20101014 seguridad perimetral

1,219 views

Published on

Ponencia - 20101014 seguridad perimetral

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,219
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
70
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

20101014 seguridad perimetral

  1. 1. Seguridad Perimetral Seguridad Perimetral Programa de Jornadas en el CNTG 2010 - 2011
  2. 2. Seguridad Perimetral Programa de Jornadas en el CNTG Seguridad Perimetral 1. Arquitectura de seguridad perimetral. Implementación mediante tecnologías básicas: Filtrado de paquetes y NAT 2. Seguridad en Redes de Área Local con tecnología Ethernet: VLANs, IBNS (IEEE 802.1x) y NAC 3. Implementación de seguridad perimetral basada en cortafuegos de control de estado y sistemas de detección y prevención de intrusos 4. Seguridad en las comunicaciones utilizando Redes Privadas Virtuales basadas en IPsec.
  3. 3. Seguridad Perimetral Arquitecturas y Tecnologías de Seguridad Perimetral
  4. 4. Seguridad Perimetral Índice • Seguridad Perimetral: Conceptos Fundamentales • Implementación de Seguridad Perimetral con dispositivos Cisco • Tecnologías Básicas de Seguridad Perimetral: – Listas de Control de Acceso (Access Control List, ACL) – Traducción de Direcciones (Network Address Translation, NAT)
  5. 5. Seguridad Perimetral Seguridad Perimetral: Conceptos Fundamentales
  6. 6. Seguridad Perimetral Seguridad Perimetral: Conceptos Fundamentales • La Recomendación “X.800: Arquitectura de Seguridad de la Interconexión de Sistemas Abiertos” del ITU-T, define los elementos arquitectónicos relacionados con la seguridad de la información en sistemas abiertos – Ataques – Servicios – Mecanismos • La Recomendación “X.805: Arquitectura de Seguridad para Sistemas que proporcionan Comunicación extremo a extremo”, ofrece una aproximación a la seguridad en lo que respecta al mantenimiento, control y uso de la infraestructura de red
  7. 7. Seguridad Perimetral Seguridad Perimetral: Conceptos Fundamentales • Ataque: asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un acto inteligente y deliberado para eludir los servicios de seguridad y violar la política de seguridad de un sistema – Ataque DDoS al Servidor de Windows Update • Amenaza: posibilidad de violación de la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar perjuicio, es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad – Microsoft Windows de 32 bits sin parche, directamente conectado a Internet • Vulnerabilidad: defecto o debilidad en el diseño, implementación, operación y mantenimiento de un sistema que podría ser explotado para violar la directiva o política de seguridad de dicho sistema – "Desbordamiento de Búfer en RPC DCOM", que permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario • Política (directiva) de seguridad: Conjunto de reglas que administra, gestiona y controla el acceso a los recursos de la red
  8. 8. Seguridad Perimetral Ataques a la Seguridad • Ataques Activos: – – – – • Suplantación Modificación del mensaje Repetición Denegación de Servicio Ataques Pasivos: – Observación del contenido del mensaje: – Análisis del tráfico
  9. 9. Seguridad Perimetral Servicios de Seguridad • Conjunto de servicios de procesamiento o de comunicación proporcionados por un sistema con el fin de dar un tipo especial de protección a sus recursos de información – – – – – – Autenticación Control de Acceso o Autorización Confidencialidad de los Datos No repudio Integridad de los Datos Disponibilidad
  10. 10. Seguridad Perimetral Mecanismos de Seguridad • Mecanismos de seguridad más habituales – – – – – – – – Cifrado Integridad de los datos Firma Digital Control de acceso Intercambio de autenticación Tráfico de relleno Control de encaminamiento Confianza en terceras partes
  11. 11. Seguridad Perimetral Modelos de Seguridad • Transmisiones Seguras: – Un mensaje ha de ser transmitido de una parte a otra de algún tipo de red no segura, como por ejemplo Internet. – Se debe establecer un canal seguro de información a través de la red. Si es necesario proteger la información de modo que un oponente no sea una amenaza, deben utilizarse mecanismos de seguridad. – Todas las técnicas que proporcionan seguridad en este entorno tienen dos componentes: • Una transformación relacionada con la seguridad de la información que se va a enviar (cifrado, integridad,…) • Información secreta compartida por los interlocutores que desconoce el oponente (clave de cifrado, clave de integridad,…) – Para lograr una transmisión segura, en muchos casos puede ser necesaria la intervención de una tercera parte de confianza, que distribuya cierto tipo de información entre los dos interlocutores y garantice la validez de dicha información.
  12. 12. Seguridad Perimetral Modelos de Seguridad • Transmisiones Seguras:
  13. 13. Seguridad Perimetral Modelos de Seguridad • Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos, “malware”, …) – Se consideran dos tipos de amenazas: • Amenazas al acceso a la información (captura o alteración de datos por parte de usuarios que no deberían tener acceso a dichos datos) • Amenazas al servicio (denegación de servicios). – Los mecanismos de seguridad necesarios para enfrentarse a los accesos no deseados se dividen en servicios de vigilancia, que incluyen mecanismos de control de acceso, y software de ocultación, que permite evitar el efecto del malware. En caso de que un usuario no autorizado accediese a la red, existen mecanismos de control interno de la actividad del sistema o de la red que permiten detectar la presencia de intrusos (IDS, IPS)
  14. 14. Seguridad Perimetral Modelos de Seguridad • Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos, “malware”, …)
  15. 15. Seguridad Perimetral Implementación de Seguridad Perimetral con dispositivos Cisco
  16. 16. Seguridad Perimetral Implementación de Seguridad con Tecnología Cisco
  17. 17. Seguridad Perimetral Implementación de Seguridad con Tecnología Cisco • La seguridad perimetral en redes de comunicaciones se basa en el aislamiento de redes, clasificadas según el nivel de confianza de cada una de ellas • Zona de seguridad: • – Conjunto de redes que pueden ser alcanzadas a través de una interfaz de un firewall. – Es un dominio separado administrativamente donde tanto el tráfico entrante como el saliente pueden ser filtrados. Zonas de seguridad típicas: • – “Inside” – “Outside” – “Demilitarized Zone” Puntos de filtrado en los límites de la DMZ: – Routers: Enfoque abierto – Firewalls: Enfoque cerrado – Application Layer Gateway (ALG) o Proxy Server
  18. 18. Seguridad Perimetral Implementación de Seguridad con Tecnología Cisco • Características de la defensa en capas: • – Red Interna: Administrada y controlada por la organización  Servicios Internos – Red Externa: No existe ningún tipo de control administrativo – DMZ: Se ubican los servicios que pueden ser accedidos desde la red externa y desde la red interna. – La DMZ debe tener la capacidad de contener posibles ataques y limitar el daño en caso de vulneración del sus mecanismos de seguridad. – Se aplican mecanismos de control de acceso a todo el tráfico que entra o sale de la DMZ, utilizando para ello: • Routers: Filtrado de paquetes • Firewalls: Filtrado de estado de conexión Puntos y servicios de filtrado en la DMZ: – Puntos de filtrado: Protegen los servicios filtrando el tráfico entrante y saliente – Servidores Públicos: Deben estar configurados de forma segura – ALGs: Desinfectan el tráfico a nivel de aplicación y controlan el tráfico saliente de la red interna. – Private VLAN: Restringen los efectos de una vulneración de seguridad en la DMZ.
  19. 19. Seguridad Perimetral Implementación de Seguridad con Tecnología Cisco • DMZs Múltiples: – En un diseño de DMZ única, no existe control de acceso entre los diferentes hosts de la misma, a no ser que se utilicen PVLAN. – Si un atacante compromete un equipo en la DMZ puede atacar desde dentro a los demás. – El desarrollo de las aplicaciones Web modernas sigue una arquitectura “multicapa”, donde se separan la parte de la vista (servidor Web), el modelo (servidor de base de datos) y el controlador (servidor de aplicaciones). • Un diseño robusto podría ubicar cada uno de los servidores en DMZs diferentes. – El comprometer un único servidor no proporciona un punto de ataque directo al resto de servicios
  20. 20. Seguridad Perimetral Implementación de Seguridad con Tecnología Cisco • Diseño de DMZs moderno: • – Este diseño permite que varios sistemas filtren tráfico pero también subraya la necesidad de realizar una configuración correcta del dispositivo de filtrado. – Actualmente los firewalls pueden crear múltiples DMZs, una por interfaz – Con un solo dispositivo se pueden sustituir los dispositivos que establecían los límites entre la DMZ y la red interna, y entre la DMZ y la red externa. Tipos de filtrado: • – Filtrado de paquetes (Routers): Filtrado de paquetes individuales – Filtrado del estado de la conexión (Firewall): Por ejemplo, control de los campos de las cabeceras TCP que rigen el estado de la conexión – Filtrado de las sesiones de aplicación (ALG o Proxy Server) Filtrado de doble firewall  Mejor rendimiento  Mayor seguridad  Mayor coste
  21. 21. Seguridad Perimetral Tipos de Firewall • Tecnologías de Firewall: – Filtrado de paquetes: Filtran el tráfico en base a la información estática de las cabeceras de los paquetes, habitualmente mediante ACLs. – Filtrado de paquetes con estado de conexión: Es un método de filtrado de paquetes que tiene en cuenta la información de la capa de aplicación para filtrar los paquetes y analiza los datos dentro del contexto de la conexión o flujo de datos. • Tabla de estado de las conexiones activas. Esta tabla es, evidentemente, dinámica • Inspecciona los paquetes comprobando si se corresponden con las características de sus sesión – Proxies: Trabajan a nivel de capa de aplicación. Actúan como intermediarios entre la aplicación cliente (para la cual es un servidor) y la aplicación servidor (para la cual es un cliente) • El Proxy Server recibe una petición de un cliente, la procesa y analiza, y la reenvía al destino, como si el fuese el cliente. • Cuando el Proxy Server recibe la respuesta del servidor, la procesa y analiza, y la reenvía al cliente si es permitida.
  22. 22. Seguridad Perimetral Firewall de Inspección de Estado • Listas de Control de Acceso (Se tratarán en profundidad a continuación) • Tabla de estados o tabla de sesiones: Es una tabla que realiza el seguimiento de todas las sesiones establecidas y permite realizar la inspección de todos los paquetes que pasan a través del Firewall utilizando esta información. • – Es una tabla dinámica, cuyo contenido cambia en función de los flujos de tráfico. – Crean entradas en la tabla cuando se establece una nueva conexión válida – Elimina las entradas de la tabla cuando se cierra adecuadamente una conexión y utilizando temporizadores. Utilización de la Información de la Capa de Aplicación: Un filtro de paquetes “stateful” puede asociar un canal dinámica de una aplicación con la sesión inicial de una aplicación (tipo FTP). – El concepto de “sesión” en el ámbito de los filtros de paquetes “stateful” hace referencia a las conexiones TCP o UDP. – Existen firewalls de este tipo que trabajan también adecuadamente con ICMP y GRE.
  23. 23. Seguridad Perimetral Firewall de Inspección de Estado • El seguimiento de las sesiones de capa de transporte se realiza de forma diferente en función del tipo de protocolo: – TCP: • Mantiene una entrada por conexión. • Implementación sencilla. Chequea el flujo de información y los números de secuencia – UDP: • No existen flags ni números de secuencia • La realización del seguimiento de las conexiones es difícil • Solamente se chequea la información del los flujos de información • Para eliminar las entradas se utilizan temporizadores • Se puede extraer información de las negociaciones de los protocolos de capa de aplicación. – Otras servicios no orientados a la conexión: • Solamente se chequea la información del los flujos de información.
  24. 24. Seguridad Perimetral Firewall de Inspección de Estado
  25. 25. Seguridad Perimetral Firewall de Inspección de Estado
  26. 26. Seguridad Perimetral Cisco IOS Firewall • Es una opción específica del sistema operativo de los routers Cisco (IOS) que está disponible para un conjunto limitado de plataformas. Integra: – – – – – – – – – – ACLs estándar y extendidas NAT Intercepción TCP Firewall Proxy de autenticación Intrusion Prevention System Port-to-Application Mapping IPsec Auditoría Autenticación y autorización de usuario
  27. 27. Seguridad Perimetral Tecnologías Básicas de Seguridad: Filtrado de Paquetes y Traducción de Direcciones
  28. 28. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • • Los administradores de red utilizan “firewalls” para proteger sus redes contra el uso no autorizado. – Los firewalls son soluciones de hardware o software que hacen cumplir las políticas de seguridad de la red. – En un router, se puede configurar un “firewall” simple (firewall de filtrado de paquetes) que proporciona capacidades básicas de seguridad utilizando ACLs. – Las Listas de Control de Acceso (Access Control List, ACL) constituyen un mecanismo que permite filtrar el tráfico de red, deteniendo o permitiendo sólo tráfico específico Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a una interfaz de un router en un determinado sentido (de entrada o de salida) para cada protocolo de red configurado, en la mayoría de casos, IPv4. – Criterios de filtrado de paquete: • Campos de la cabecera IP: – Direcciones IP Origen y Destino, Tipo de Protocolo, etc. • Campos de la cabecera del protocolo de capa superior: TCP, UDP, … – Nº de puerto, señalizadores de la cabecera TCP (SYN, ACK, …)
  29. 29. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Funcionamiento: – Cuando un paquete llega al router (o va a salir del router) a través de una interfaz con una ACL asociada, la ACL se examina de arriba a abajo, línea a línea, buscando un patrón que coincida entre el criterio de filtrado establecido en cada línea con las características del paquete entrante. • Si se produce dicha coincidencia se aplica la acción asociada a la sentencia (permitir / denegar) – De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra el tráfico. El tráfico que entra en el router es enrutado según la tabla de enrutamiento. – Lugares típicos de aplicación de ACLs: • Routers firewall entre la red interna y la red externa (e.g. Internet) • Routers situados entre dos partes de la red para controlar el tráfico que entra o sale de una parte específica de su red interna.
  30. 30. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Funcionamiento de una ACL de entrada en una interfaz
  31. 31. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Funcionamiento de una ACL de entrada en una interfaz
  32. 32. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Ejecución de las ACLs en el proceso general de enrutamiento de un paquete IP en un router
  33. 33. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Hay dos tipos básicos de ACL en los routers Cisco: – ACL estándar: Filtra el tráfico utilizando como criterio la dirección IP de origen del paquete. Access-list 10 permit 172.30.0.0 0.0.0.255 • ACL extendidas – Las ACL extendidas filtran los paquetes IP en función de diferentes valores de las cabeceras de capa 3 y capa 4: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo. Access-list 101 permit ip 172.30.0.0 0.0.0.255 host 193.144.49.10 eq 80
  34. 34. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Configuración de ACLs: 1. Creación de al lista de control de acceso • Cada comando de ACL se introduce de forma individual, por lo que es necesario indicar en cada sentencia el número de ACL al que pertenece dicha sentencia access-list 10 permit 172.28.0.0 0.0.0.255 access-list 10 permit 172.29.0.0 0.0.0.255 access-list 10 permit 172.30.0.0 0.0.0.255 access-list 10 permit 172.31.0.0 0.0.0.255 • Por defecto, todas las ACLs finalizan con un comando de denegación total del tráfico implícito, por lo que si un paquete no coincide con ninguna sentencia de permiso, dicho paquete es denegado • ACLs estándar: 1 – 99 (1300 – 1999) • ACLs extendidas: 100 – 199 (2000 – 2699) 2. Aplicación de la ACL a la interfaz: ip access-group 10 in
  35. 35. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL estándar: access-list <nº de ACL> {deny|permit|remark} <origen> <wildcard-origen> <log> • <nº de ACL>: Identifica la lista de acceso (1-99; 1300 y 1999) • <origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de origen del paquete • <log>: Paquetes que han activado la sentencia durante los últimos 5 minutos
  36. 36. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL estándar: Máscaras Wildcard – Sirven para indicar qué bits del patrón especificado en la sentencia de la ACL deben coincidir con los de la dirección IP (origen o destino), para que se considere que se ha producido una coincidencia válida
  37. 37. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL estándar: Máscaras Wildcard – Ejemplos:
  38. 38. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL estándar: Máscaras Wildcard – Utilización de abreviaturas: • Any = 0.0.0.0 255.255.255.255 • Host 192.168.10.10 = 192.168.10.10 0.0.0.0
  39. 39. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz: – IMPORTANTE: Las ACL pueden aplicarse tanto a interfaces físicas como a subinterfaces 1. Creación de la ACL. • Ejemplo: Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255 2. Selección de la interfaz adecuada: • Ejemplo: Router(config)# interface fastethernet 0/1 3. Asignación de la ACL a la interfaz, indicando en que sentido se va a aplicar dicho filtro • Ejemplo: Router(config-if)# ip access-group 1 out
  40. 40. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz. Ejemplo.
  41. 41. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL extendidas: access-list <nº de ACL> {deny|permit|remark} <protocolo> <origen> <wildcard-origen> [operador <operando>] [port puerto] <destino> <wildcard-destino> [operador <operando>] [port puerto] [established] • <nº de ACL>: Identifica la lista de acceso (100-199; 2000 y 2699) • <protocolo>: Contenido del campo protocolo de la cabecera IP. Si no se desea especificar ningún protocolo concreto ha de especificarse la opción IP • <origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de origen del paquete • <destino> <wildcard-destino>: Especifica el patrón de bits a comprobar en la dirección IP de destino del paquete • <operador operando>: Permite especificar un conjunto de puertos o un puerto específico, tanto de origen como de destino • Established: Esta opción solamente está disponible para tráfico TCP e indica el paquete debe pertenecer a una conexión ya establecida (bit ack = 1)
  42. 42. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Sintaxis de las ACL extendidas: Especificación de puertos – Ejemplo de utilización del número de puerto: – Ejemplo de utilización del número de puerto:
  43. 43. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Ubicación de las ACL: Buenas prácticas. – Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red. – Como las ACL estándar no especifican las direcciones de destino, deben colocarse lo más cerca del destino posible, para no eliminar más tráfico del necesario.
  44. 44. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Buenas prácticas para el diseño de ACLs: 1. Fundamentar las decisiones en la política de seguridad de la organización 2. Preparar una descripción de lo que se desea realizar (tal y como se ha visto en la parte de teoría). Deben especificarse primero los flujos de tráfico “más específicos” 3. Determinar la ubicación de la ACL, así como el sentido de aplicación 4. Utilizar un editor de textos externo para crear, editar y almacenar las ACL 5. Probar las ACLs en una red de pruebas, antes de implantarlas en producción
  45. 45. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Ejemplo: Debe evitarse que desde las redes de la Facultad de Informática pueda accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10 1. Este enunciado es el equivalente a la “política de la organización” 2. Descripción de cómo se va a procesar el tráfico en el router Informática: • El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido • El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/ 24 hacia el resto de dispositivos de la red 192.168.3.0 debe ser prohibido • El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el resto de las redes debe ser permitido 3. Ubicación de la ACL: Interface f1/0. Sentido, saliente. 4. Utilización de un editor externo para construir la ACL: access-list access-list access-list access-list access-list 100 100 100 100 100 permit tcp any host 192.168.3.10 eq 80 permit udp any host 192.168.3.10 eq 53 permit tcp any host 192.168.3.10 eq 53 deny ip any 192.168.3.0 0.0.0.255 permit ip any any
  46. 46. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Ejemplo: Debe evitarse que desde la red 192.168.1.0/24 pueda accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10. Desde la red 192.168.2.0/24, el único tráfico permitido será el dirigido hacia el servidor Web y el servidor DNS ubicados en el equipo 192.168.3.10. El tráfico entre las redes 192.168.1.0/24 y 192.168.2.0/24 estará permitido. 1. Este enunciado es el equivalente a la “política de la organización” 2. Descripción de cómo se va a procesar el tráfico en el router Informática: • El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido • El tráfico dirigido desde la red 192.168.1.0/24 al resto de dispositivos de la red 192.168.3.0 debe ser prohibido, pero el tráfico a las demás redes debe ser permitido • El tráfico dirigido desde la red 192.168.2.0/24 hacia el resto de redes debe ser prohibido
  47. 47. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso 3. Ubicación de la ACL: Interface f1/0. Sentido, saliente. 4. Utilización de un editor externo para construir la ACL: access-list access-list access-list access-list access-list 100 100 100 100 100 permit tcp any host 192.168.3.10 eq 80 permit udp any host 192.168.3.10 eq 53 permit tcp any host 192.168.3.10 eq 53 deny ip any 192.168.3.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any
  48. 48. Seguridad Perimetral Filtrado de Paquetes: Listas de Control de Acceso • Edición de ACLs: – Las ACLs identificadas por números (las que hemos estudiado) no son editables, es decir, cada vez que se añade una nueva sentencia, ésta se coloca a continuación de las sentencias ya existentes. – Para introducir sentencias intermedias, debe borrarse la ACL completa y volver a escribirse (por ese se ha recomendado la utilización de editores de texto externos para crear y mantener las ACLs) • Eliminación de la configuración de una ACL: – Debe realizarse de manera especialmente cuidadosa: 1. Eliminarse la asignación de la ACL a la interfaz: Router(config-if)# no ip access-group 101 out 2. Borrar la ACL: Router(config)# no access-list 101
  49. 49. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (sin sobrecarga) estático: – Mapeo de direcciones IP – Sintaxis: Router(config)#ip nat inside source static <ip-local> <ip-global> ! Interfaz interna. Direccionamiento Privado Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat inside ! Interfaz externa. Direccionamiento Público Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat outside
  50. 50. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (sin sobrecarga) estático: – Mapeo de direcciones IP – Ejemplo: Router(config)#ip nat inside source static 192.168.1.10 193.147.3.200 ! Interfaz interna. ! Direccionamiento Privado Router(config)#interface f0/0 Router(config-if)#ip nat inside ! Interfaz externa. ! Direccionamiento Público Router(config)#interface f1/0 Router(config-if)#ip nat outside
  51. 51. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (sin sobrecarga) dinámico: Sintaxis 1. Definir el conjunto de direcciones públicas que van a ser utilizadas: Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask <máscara>|prefix-length <longitud-prefijo>} 2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL Router(config)#access-list <nº> permit <origen> <wildcard-origen> 3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas: Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas> pool <nombre del pool de direcciones IP públicas> 4. Identificar la interfaz interna: Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat inside 5. Identificar la interfaz externa: Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat outside
  52. 52. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (sin sobrecarga) dinámico: Ejemplo
  53. 53. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (sin sobrecarga) dinámico: Ejemplo 1. Definir el conjunto de direcciones públicas que van a ser utilizadas: Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask 255.255.255.0 2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas: Router(config)#ip nat inside source list 1 pool Infor1 4. Identificar la interfaz interna: Router(config)#interface f0/0 Router(config-if)#ip nat inside 5. Identificar la interfaz externa: Router(config)#interface f0/1 Router(config-if)#ip nat outside
  54. 54. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis. Opción 1: Sobrecargar un conjunto de direcciones IP públicas (grandes organizaciones) 1. Definir el conjunto de direcciones públicas que van a ser utilizadas: Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask <máscara>|prefix-length <longitud-prefijo>} 2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL Router(config)#access-list <nº> permit <origen> <wildcard-origen> 3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas: Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas> pool <nombre del pool de direcciones IP públicas> OVERLOAD 4. Identificar la interfaz interna: Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat inside 5. Identificar la interfaz externa: Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat outside
  55. 55. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (con sobrecarga) dinámico: Ejemplo
  56. 56. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo 1. Definir el conjunto de direcciones públicas que van a ser utilizadas: Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask 255.255.255.0 2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas: Router(config)#ip nat inside source list 1 pool Infor1 OVERLOAD 4. Identificar la interfaz interna: Router(config)#interface f0/0 Router(config-if)#ip nat inside 5. Identificar la interfaz externa: Router(config)#interface f0/1 Router(config-if)#ip nat outside
  57. 57. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis. Opción 2: Sobrecargar la dirección IP de la Interfaz Pública (PYME - Doméstica) 1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL Router(config)#access-list <nº> permit <origen> <wildcard-origen> 2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas: Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas> interface <tipo número> OVERLOAD 3. Identificar la interfaz interna: Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat inside 4. Identificar la interfaz externa: Router(config)#interface <tipo-int nº-int> Router(config-if)#ip nat outside
  58. 58. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (con sobrecarga) dinámico: Ejemplo
  59. 59. Seguridad Perimetral Traducción de Direcciones: Configuración • Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo 1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas: Router(config)#ip nat inside source list 1 interface f1/0 overload 3. Identificar la interfaz interna: Router(config)#interface f0/0 Router(config-if)#ip nat inside 4. Identificar la interfaz externa: Router(config)#interface f0/1 Router(config-if)#ip nat outside
  60. 60. Seguridad Perimetral Contacto • Francisco Javier Nóvoa PEN Consultoría y Formación Grupo Academia Postal Responsable Técnico del Programa “Cisco Networking Academy” E-mail: fjnovoa@academiapostal.es http://cisconetworkingspain.blogspot.com Departamento de Tecnología de la Información y las Comunicaciones Universidade da Coruña Materias: Redes (5º de Ingeniería Informática) Seguridad en Sistemas de la Información (Máster en Ingeniería Informática) E-mail: fjnovoa@udc.es

×