2. Seguridad Perimetral
Programa de Jornadas en el CNTG
Seguridad Perimetral
1. Arquitectura de seguridad perimetral. Implementación mediante tecnologías
básicas: Filtrado de paquetes y NAT
2. Seguridad en Redes de Área Local con tecnología Ethernet: VLANs, IBNS (IEEE
802.1x) y NAC
3. Implementación de seguridad perimetral basada en cortafuegos de control de
estado y sistemas de detección y prevención de intrusos
4. Seguridad en las comunicaciones utilizando Redes Privadas Virtuales basadas
en IPsec.
6. Seguridad Perimetral
Seguridad Perimetral: Conceptos Fundamentales
•
La Recomendación “X.800: Arquitectura de Seguridad de la Interconexión de Sistemas
Abiertos” del ITU-T, define los elementos arquitectónicos relacionados con la seguridad de
la información en sistemas abiertos
– Ataques
– Servicios
– Mecanismos
•
La Recomendación “X.805: Arquitectura de Seguridad para Sistemas que proporcionan
Comunicación extremo a extremo”, ofrece una aproximación a la seguridad en lo que
respecta al mantenimiento, control y uso de la infraestructura de red
7. Seguridad Perimetral
Seguridad Perimetral: Conceptos Fundamentales
•
Ataque: asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un
acto inteligente y deliberado para eludir los servicios de seguridad y violar la política de
seguridad de un sistema
– Ataque DDoS al Servidor de Windows Update
•
Amenaza: posibilidad de violación de la seguridad, que existe cuando se da una
circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar
perjuicio, es decir, una amenaza es un peligro posible que podría explotar una
vulnerabilidad
– Microsoft Windows de 32 bits sin parche, directamente conectado a Internet
•
Vulnerabilidad: defecto o debilidad en el diseño, implementación, operación y
mantenimiento de un sistema que podría ser explotado para violar la directiva o política de
seguridad de dicho sistema
– "Desbordamiento de Búfer en RPC DCOM", que permite que un atacante remoto
obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario
•
Política (directiva) de seguridad: Conjunto de reglas que administra, gestiona y controla
el acceso a los recursos de la red
8. Seguridad Perimetral
Ataques a la Seguridad
•
Ataques Activos:
–
–
–
–
•
Suplantación
Modificación del mensaje
Repetición
Denegación de Servicio
Ataques Pasivos:
– Observación del contenido del mensaje:
– Análisis del tráfico
9. Seguridad Perimetral
Servicios de Seguridad
•
Conjunto de servicios de procesamiento o de comunicación proporcionados por un sistema
con el fin de dar un tipo especial de protección a sus recursos de información
–
–
–
–
–
–
Autenticación
Control de Acceso o Autorización
Confidencialidad de los Datos
No repudio
Integridad de los Datos
Disponibilidad
10. Seguridad Perimetral
Mecanismos de Seguridad
•
Mecanismos de seguridad más habituales
–
–
–
–
–
–
–
–
Cifrado
Integridad de los datos
Firma Digital
Control de acceso
Intercambio de autenticación
Tráfico de relleno
Control de encaminamiento
Confianza en terceras partes
11. Seguridad Perimetral
Modelos de Seguridad
•
Transmisiones Seguras:
– Un mensaje ha de ser transmitido de una parte a otra de algún tipo de red no segura,
como por ejemplo Internet.
– Se debe establecer un canal seguro de información a través de la red. Si es necesario
proteger la información de modo que un oponente no sea una amenaza, deben
utilizarse mecanismos de seguridad.
– Todas las técnicas que proporcionan seguridad en este entorno tienen dos
componentes:
• Una transformación relacionada con la seguridad de la información que se va a
enviar (cifrado, integridad,…)
• Información secreta compartida por los interlocutores que desconoce el oponente
(clave de cifrado, clave de integridad,…)
– Para lograr una transmisión segura, en muchos casos puede ser necesaria la
intervención de una tercera parte de confianza, que distribuya cierto tipo de información
entre los dos interlocutores y garantice la validez de dicha información.
13. Seguridad Perimetral
Modelos de Seguridad
•
Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos,
“malware”, …)
– Se consideran dos tipos de amenazas:
• Amenazas al acceso a la información (captura o alteración de datos por parte de
usuarios que no deberían tener acceso a dichos datos)
• Amenazas al servicio (denegación de servicios).
– Los mecanismos de seguridad necesarios para enfrentarse a los accesos no deseados
se dividen en servicios de vigilancia, que incluyen mecanismos de control de acceso, y
software de ocultación, que permite evitar el efecto del malware. En caso de que un
usuario no autorizado accediese a la red, existen mecanismos de control interno de la
actividad del sistema o de la red que permiten detectar la presencia de intrusos (IDS,
IPS)
14. Seguridad Perimetral
Modelos de Seguridad
•
Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos,
“malware”, …)
17. Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
•
La seguridad perimetral en redes de comunicaciones se basa en el aislamiento de redes,
clasificadas según el nivel de confianza de cada una de ellas
•
Zona de seguridad:
•
– Conjunto de redes que pueden ser alcanzadas a través de una interfaz de un firewall.
– Es un dominio separado administrativamente donde tanto el tráfico entrante como el
saliente pueden ser filtrados.
Zonas de seguridad típicas:
•
– “Inside”
– “Outside”
– “Demilitarized Zone”
Puntos de filtrado en los límites
de la DMZ:
– Routers: Enfoque abierto
– Firewalls: Enfoque cerrado
– Application Layer Gateway
(ALG) o Proxy Server
18. Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
•
Características de la defensa en capas:
•
– Red Interna: Administrada y controlada por la organización Servicios Internos
– Red Externa: No existe ningún tipo de control administrativo
– DMZ: Se ubican los servicios que pueden ser accedidos desde la red externa y desde
la red interna.
– La DMZ debe tener la capacidad de contener posibles ataques y limitar el daño en caso
de vulneración del sus mecanismos de seguridad.
– Se aplican mecanismos de control de acceso a todo el tráfico que entra o sale de la
DMZ, utilizando para ello:
• Routers: Filtrado de paquetes
• Firewalls: Filtrado de estado de conexión
Puntos y servicios de filtrado en la DMZ:
– Puntos de filtrado: Protegen los servicios filtrando el tráfico entrante y saliente
– Servidores Públicos: Deben estar configurados de forma segura
– ALGs: Desinfectan el tráfico a nivel de aplicación y controlan el tráfico saliente de la red
interna.
– Private VLAN: Restringen los efectos de una vulneración de seguridad en la DMZ.
19. Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
•
DMZs Múltiples:
– En un diseño de DMZ única, no existe control de acceso entre los diferentes hosts de la
misma, a no ser que se utilicen PVLAN.
– Si un atacante compromete un equipo en la DMZ puede atacar desde dentro a los
demás.
– El desarrollo de las aplicaciones Web modernas sigue una arquitectura “multicapa”,
donde se separan la parte de la vista (servidor Web), el modelo (servidor de base de
datos) y el controlador (servidor de aplicaciones).
• Un diseño robusto podría ubicar cada uno de los servidores en DMZs diferentes.
– El comprometer un único servidor no proporciona un punto de ataque directo al resto
de servicios
20. Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
•
Diseño de DMZs moderno:
•
– Este diseño permite que varios sistemas filtren tráfico pero también subraya la
necesidad de realizar una configuración correcta del dispositivo de filtrado.
– Actualmente los firewalls pueden crear múltiples DMZs, una por interfaz
– Con un solo dispositivo se pueden sustituir los dispositivos que establecían los límites
entre la DMZ y la red interna, y entre la DMZ y la red externa.
Tipos de filtrado:
•
– Filtrado de paquetes (Routers): Filtrado de paquetes individuales
– Filtrado del estado de la conexión (Firewall): Por ejemplo, control de los campos de las
cabeceras TCP que rigen el estado de la
conexión
– Filtrado de las sesiones de aplicación
(ALG o Proxy Server)
Filtrado de doble firewall
Mejor rendimiento
Mayor seguridad
Mayor coste
21. Seguridad Perimetral
Tipos de Firewall
•
Tecnologías de Firewall:
– Filtrado de paquetes: Filtran el tráfico en base a la información estática de las
cabeceras de los paquetes, habitualmente mediante ACLs.
– Filtrado de paquetes con estado de conexión: Es un método de filtrado de paquetes
que tiene en cuenta la información de la capa de aplicación para filtrar los paquetes y
analiza los datos dentro del contexto de la conexión o flujo de datos.
• Tabla de estado de las conexiones activas. Esta tabla es, evidentemente, dinámica
• Inspecciona los paquetes comprobando si se corresponden con las características
de sus sesión
– Proxies: Trabajan a nivel de capa de aplicación. Actúan como intermediarios entre la
aplicación cliente (para la cual es un servidor) y la aplicación servidor (para la cual es
un cliente)
• El Proxy Server recibe una petición de un cliente, la procesa y analiza, y la reenvía
al destino, como si el fuese el cliente.
• Cuando el Proxy Server recibe la respuesta del servidor, la procesa y analiza, y la
reenvía al cliente si es permitida.
22. Seguridad Perimetral
Firewall de Inspección de Estado
•
Listas de Control de Acceso (Se tratarán en profundidad a continuación)
•
Tabla de estados o tabla de sesiones: Es una tabla que realiza el seguimiento de todas las
sesiones establecidas y permite realizar la inspección de todos los paquetes que pasan a
través del Firewall utilizando esta información.
•
– Es una tabla dinámica, cuyo contenido cambia en función de los flujos de tráfico.
– Crean entradas en la tabla cuando se establece una nueva conexión válida
– Elimina las entradas de la tabla cuando se cierra adecuadamente una conexión y
utilizando temporizadores.
Utilización de la Información de la Capa de Aplicación: Un filtro de paquetes “stateful” puede
asociar un canal dinámica de una aplicación con la sesión inicial de una aplicación (tipo
FTP).
– El concepto de “sesión” en el ámbito de los filtros de paquetes “stateful” hace referencia
a las conexiones TCP o UDP.
– Existen firewalls de este tipo que trabajan también adecuadamente con ICMP y GRE.
23. Seguridad Perimetral
Firewall de Inspección de Estado
•
El seguimiento de las sesiones de capa de transporte se realiza de forma diferente en
función del tipo de protocolo:
– TCP:
• Mantiene una entrada por conexión.
• Implementación sencilla. Chequea el flujo de información y los números de
secuencia
– UDP:
• No existen flags ni números de secuencia
• La realización del seguimiento de las conexiones es difícil
• Solamente se chequea la información del los flujos de información
• Para eliminar las entradas se utilizan temporizadores
• Se puede extraer información de las negociaciones de los protocolos de capa de
aplicación.
– Otras servicios no orientados a la conexión:
• Solamente se chequea la información del los flujos de información.
26. Seguridad Perimetral
Cisco IOS Firewall
•
Es una opción específica del sistema operativo de los routers Cisco (IOS) que está
disponible para un conjunto limitado de plataformas. Integra:
–
–
–
–
–
–
–
–
–
–
ACLs estándar y extendidas
NAT
Intercepción TCP
Firewall
Proxy de autenticación
Intrusion Prevention System
Port-to-Application Mapping
IPsec
Auditoría
Autenticación y autorización de usuario
28. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
•
Los administradores de red utilizan “firewalls” para proteger sus redes contra el uso no
autorizado.
– Los firewalls son soluciones de hardware o software que hacen cumplir las políticas de
seguridad de la red.
– En un router, se puede configurar un “firewall” simple (firewall de filtrado de paquetes)
que proporciona capacidades básicas de seguridad utilizando ACLs.
– Las Listas de Control de Acceso (Access Control List, ACL) constituyen un mecanismo
que permite filtrar el tráfico de red, deteniendo o permitiendo sólo tráfico específico
Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a
una interfaz de un router en un determinado sentido (de entrada o de salida) para cada
protocolo de red configurado, en la mayoría de casos, IPv4.
– Criterios de filtrado de paquete:
• Campos de la cabecera IP:
– Direcciones IP Origen y Destino, Tipo de Protocolo, etc.
• Campos de la cabecera del protocolo de capa superior: TCP, UDP, …
– Nº de puerto, señalizadores de la cabecera TCP (SYN, ACK, …)
29. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Funcionamiento:
– Cuando un paquete llega al router (o va a salir del router) a través de una interfaz con
una ACL asociada, la ACL se examina de arriba a abajo, línea a línea, buscando un
patrón que coincida entre el criterio de filtrado establecido en cada línea con las
características del paquete entrante.
• Si se produce dicha coincidencia se aplica la acción asociada a la sentencia
(permitir / denegar)
– De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto,
no filtra el tráfico. El tráfico que entra en el router es enrutado según la tabla de
enrutamiento.
– Lugares típicos de aplicación de ACLs:
• Routers firewall entre la red interna y la red externa (e.g. Internet)
• Routers situados entre dos partes de la red para controlar el tráfico que entra o
sale de una parte específica de su red interna.
32. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Ejecución de las ACLs en el proceso general de enrutamiento de un paquete IP en un
router
33. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Hay dos tipos básicos de ACL en los routers Cisco:
– ACL estándar: Filtra el tráfico utilizando como criterio la dirección IP de origen del paquete.
Access-list 10 permit 172.30.0.0 0.0.0.255
•
ACL extendidas
– Las ACL extendidas filtran los paquetes IP en función de diferentes valores de las
cabeceras de capa 3 y capa 4: tipo de protocolo, direcciones IP de origen, direcciones IP
de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información
opcional de tipo de protocolo.
Access-list 101 permit ip 172.30.0.0 0.0.0.255 host 193.144.49.10 eq 80
34. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Configuración de ACLs:
1. Creación de al lista de control de acceso
• Cada comando de ACL se introduce de forma individual, por lo que es necesario
indicar en cada sentencia el número de ACL al que pertenece dicha sentencia
access-list 10 permit 172.28.0.0 0.0.0.255
access-list 10 permit 172.29.0.0 0.0.0.255
access-list 10 permit 172.30.0.0 0.0.0.255
access-list 10 permit 172.31.0.0 0.0.0.255
•
Por defecto, todas las ACLs finalizan con un comando de denegación total del
tráfico implícito, por lo que si un paquete no coincide con ninguna sentencia de
permiso, dicho paquete es denegado
• ACLs estándar: 1 – 99 (1300 – 1999)
• ACLs extendidas: 100 – 199 (2000 – 2699)
2. Aplicación de la ACL a la interfaz:
ip access-group 10 in
35. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL estándar:
access-list <nº de ACL> {deny|permit|remark} <origen> <wildcard-origen> <log>
•
<nº de ACL>: Identifica la lista de acceso (1-99; 1300 y 1999)
•
<origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de
origen del paquete
•
<log>: Paquetes que han activado la sentencia durante los últimos 5 minutos
36. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL estándar: Máscaras Wildcard
– Sirven para indicar qué bits del patrón especificado en la sentencia de la ACL deben
coincidir con los de la dirección IP (origen o destino), para que se considere que se ha
producido una coincidencia válida
37. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL estándar: Máscaras Wildcard
– Ejemplos:
38. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL estándar: Máscaras Wildcard
– Utilización de abreviaturas:
• Any = 0.0.0.0 255.255.255.255
• Host 192.168.10.10 = 192.168.10.10 0.0.0.0
39. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz:
– IMPORTANTE: Las ACL pueden aplicarse tanto a interfaces físicas como a
subinterfaces
1. Creación de la ACL.
• Ejemplo: Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
2. Selección de la interfaz adecuada:
• Ejemplo: Router(config)# interface fastethernet 0/1
3. Asignación de la ACL a la interfaz, indicando en que sentido se va a aplicar dicho filtro
• Ejemplo: Router(config-if)# ip access-group 1 out
40. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz. Ejemplo.
41. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL extendidas:
access-list <nº de ACL> {deny|permit|remark} <protocolo> <origen> <wildcard-origen>
[operador <operando>] [port puerto] <destino> <wildcard-destino> [operador <operando>]
[port puerto] [established]
•
<nº de ACL>: Identifica la lista de acceso (100-199; 2000 y 2699)
•
<protocolo>: Contenido del campo protocolo de la cabecera IP. Si no se desea especificar
ningún protocolo concreto ha de especificarse la opción IP
•
<origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de
origen del paquete
•
<destino> <wildcard-destino>: Especifica el patrón de bits a comprobar en la dirección IP de
destino del paquete
•
<operador operando>: Permite especificar un conjunto de puertos o un puerto específico,
tanto de origen como de destino
•
Established: Esta opción solamente está disponible para tráfico TCP e indica el paquete
debe pertenecer a una conexión ya establecida (bit ack = 1)
42. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Sintaxis de las ACL extendidas: Especificación de puertos
– Ejemplo de utilización del número de puerto:
– Ejemplo de utilización del número de puerto:
43. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Ubicación de las ACL: Buenas prácticas.
– Ubicar las ACL extendidas lo
más cerca posible del origen
del tráfico denegado. De
esta manera, el tráfico no
deseado se filtra sin
atravesar la infraestructura
de red.
– Como las ACL estándar no
especifican las direcciones
de destino, deben colocarse
lo más cerca del destino
posible, para no eliminar más
tráfico del necesario.
44. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Buenas prácticas para el diseño de ACLs:
1. Fundamentar las decisiones en la política de seguridad de la organización
2. Preparar una descripción de lo que se desea realizar (tal y como se ha visto en la
parte de teoría). Deben especificarse primero los flujos de tráfico “más específicos”
3. Determinar la ubicación de la ACL, así como el sentido de aplicación
4. Utilizar un editor de textos externo para crear, editar y almacenar las ACL
5. Probar las ACLs en una red de pruebas, antes de implantarlas en producción
45. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Ejemplo: Debe evitarse que desde las redes de la Facultad de Informática pueda accederse
a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va
dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10
1. Este enunciado es el equivalente a la “política de la organización”
2. Descripción de cómo se va a procesar el tráfico en el router Informática:
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/ 24 hacia el resto
de dispositivos de la red 192.168.3.0 debe ser prohibido
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el resto
de las redes debe ser permitido
3. Ubicación de la ACL: Interface f1/0. Sentido, saliente.
4. Utilización de un editor externo para construir la ACL:
access-list
access-list
access-list
access-list
access-list
100
100
100
100
100
permit tcp any host 192.168.3.10 eq 80
permit udp any host 192.168.3.10 eq 53
permit tcp any host 192.168.3.10 eq 53
deny ip any 192.168.3.0 0.0.0.255
permit ip any any
46. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Ejemplo: Debe evitarse que desde la red 192.168.1.0/24 pueda accederse a las direcciones
IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va dirigido al servidor
Web y al servidor DNS ubicados en el equipo 192.168.3.10. Desde la red 192.168.2.0/24, el
único tráfico permitido será el dirigido hacia el servidor Web y el servidor DNS ubicados en
el equipo 192.168.3.10. El tráfico entre las redes 192.168.1.0/24 y 192.168.2.0/24 estará
permitido.
1. Este enunciado es el equivalente a la “política de la organización”
2. Descripción de cómo se va a procesar el tráfico en el router Informática:
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
• El tráfico dirigido desde la red 192.168.1.0/24 al resto de dispositivos de la red
192.168.3.0 debe ser prohibido, pero el tráfico a las demás redes debe ser
permitido
• El tráfico dirigido desde la red 192.168.2.0/24 hacia el resto de redes debe ser
prohibido
47. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
3. Ubicación de la ACL: Interface f1/0. Sentido, saliente.
4. Utilización de un editor externo para construir la ACL:
access-list
access-list
access-list
access-list
access-list
100
100
100
100
100
permit tcp any host 192.168.3.10 eq 80
permit udp any host 192.168.3.10 eq 53
permit tcp any host 192.168.3.10 eq 53
deny ip any 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
48. Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
•
Edición de ACLs:
– Las ACLs identificadas por números (las que hemos estudiado) no son editables, es
decir, cada vez que se añade una nueva sentencia, ésta se coloca a continuación de
las sentencias ya existentes.
– Para introducir sentencias intermedias, debe borrarse la ACL completa y volver a
escribirse (por ese se ha recomendado la utilización de editores de texto externos para
crear y mantener las ACLs)
•
Eliminación de la configuración de una ACL:
– Debe realizarse de manera especialmente cuidadosa:
1. Eliminarse la asignación de la ACL a la interfaz:
Router(config-if)# no ip access-group 101 out
2. Borrar la ACL:
Router(config)# no access-list 101
51. Seguridad Perimetral
Traducción de Direcciones: Configuración
•
Configuración de NAT (sin sobrecarga) dinámico: Sintaxis
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:
Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask
<máscara>|prefix-length <longitud-prefijo>}
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <nº> permit <origen> <wildcard-origen>
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:
Router(config)#ip nat inside source list <nº de ACL que define las Ips
privadas> pool <nombre del pool de direcciones IP públicas>
4. Identificar la interfaz interna:
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat outside
53. Seguridad Perimetral
Traducción de Direcciones: Configuración
•
Configuración de NAT (sin sobrecarga) dinámico: Ejemplo
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:
Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask
255.255.255.0
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:
Router(config)#ip nat inside source list 1 pool Infor1
4. Identificar la interfaz interna:
Router(config)#interface f0/0
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:
Router(config)#interface f0/1
Router(config-if)#ip nat outside
54. Seguridad Perimetral
Traducción de Direcciones: Configuración
•
Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis.
Opción 1: Sobrecargar un conjunto de direcciones IP públicas (grandes organizaciones)
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:
Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask
<máscara>|prefix-length <longitud-prefijo>}
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <nº> permit <origen> <wildcard-origen>
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:
Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas>
pool <nombre del pool de direcciones IP públicas> OVERLOAD
4. Identificar la interfaz interna:
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat outside
56. Seguridad Perimetral
Traducción de Direcciones: Configuración
•
Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:
Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask
255.255.255.0
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:
Router(config)#ip nat inside source list 1 pool Infor1 OVERLOAD
4. Identificar la interfaz interna:
Router(config)#interface f0/0
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:
Router(config)#interface f0/1
Router(config-if)#ip nat outside
57. Seguridad Perimetral
Traducción de Direcciones: Configuración
•
Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis.
Opción 2: Sobrecargar la dirección IP de la Interfaz Pública (PYME - Doméstica)
1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <nº> permit <origen> <wildcard-origen>
2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:
Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas>
interface <tipo número> OVERLOAD
3. Identificar la interfaz interna:
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat inside
4. Identificar la interfaz externa:
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat outside
59. Seguridad Perimetral
Traducción de Direcciones: Configuración
•
Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo
1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:
Router(config)#ip nat inside source list 1 interface f1/0 overload
3. Identificar la interfaz interna:
Router(config)#interface f0/0
Router(config-if)#ip nat inside
4. Identificar la interfaz externa:
Router(config)#interface f0/1
Router(config-if)#ip nat outside
60. Seguridad Perimetral
Contacto
•
Francisco Javier Nóvoa
PEN Consultoría y Formación
Grupo Academia Postal
Responsable Técnico del Programa “Cisco Networking Academy”
E-mail: fjnovoa@academiapostal.es
http://cisconetworkingspain.blogspot.com
Departamento de Tecnología de la Información y las Comunicaciones
Universidade da Coruña
Materias:
Redes (5º de Ingeniería Informática)
Seguridad en Sistemas de la Información (Máster en Ingeniería Informática)
E-mail: fjnovoa@udc.es