret unadm UnADM1 (config)# do show run | include username username Student secret 5
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 18
palabra password por secret. $1$z245$lVSTJzuYgdQDJiacwP2Tv/ UnADM1 (config)#
3.2.1. Servicios de red y administracin
Cuando se administra una red es necesario conectarse a un router de manera ya sea
local o remota. Si se realiza de manera local, esto se har a travs del puerto de la
consola, porque es seguro. Sin embargo, cuando la red comienza a crecer aumenta la
cantidad de routers y switches en la red, y la administracin de manera local deja de ser
una opcin por lo que el acceso administrativo remoto se convierte en la opcin de
administracin ms comn. Pero si la administracin remota no se realiza con un modelo
de seguridad, un agresor podra recopilar informacin confidencial valiosa.
Por lo cual si se desea tener un acceso remoto, las opciones son las siguientes:
Crear una red de administracin dedicada que incluya slo hosts de administracin
identificados y conexiones a dispositivos de infraestructura. Esto se logra si se utilizan
VLAN de administracin u otras redes fsicas a la cual se deben conectar los
dispositivos.
Encriptar todo el trfico entre la computadora del administrador y el router
configurando un filtro de paquetes que permita que solamente el protocolo y los hosts
de administracin tengan acceso al router.
Administracin remota usando Telnet
El implementar el acceso remoto mediante Telnet es muy inseguro porque Telnet enva
todo el trfico de la red en forma de texto sin cifrar y alguien podra capturar el trfico de la
red y descubrir las contraseas del administrador o la informacin de configuracin del
router. Por lo cual el acceso debe ser configurado con mayores precauciones de
seguridad, protegiendo las lneas administrativas (VTY, AUX), y posteriormente configurar
el dispositivo de red para que encripte el trfico en un tnel SSH.
El acceso remoto se aplica a las lneas VTY, TTY y al puerto auxiliar (AUX) del router, y
aunque las lneas de TTY proporcionan acceso al router por medio de un mdem y son
menos comunes, aun existen en algunas instalaciones que los utilizan, razn por la cual
es importante proteger estos enlaces ms que los puertos de la terminal local.
Esto se logra mediante la configuracin del router con los comandos login y no
password que es la configuracin predeterminada de los VTY, pero no de los TTY ni del
puerto AUX. Por lo tanto, si estas lneas no son exigidas, debes de asegurarte de que
estn configuradas con la combinacin de comandos login y no password.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 19
Todas las lneas de VTY estn configuradas de manera predeterminada para aceptar
cualquier tipo de conexin remota. Por lo cual se deben configurar para aceptar
conexiones slo con los protocolos realmente necesarios. Esto se realiza con el comando
transport input.
Otra tctica til es configurar los tiempos de espera de los VTY mediante el comando
exec-timeout. Esto impide que una sesin inactiva consuma el VTY en forma indefinida.
Esto proporciona proteccin contra las sesiones inactivas. Otra opcin es la activacin de
los mensajes de actividad de TCP en las conexiones entrantes mediante el comando
service tcp-keepalives-in para resguardarse de los ataques maliciosos y de las
sesiones prdidas provocadas por colapsos del sistema remoto.
Ejemplo de Seguridad en los routers: administracin remota usando
Telnet y configurando las conexiones y VTY
Sin Conexin
Las conexiones se pueden evitar
por completo en cualquier lnea
mediante la configuracin del
router con los comandos login y
no password
Control de acceso con VTY
Todas las lneas de VTY se deben configurar para aceptar conexiones slo con los protocolos necesarios utilizando el comando transport input. En este ejemplo, un VTY debe recibir slo sesiones de Telnet usando transport input telnet
Control con VTY seguro
El comando exec-timeout.
impide que una sesin inactiva
consuma el VTY en forma
UnADM1(config)# line aux 0 UnADM1 (config-line)# no password UnADM1 (config-line)# password % login disable in line 65, until password set UnADM1 (config-line)# exit
UnADM1 (config)#
UnADM1(config)# line vty 0 4 UnADM1 (config-line)# no transport input UnADM1 (config-line)# transport input telnet UnADM1 (config-line)# exit
UnADM1 (config)#
UnADM1(config)# line vty 0 4 UnADM1 (config-line)# exec-timeout 3 UnADM1 (config-line)# exit
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 20
indefinida. Y el comando service
tcp-keepalives-in permite
resguardarse de los ataques
maliciosos y de sesiones
perdidas
UnADM1 (config)# service tcp-keepalives-in
Actividad 2. Configuracin de router seguro
El propsito de esta actividad es que basndose en un caso de estudio y utilizando un
simulador de redes, apliques las configuraciones de seguridad necesarias que deben
tener los routers para prevenir amenazas en las redes WAN.
1. Lee caso anexo proporcionado por tu Facilitador(a).
2. Utiliza el simulador de redes recomendado por tu Facilitador(a) y con base en
el caso anexo crea la topologa y los enlaces solicitados
3. Realiza las capturas de pantalla de las configuraciones que se hayan
realizado por medio de la consola.
4. Guarda la configuracin de la topologa en un archivo llamado A2XXYYZ.
5. En un documento guarda tu propuesta de resolucin al caso con un informe
escrito e incluye los elementos adicionales (capturas de pantalla) que te
solicite tu Facilitador(a) y que la complementen.
6. Incluye los dos archivos en una carpeta y comprmela .ZIP, considera la
nomenclatura KORE_U3_A2_XXYYZ.
7. Enva la carpeta y espera la retroalimentacin de tu Facilitador(a).
*Revisa los criterios de evaluacin para la actividad.
3.3. Listas de Acceso Controlado (ACL)
Una de las capacidades ms importantes que un administrador de red necesita es el
dominio de las listas de control de acceso (ACL). Los administradores utilizan las ACL
para detener el trfico o permitir slo el trfico especfico y, al mismo tiempo, para detener
el resto del trfico en sus redes.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 21
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a
direcciones o protocolos de capa superior que brindan una manera poderosa de controlar
el trfico de entrada o de salida de la red. Y la razn ms importante para configurar las
ACL es brindar seguridad a la red. En esta unidad se explica cmo utilizar las ACL como
medida de seguridad.
3.3.1. Qu son las ACL
Las ACL permiten controlar el trfico de entrada y de salida de la red. Este control puede
ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las
ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP
que se utiliza.
Al realizar esta funcin las ACL realizan la accin de filtrado de paquetes, que es el
controlar el acceso a la red, al analizar los paquetes de entrada y de salida, y permitiendo
o bloqueando su ingreso segn un criterio establecido.
Los routers actan como filtro de paquetes cuando las ACL permiten el reenvo o
deniegan paquetes segn las reglas de filtrado. Cuando un paquete llega al router, la ACL
obliga a extraer determinada informacin del encabezado del paquete y toma decisiones
segn las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El
filtrado de paquetes acta en la capa de red del modelo de interconexin de sistema
abierto (OSI, Open Systems Interconnection) o en la capa Internet de TCP/IP.
El filtrado de paquetes,
a veces denominado
filtrado esttico de
paquetes, controla el
acceso a la red, analiza
los paquetes de
entrada y de salida, y
permite o bloquea su
ingreso segn un
criterio establecido.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 22
Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration
Companion Guide, 2008)
Como dispositivo de Capa 3, un router utiliza las direcciones IP de origen y de destino; el
puerto origen y el puerto destino; y el protocolo del paquete para determinar la
autorizacin o denegacin del trfico. Estas reglas se definen mediante las listas de
control de acceso o ACL.
Las ACL extraen la siguiente informacin del encabezado del paquete, y la evala con las
reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios
(Accessing the WAN, CCNA Exploration Companion Guide, 2008):
Direccin IP de origen
Direccin IP de destino
Tipo de mensaje ICMP
La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de
las reglas. La informacin de las capas superiores incluye:
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino
De manera predeterminada, un router no tiene ninguna ACL y, por lo tanto, no filtra el
trfico. El trfico que ingresa al router es enrutado segn la tabla de enrutamiento. Si no
utiliza una ACL en el router, todos los paquetes que pueden enrutarse a travs del router
lo atraviesan hacia el prximo segmento de la red.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 23
Ejemplo de Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration
Companion Guide, 2008)
A continuacin, te presento las pautas para el uso de las:
Utiliza las ACL en routers firewall entre su red interna y su red externa, como
Internet
Utiliza las ACL en un router situado entre dos partes de la red a fin de controlar el
trfico que entra o sale de una parte especfica de su red interna
Configura las ACL en routers de borde situados en los extremos de la red. Esto
proporciona un bfer muy bsico desde la red externa, o entre un rea menos
controlada y un rea ms sensible de su red.
Configura las ACL para cada protocolo de red configurado en las interfaces del
router de borde. Puede configurar las ACL en una interfaz para filtrar el trfico.
Existe una regla que permite determinar cmo configurar una ACL por protocolo, por
direccin y por interfaz
ACL por protocolo: Controla el flujo de trfico de una interfaz, se debe definir una
ACL para cada protocolo habilitado en la interfaz.
ACL por direccin: Controlan el trfico en una direccin a la vez de una interfaz.
Deben crearse dos ACL por separado para controlar el trfico entrante y saliente.
ACL por interfaz: Controlan el trfico para una interfaz.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 24
Las ACL realizan las siguientes tareas (Accessing the WAN, CCNA Exploration
Companion Guide, 2008):
Limitan el trfico de red para mejorar el rendimiento de sta
Brindan control de flujo de trfico. Las ACL pueden restringir el envo de las
actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las
condiciones de la red, se preserva el ancho de banda
Proporcionan un nivel bsico de seguridad para el acceso a la red. Las ACL
pueden permitir que un host acceda a una parte de la red y evitar que otro acceda
a la misma rea
Deciden qu tipos de trfico enviar o bloquear en las interfaces del router
Controlan las reas de la red a las que puede acceder un cliente
Analizan los hosts para permitir o denegar su acceso a los servicios de red. Las
ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como
FTP o HTTP
ACL de entrada. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 25
ACL de salida. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
Existen 2 tipos de ACL, las estndar y las extendidas.
Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones
IP de origen. No importan el destino del paquete ni los puertos involucrados.
Utilizan la sentencia "deny any" (denegar todo) al final, todo el otro trfico se
bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin
global.
Las ACL extendidas filtran los paquetes IP en funcin de varios atributos. Las ACL
extendidas se crean en el modo de configuracin global.
3.3.2. Configuracin estndar ACL
La ACL estndar es una coleccin secuencial de condiciones de permiso o denegacin
que aplican a las direcciones IP. No se incluyen el destino del paquete ni los puertos
involucrados.
Las tareas principales involucradas al utilizar las ACL son (Accessing the WAN, CCNA
Exploration Companion Guide, 2008):
Crear una lista de acceso que especifique un nmero o nombre de lista de acceso
y las condiciones de acceso
Aplicar la ACL a las interfaces o lneas de terminal
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 26
Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas
bsicas son:
Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado.
De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de
red
Como las ACL estndar no especifican las direcciones de destino, colcalas lo
ms cerca del destino posible
ACL numeradas
Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes ms
pequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no
informa el propsito de la ACL.
Una ACL estndar filtra trfico con base en la direccin IP origen de los paquetes. Estas ACL se crean en modo de configuracin global con el comando access-list seguido de un nmero de 1 a 99 o de 1300 a 1999, stos rangos identifican que tipo de ACL es si estndar o extendida. Las ACL pueden nombrarse. (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
ACL numeradas Se asigna un nmero en funcin del protocolo que se desea filtrar.
Para ACL IP estndar del 1 al 99 y del 1300 al 1999
Para ACL IP extendidas del 100 al 199 y del 2000 al 2699
ACL Denominada
Se le asigna un nombre a la ACL que debe cumplir con los siguientes requisitos:
El nombre puede tener caracteres alfanumricos
Se debe de escribir con maysculas
No deben contener signos, ni espacios, y deben comenzar con una letra
Como puedes ver en la tabla anterior los nmeros de las ACL pasan del 200 al 1299,
porque esos nmeros son utilizados por otros protocolos que no son parte de IP.
Configuracin de las ACL estndar
Para configurar las ACL estndar numeradas en un router se debe crear la ACL estndar
y, luego, activarla en una interfaz.
El comando de configuracin global access-list define una ACL estndar con un nmero
entre 1 y 99.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 27
La sintaxis completa del comando ACL estndar es:
Router(config)#access-list nmero-de-lista-de-acceso deny permit remark origen [wildcard origen] [log]
Por ejemplo, para crear una ACL numerada nombrada 20 que permita la red
192.168.100.0 /24 se debe de configurar el router de la siguiente manera:
Unadm1(config)# access-list 20 permit 192.168.100.0
Si deseas eliminar una ACL utiliza el comando no access-list, y el comando show
access-list confirma que la lista de acceso ha sido eliminada.
Mscaras wildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas wildcard que es
una secuencia de dgitos binarios que le indican al router qu partes del nmero de
subred observar.
Las mscaras wildcard tienen una longitud de 32 bits y utilizan unos y ceros binarios para
filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos
segn la direccin IP. Al configurar cuidadosamente las mscaras wildcard, puede
permitir o denegar una o varias direcciones IP.
Las mscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros
binarios:
Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la
direccin
Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin
Trabajar con representaciones de bits binarios puede ser una tarea muy tediosa. Para
simplificarla, las palabras clave host y any ayudan a identificar los usos ms comunes de
las mscaras wildcard. Con estas palabras clave no necesitas ingresar las mscaras
wildcard al identificar un host o red especficos.
La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos los bits de
direcciones IP deben coincidir o que slo un host coincide.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 28
La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta mscara
indica que debe ignorarse toda la direccin IP o que deben aceptarse todas las
direcciones.
En el ejemplo, en lugar de ingresar 192.168.10.10 0.0.0.0, puedes utilizar host
192.168.10.10. Y en lugar de ingresar 0.0.0.0 255.255.255.255, puedes usar la palabra
any.
Ejemplo de ACL estndar que permite solo el trfico de mi
red. Tomado de (Accessing the WAN, CCNA Exploration
Companion Guide, 2008)
R1(config)# access-
list 1 permit
192.168.10.0 0.0.0.255
R1 (config)#interface S0/0/0 R1 (config-if)#ip access-group 1 out
Ejemplo de ACL estndar que deniega solo el trfico de un
host especifico. Tomado de (Accessing the WAN, CCNA
Exploration Companion Guide, 2008)
R1(config)# no access-
list 1
R1(config)# access-
list 1
deny 192.168.10.10
0.0.0.0
R1(config)# access-
list 1 permit
192.168.10.0 0.0.0.255
R1 (config)#interface S0/0/0 R1 (config-if)#ip access-group 1 out
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 29
Vinculacin y configuracin de las ACL estandar
Luego de configurar una ACL estndar, se la vincula a una interfaz con el comando ip
access-group
Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out}
Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group
en la interfaz y luego el comando global no access-list para eliminar toda la ACL.
Los pasos para nombrar una ACL son:
Desde el modo de configuracin global, usa el comando ip access-list para crear una
ACL nombrada. Los nombres de las ACL son alfanumricos, deben ser nicos y no
deben comenzar con un nmero.
Desde el modo de configuracin de una ACL nombrada, usa las sentencias permit o
deny para especificar una o ms condiciones que determinen si se enva o descarta
un paquete.
Regresa al modo EXEC privilegiado con el comando end.
Ejemplo configuracin de ACL estndar
ACL Estndar numerada
Para configurar las ACL estndar
numerada, primero debe crearse
la ACL estndar y, luego,
activarla en una interfaz.
El comando de configuracin
global access-list define una
ACL estndar con un nmero
entre 1 y 99.
ACL Estndar denominada
En el modo de configuracin
global, se crea una ACL
nombrada estndar denominada
STND-1, En el modo de
configuracin de ACL estndar,
agrega una sentencia que
UnADM1(config)# access-list 10 permit
192.168.10.0
UnADM1 (config)#interface serial 0/0/1
UnADM1 (config-if)#ip access-group 10 in
UnADM1 (config-if)#end
UnADM1#copy run start
UnADM1(config)# ip access-list standard
STND-1
UnADM1(config-std-nacl)#deny 192.168.11.0
0.0.0.255 log
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 30
deniegue cualquier paquete con
una direccin de origen de
192.168.11.0 /24 e imprime un
mensaje a la consola por cada
paquete coincidente con el
comando log. Permitamos todo
el trfico restante con la opcin
permit any
Da de alta la ACL STND-1 como
filtro en los paquetes que
ingresan a UnADM1 a travs de
la interfaz serial 0/0/1.
UnADM1(config-std-nacl)#permit any
UnADM1 (config)#interface serial 0/0/1
UnADM1 (config-if)#ip access-group STND-1
in
UnADM1 (config-if)#end
UnADM1#copy run start
3.3.3. Configuraciones extendidas y complejas
Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque
proporcionan un mayor control y, por lo tanto, complementan su solucin de seguridad. Al
igual que las ACL estndar, las extendidas verifican la direccin de origen del paquete,
pero tambin verifican la direccin de destino, los protocolos y los nmeros de puerto (o
servicios). Esto ofrece un criterio ms amplio sobre el cual fundamentar la ACL. Por
ejemplo, una ACL extendida puede permitir de manera simultnea el trfico de correo
electrnico de una red a un destino especfico y, a la vez, denegar la transferencia de
archivos y la navegacin Web. Su numeracin va del 100 al 199 y del 2000 al 2699, lo
que ofrece un total de 799 ACL extendidas posibles. (Accessing the WAN, CCNA
Exploration Companion Guide, 2008).
Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL
estndar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la
sintaxis y los parmetros del comando tienen ms complejidades para admitir las
funciones adicionales de las ACL extendidas.
Puede crear ACL extendidas nombradas bsicamente de la misma manera que crea las
ACL estndar nombradas. Los comandos para crear una ACL nombrada son diferentes
segn si es estndar o extendida.
Desde el modo EXEC privilegiado, sigue estos pasos para crear una ACL extendida
con nombres.
Desde el modo de configuracin global, usa el comando ip access-list extended
nombre para definir una ACL extendida nombrada.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 31
En el modo de configuracin de ACL nombrada, especifique las condiciones que
desea permitir o denegar.
Regrese al modo EXEC privilegiado y verifique su ACL con el comando show access-
lists [nmero | nombre].
Como opcin y paso recomendado, guarde sus entradas en el archivo de
configuracin con el comando copy running-config startup-config.
Para eliminar una ACL extendida nombrada, use el comando de configuracin global no
ip access-list extended nombre.
Ejemplo de ACL extendida que restringir el acceso a Internet
para permitir slo la navegacin Web, donde la ACL 103
permite acceso a los puertos 80 y 443, (Accessing the WAN,
CCNA Exploration Companion Guide, 2008)
R1(config)# access-
list 103 permit tcp
192.168.10.0
0.0.0.255
Any eq 80
R1(config)# access-
list 103 permit tcp
192.168.10.0
0.0.0.255
Any eq 443
Ejemplo configuracin de ACL extendida
Se desea permitir El trfico HTTP
entrante a la interfaz S0/0/0.
Ahora se desea denegar el
trfico FTP desde una subred
hacia otra subred pero permitir
UnADM1(config)# access-list 103 permit tcp
192.168.10.0 0.0.0.255 any eq 80
UnADM1 (config)#interface serial 0/0/1 UnADM1 (config-if)#ip access-group 103 in UnADM1 (config-if)#end UnADM1#copy run start
UnADM1(config)# access-list 101 deny tcp
192.168.11.0 0.0.0.255 192.168.10.0
0.0.0.255 any eq 20
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 32
todo el otro trfico. Se usara
"deny all" y como FTP requiere
los puertos 20 y 21, se
especificara eq 20 y eq 21 para
denegar FTP.
UnADM1(config)# access-list 101 deny tcp
192.168.11.0 0.0.0.255 192.168.10.0
0.0.0.255 any eq 21
UnADM1(config)# access-list 101 permit ip
any any
UnADM1 (config)#interface Fa0/1 UnADM1 (config-if)#ip access-group 101 in UnADM1 (config-if)#end UnADM1#copy run start
ACL Dinmicas
El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza ACL
dinmicas, a veces denominadas ACL de bloqueo. Est disponible slo para trfico IP.
Las ACL dinmicas dependen de la conectividad Telnet, de la autenticacin (local o
remota) y de las ACL extendidas.
La configuracin de las ACL dinmicas comienza con la aplicacin de una ACL extendida
para bloquear trfico que atraviesa de router. Los usuarios que deseen atravesar el router
son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y
ser autenticados. En ese momento, se interrumpe la conexin a Telnet, y se agrega una
ACL dinmica de nica entrada a la ACL extendida existente. Esta entrada permite el
trfico por un perodo determinado; es posible que se produzcan errores por inactividad y
superacin del tiempo de espera.
Las siguientes son algunas razones comunes para utilizar ACL dinmicas:
Cuando desea un usuario remoto o grupo de usuarios remotos especfico para
acceder al host dentro de la red, conectndose desde sus hosts remotos a travs de
Internet. El bloqueo autentica al usuario y luego permite el acceso limitado a travs de
su router firewall para un host o subred por un perodo limitado.
Cuando desea que un subconjunto de hosts de una red local acceda a un host de una
red remota protegida por un firewall. Con el bloqueo, puede permitir el acceso al host
remoto slo a los conjuntos de hosts locales que desee. El bloqueo requiere que los
usuarios se autentiquen a travs de AAA, servidor TACACS+ u otro servidor de
seguridad, antes de que permita a sus hosts el acceso a los hosts remotos.
Las ACL dinmicas tienen los siguientes beneficios de seguridad comparadas con las
ACL estndar y estticas extendidas:
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 33
Uso de un mecanismo de desafo para autenticar los usuarios individuales
Administracin simplificada en internetworks ms grandes
En muchos casos, reduccin de la cantidad de procesamiento de un router necesario
para las ACL
Reduccin de la oportunidad de intromisiones a la red por parte de piratas informticos
Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras
restricciones de seguridad configuradas
Ejemplo de ACL dinmica. Tomado de (Accessing the WAN, CCNA Exploration Companion
Guide, 2008)
1. Permitir establecer una conexin Telnet con el router con una ACL dinmica que permite la conexin durante 15 minutos y despus se cierra automticamente sin importar si est en uso o no.
2. Se da de alta la ACL en la
interface
3. Cuando se realice la autentificacin con telnet, se ejecutara el comando autocommand y si se detectan 5 minutos de inactividad se cerrar la sesin
R3(config)# username Unadm password
Unadm123
R3(config)# access-list 101 permit any
host 10.2.2.2 eq telnet
R3(config)# access-list 101 dynamic
testlist timeout 15 permit ip
192.168.10.0 0.0.0.255 192.168.30.0
0.0.0.255
R3(config)# interface serial 0/0/1
R3(config-if)# ip access-group 101 in
R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)#autocommand access-enable host timeout 5
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 34
ACL reflexivas
Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente paquete
saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor
control del trfico que se permite ingresar a la red e incrementa las capacidades de las
listas de acceso extendidas.
Los administradores de red utilizan las ACL reflexivas para permitir el trfico IP en
sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones
que se originan fuera de la red. Estas ACL permiten que el router administre el trfico de
sesin en forma dinmica. El router examina el trfico saliente y, cuando ve una conexin,
agrega una entrada a una ACL temporal para permitir la devolucin de respuestas. Las
ACL reflexivas contienen slo entradas temporales. Estas entradas se crean
automticamente cuando se inicia una nueva sesin IP (con un paquete saliente, por
ejemplo) y las entradas se eliminan automticamente cuando finaliza la sesin.
Las ACL reflexivas proporcionan una forma ms exacta de filtrado de sesin que una ACL
extendida que utiliza el parmetro established presentado anteriormente. Si bien son
similares en cuanto al concepto del parmetro established, las ACL reflexivas tambin
funcionan para UDP e ICMP, que no tienen bits ACK ni RST. La opcin established
tampoco funciona con aplicaciones que alteran de forma dinmica el puerto de origen
para el trfico de sesin. La sentencia permite established slo verifica los bits ACK y
RST, no la direccin de origen ni la de destino.
Las ACL reflexivas no se aplican directamente a una interfaz, estn "anidadas" dentro de
una ACL IP extendida nombrada que se aplica a la interfaz.
Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas. No pueden
definirse con ACL numeradas ni estndar nombradas ni con otras ACL protocolo. Las ACL
reflexivas pueden utilizarse con otras ACL estndar y extendidas estticas.
Las ACL reflexivas tienen los siguientes beneficios:
Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall.
Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de
denegacin de servicios. Las ACL reflexivas son mucho ms resistentes a los ataques
de suplantacin de identidad porque deben coincidir ms criterios de filtro antes de
dejar ingresar un paquete. Por ejemplo, se verifican las direcciones de origen y de
destino y los nmeros de puerto, no solamente los bits ACK y RST.
Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor
control de los paquetes que ingresan a la red.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 35
ACL reflexive. Tomado de (Accessing the WAN, CCNA Exploration
Companion Guide, 2008)
Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor control del trfico que se permite ingresar a la red e incrementa las capacidades de las listas de acceso extendidas.
ACL basadas en el tiempo
La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero admite control
de acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe
crear un rango horario que defina la hora especfica del da y la semana. Debe identificar
el rango de tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las
restricciones temporales son impuestas en la misma funcin.
Las ACL basadas en el tiempo tienen muchos beneficios:
Ofrecen al administrador de red ms control de los permisos y denegaciones de
acceso a los recursos.
Permiten a los administradores de red controlar los mensajes de registro. Las entradas
de las ACL pueden registrar el trfico en determinados momentos del da, pero no de
forma permanente. De esta manera, los administradores pueden simplemente
denegar el acceso, sin tener que analizar los diferentes registros que se generan
durante las horas pico.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 36
ACL basada en el tiempo. Tomado de (Accessing the WAN, CCNA
Exploration Companion Guide, 2008)
La ACL basada en el
tiempo es similar en
funcin a la ACL
extendida, pero admite
control de acceso
basado en el tiempo.
Para implementar las
ACL basadas en el
tiempo, debe crear un
rango horario que
defina la hora
especfica del da y la
semana. Debe
identificar el rango de
tiempo con un nombre
y, luego, remitirse a l
mediante una funcin.
Las restricciones
temporales son
impuestas en la misma
funcin.
Actividad 3. ACL
El propsito de esta actividad es que basndose en un caso de estudio y utilizando el
simulador de redes apliques las ACL en el diseo de una WAN para prevenir ataques de
seguridad de la red.
1. Lee detenidamente las instrucciones y el caso presentado por tu
Facilitador(a).
2. Utiliza el simulador de redes y con base al caso, crea la topologa y los
enlaces solicitados en simulador.
3. Realiza las capturas de pantalla de cada configuracin que hayas realizado
por medio de la consola e inclyelas en el documento de texto.
4. Guarda las respuestas de la actividad en un documento y guarda tambin la
configuracin de la topologa en un archivo llamado A3_XXYYZ.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 37
5. Comprime ambos archivos en una carpeta .ZIP con la nomenclatura
KORE_U3_A3_XXYYZ.
6. Enva tu archivo y espera la retroalimentacin del Facilitador(a).
*Revisa los criterios de evaluacin de la actividad.
Autoevaluacin
En los temas expuestos en esta tercera unidad, has estudiado de manera general cmo
se realiza la seguridad en la red. Mismos que han aportado los elementos esenciales
para tu aprendizaje y as asegurar el anlisis de stos desde tu autoaprendizaje.
1. Ingresa en el aula y selecciona la autoevaluacin de la Unidad 3.
2. Lee cuidadosamente las instrucciones para que respondas adecuadamente.
3. Verifica tus respuestas y en los casos necesarios repasa los temas que
necesites fortalecer.
El estudio de estos temas te permitir dominar y acercarte de manera ms fcil a los
temas de sta y otras asignaturas, adems de enriquecer aspectos que
complementarn tu formacin profesional.
Evidencia de aprendizaje. Seguridad y diseo de una WAN
Esta actividad realizars el diseo de una WAN y configurars las ACL requeridas utilizando un simulador de redes. Para comenzar sigue las indicaciones de tu Facilitador(a):
1. Lee detenidamente las instrucciones del documento anexo.
2. Utiliza el simulador de redes.
3. Crea el diagrama de la topologa correspondiente al caso de la evidencia y
configura los dispositivos como se solicita.
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 38
3. Guarda tu trabajo en un archivo de configuracin con el nombre:
KORE_U3_EA_XXYYZ. Recuerda que debe de ir comprimido .ZIP.
4. Enva tu actividad al portafolio de evidencias y aguarda la retroalimentacin de
tu Facilitador(a), atiende sus comentarios y de solicitarlo enva una segunda
versin de tu evidencia.
*Revisa los criterios de evaluacin para esta Evidencia.
Autorreflexin
Al terminar la Evidencia de aprendizaje es muy importante que realices tu
Autorreflexin. Para ello, Ingresa al foro de Preguntas de Autorreflexin y a partir de las
preguntas presentadas por tu Facilitador(a), elabora tu ejercicio y sbelo en la seccin
Autorreflexiones.
Cierre de la unidad
En esta unidad has analizado las amenazas que pueden atacar a nuestra red, tanto
internas como del externas, y como protegerse de estas amenazas.
Los ataques a las contraseas son fciles de iniciar, pero tambin fciles de defender. Las
tcticas de la ingeniera social requieren que los usuarios desarrollen un grado de
desconfianza y de cuidado, ya que cuando un agresor obtiene acceso a una red, puede
tener acceso a casi toda la informacin y servicios que sta proporcione.
Los agresores pueden lanzar ataques de DoS que inutilicen a la red. Los gusanos, virus y
caballos de Troya pueden infectar a los dispositivos.
Un punto clave en la proteccin de una red es el proteger los routers, que son la puerta de
entrada hacia el interior de la red y son objetivos obvios. Las tareas administrativas
bsicas como buena seguridad fsica, que abarque mantener el IOS actualizado y realizar
una copia de seguridad de los archivos de configuracin son un comienzo en el esquema
de seguridad.
Tambin en esta unidad se aprendiste que las ACL ayudan en el filtrado de paquetes
para controlar si un router permite o deniega el ingreso de paquetes, segn el criterio
ubicado en el encabezado del paquete. Las ACL tambin se utilizan para seleccionar los
-
Optimizacin de redes
Unidad 3. Seguridad de la red
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 39
tipos de trfico por analizar, reenviar o procesar de otras maneras, se presentaron los
distintos tipos de ACL: estndar, extendidas, nombradas y numeradas.
Para saber ms
Te invito a visitar el sitio que est en el enlace al final del prrafo, donde podrs
consultar ms sobre las ACL.
http://cesarcabrera.info/blog/leccion-sobre-listas-de-acceso-acls/
Fuentes de consulta
Bibliografa bsica
Cisco (2008). Accessing the WAN, CCNA Exploration Companion Guide. 1 Edicin.
Estados Unidos: Cisco Press.
Cisco (2008). Gua del segundo ao CCNA 3 y 4. 3 Edicin. Espaa: CISCO Press.
Baker, K.; Morris, S. (2012). CCNA Security 640-554 Official Cert Guide. 1 Edicin.
Estados Unidos: Cisco Press.
Bibliografa complementaria
Santos, O. (2007). End-to-End Network Security: Defense-in-Depth. 1 Edicin.
Estados Unidos: Cisco Press.
Stallings, W. (2009). Network Security Essentials. 4 Edicin. Estados Unidos:
Prentice Hall.
Tanembaum, A. (2010). Redes de Computadoras. 5 Edicin. Mxico: Prentice Hall.
Fuentes electrnicas
Cisco (2012). Introduction to WAN Technologies. Consultado en:
http://docwiki.cisco.com/wiki/Introduction_to_WAN_Technologies.
ISBN 978-1587204463