Unidad 3. Seguridad de La Red

Optimizacin de redes
Unidad 3. Seguridad de la red
Ingeniera en Telemtica
Programa de la asignatura:
Unidad 3. Seguridad de la Red
Clave:
210930831
I
Universidad Abierta y a Distancia de Mxico
Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica
ndice Unidad 3. Seguridad de la red ........................................................................................... 2 Presentacin de la unidad .............................................................................................. 2 Propsitos ...................................................................................................................... 5 Competencia especfica ................................................................................................. 5 3.1. Seguridad de la Red ................................................................................................ 6 3.1.1. Conceptos de Seguridad de la red .................................................................... 8 3.1.2. Tipos de amenazas ........................................................................................... 9 Actividad 1. Seguridad en la red ................................................................................... 12 3.2. Seguridad para routers .......................................................................................... 13 3.2.1. Aspectos de seguridad para ruteadores .......................................................... 13 3.2.1. Servicios de red y administracin .................................................................... 18 Actividad 2. Configuracin de router seguro ................................................................. 20 3.3. Listas de Acceso Controlado (ACL) ....................................................................... 20 3.3.1. Qu son las ACL ............................................................................................. 21 3.3.2. Configuracin estndar ACL ........................................................................... 25 3.3.3. Configuraciones extendidas y complejas ........................................................ 30 Actividad 3. ACL ........................................................................................................... 36 Autoevaluacin............................................................................................................. 37 Evidencia de aprendizaje. Seguridad y diseo de una WAN ........................................ 37 Autorreflexin ............................................................................................................... 38 Cierre de la unidad ....................................................................................................... 38 Para saber ms ........................................................................................................ 39 Fuentes de consulta ..................................................................................................... 39
Unidad 3. Seguridad de la red Presentacin de la unidad
En las unidades anteriores pudiste conocer cmo se estructuran y disean las WAN, incluso aprendiste a configurar los enlaces PPP, ISDN y Frame Relay, sin embargo para que el diseo de toda red este completo es necesario proveer a la misma de los esquemas bsicos de seguridad, ya que este es un aspecto fundamental en la instalacin y la administracin de las WAN. El reto de la seguridad es proveer un equilibrio entre la necesidad de poseer redes abiertas a el intercambio de informacin entre organizaciones distintas y el proteger los datos privados de la organizacin y de las personas. La definicin de una poltica de seguridad es de suma importancia pues permite a las organizaciones proteger sus redes, brindando pautas que permiten que las actividades se realicen de forma segura y fiable, adems de brindar los recursos necesarios que deben usarse para proporcionar seguridad en la red de cualquier organizacin. En esta unidad analizars los esquemas de seguridad de la red en la capa 2 de OSI, lo que te permitir identificar las amenazas que existen en las redes, as como describir cules mtodos se pueden utilizar para evitar amenazas de seguridad en las WAN. Tambin aprenders a configurar esquemas de seguridad basados en listas de acceso controlado en los routers, permitiendo as enlaces con seguridad en las interfaces de conexin de stos. En esta unidad encontrars el trmino de routers que se usar indistintamente para hacer referencia a los ruteadores. En la siguiente infografa podrs visualizar diferentes elementos de seguridad como son las variantes de ACL que permiten o deniegan el acceso; con dichos elementos se permite filtrar los diversos paquetes que viajan en la red y que a su vez infieren en el trfico de la misma.
Propsitos
En esta unidad logrars: Analizars los esquemas de seguridad de la red en la capa 2 de OSI, lo que te permitir identificar las amenazas que existen en las redes Adems describirs los mtodos utilizados para evitar amenazas de seguridad en las WAN. Tambin se utilizarn un conjunto de actividades para confirmar y reforzar tu aprendizaje. Al finalizar esta unidad podrs aplicar las diversas tcnicas de seguridad apropiadas para habilitar servicios WAN confiables y seguros.
Competencia especfica
Aplicar las distintas tcnicas de las listas de acceso controlado para configurar los dominios de broadcast de una WAN simulando un diseo de redes de rea amplia segura.
3.1. Seguridad de la Red

La seguridad de la red ha sido una cuestin de importancia desde hace mucho tiempo, y aunque cuando las LAN conectaban a las computadoras personales en los aos ochenta, la seguridad no era el objetivo nmero uno, ya que en ese tiempo las redes eran cerradas, con lo cual las medidas de seguridad solo se centraban en cuestiones de seguridad de infraestructura fsicas (amenazas al hardware, amenazas ambientales, amenazas elctricas y amenazas al mantenimiento). En la actualidad, sin embargo, la seguridad en las redes se encuentra en la parte superior de la lista de prioridades, ya que las redes han crecido, evolucionado y proveen comercio electrnico o servicios en lnea, esto a consecuencia que las redes ahora son abiertas (Stallings, 2009).
La seguridad de las redes parte de que una red sea abierta o cerrada, ya que de eso depender el tipo de amenazas a las que pueda estar sujeta la red, estas amenazas pueden ser: Amenazas Internas Amenazas externas A continuacin se muestra un esquema que ejemplifica de cada una de este tipo de redes
Red cerrada sin problemas de amenazas externas pero s internas (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
Red Abierta con problemas de amenazas internas y externas. (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
Uno de los desafos a la seguridad de la red es que las amenazas a la red cambian constantemente, y t debes de poder hacer frente a stas, diseando redes con las mejores prcticas en seguridad que permitan monitorear constantemente el trfico en la red. 6
Adems que casi todo esquema de seguridad es nico y muy particular ya que puede ir desde una red completamente abierta, donde se permite acceso a cualquier servicio, hasta una red completamente cerrada y restrictiva, en la cual se deniegan permiso de manera predeterminada, a menos que se considere necesario el acceso. En las redes abiertas, los riesgos son evidentes, pues el acceso no est restringido, sin embargo las redes cerradas, las reglas de acceso se definen por medio de polticas, denominadas polticas de seguridad, las cuales pueden reglamentar servicios de red como se crea pertinente por la organizacin, un ejemplo podra ser el prohibir el uso de las redes sociales. La poltica de seguridad define qu tan abierta o cerrada es una red, por lo que podra proponerse una red completamente cerrada al exterior, proporcionando solo conectividad al interior de la organizacin y a las personas y sitios de confianza. Estas redes se consideran seguras contra los ataques externos, pero aun as siguen existiendo amenazas internas. (Baker, 2012)
Las amenazas se incrementarn en base al tipo de red tengamos si es abierta o cerrada, a continuacin se muestra un comparativo, siendo la mejor opcin un modelo equilibrado que permita combinar permisos especficos con restricciones determinadas.
Una red cerrada es una red donde todo lo que no est explcitamente permitido se niega, lo que da como consecuencia una red de difcil configuracin y administracin, el acceso de los usuarios a los recursos es complicado y difcil, y tiene un costo muy elevado en seguridad. Red Cerrada (Baker, 2012)
Una red abierta es una red donde se permite todo aquello que no est explcitamente denegado y que es fcil de configurar y administrar, el acceso a los recursos por parte de los usuarios es sencillo y el costo de seguridad es muy bajo Red Abierta (Baker, 2012)
De acuerdo con el tipo de red que desees tener, deber ser necesario desarrollar una poltica de seguridad, la cual definir el que est permitido y que no en sta.
A manera de recordatorio en lo visto en las asignaturas de seguridad. Cisco considera que una poltica de seguridad es una declaracin formal de las normas por las que se deben regir las personas que obtienen acceso a los bienes de tecnologa e informacin de una organizacin. Una poltica de seguridad puede ser tan simple como una breve Poltica de uso aceptable para recursos de red, o puede
contener varios cientos de pginas y detallar cada aspecto de conectividad y las polticas asociadas. (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
3.1.1. Conceptos de Seguridad de la red

Como ha mencionado, los desafos de la seguridad evolucionan, con base en el tipo de vulnerabilidad, de amenaza, y/o ataque se configure en su contra. Una vulnerabilidad es una debilidad de una red y cada uno de los dispositivos que en ella actan, como pueden ser routers, switches, computadoras personales, servidores y dispositivos de seguridad. Existen 3 tipos de vulnerabilidades: Debilidades tecnolgicas: Son debilidades propias de las TIC como podran ser, las debilidades propias de los protocolos de comunicaciones, de los dispositivos y del software. Debilidades en la configuracin: Son definidas por la mala configuracin de los dispositivos y de red. Debilidades en la poltica de seguridad: Si los usuarios no respetan la poltica de seguridad esto acarrear riesgos de seguridad.
Debilidades tecnolgicas
Estas debilidades pueden dividirse en: debilidades derivadas del protocolo TCP/IP, debilidades dependientes de los sistemas operativos y debilidades basadas en los equipos de red. Las debilidades debidas al protocolo TCP/IP, se refieren a aquellas fallas de seguridad que algunos protocolos tienen y que sirven para ser utilizadas por algn tipo de amenaza, los protocolos con mayor riesgo de ataques son: el protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol), el protocolo de transferencia de archivos (FTP, File Transfer Protocol) y el protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol). Estos protocolos son utilizados por los hackers para crear backdoors y acceder a los sistemas. Las debilidades en seguridad debidas a los sistemas operativos son aquellas atribuidas a cada uno de los problemas de seguridad que tienen los sistema operativo .Todas estas debilidades que son utilizadas para vulnerar los sistemas se encuentran documentadas por un grupo de especialistas de cada sistema operativo que se encuentran reunidos en lo que se denomina el equipo de respuesta para emergencias computacionales o
(CERT, Computer Emergency Response Team). Las debilidades de los equipos de red hacen referencia a cmo los routers, los firewalls y los switches tienen debilidades de seguridad que deben ser conocidas y combatidas para evitar ataques; las debilidades ms comunes de este tipo son: la falta de proteccin de contraseas, la nula autenticacin, los ataques a protocolos de enrutamiento y los agujeros de firewall.
Debilidades de configuracin
Estas debilidades hacen referencia a cuentas de acceso de los usuarios inseguras, o servicios o equipos mal configurados, donde en el primer caso la informacin de una cuenta se puede transmitir de manera insegura a travs de la red, exponiendo nombres de usuario y contraseas a terceros o cuando las cuentas del sistema tienen contraseas fciles de adivinar. Para el caso de una mala configuracin de los equipos o de los servicios podemos encontrar servicios de Internet mal configurados lo que permite ataques mediante scripts hostiles cuando se accede a sitios no confiables, o malas configuraciones en los equipos que pueden causar problemas de seguridad importantes.
Debilidades en las polticas de seguridad

Como podrs ver en el tercer tema de esta unidad, las polticas coadyuvan a definir el uso de ciertos protocolos y accesos a servicios que se proporcionan dentro de una red. Es importante destacar que el uso de listas de acceso (ACL), permiten al administrador tener un mayor grado de control y seguridad en el trfico de la red.
3.1.2. Tipos de amenazas

Las amenazas son por lo regular individuos calificados e interesados en aprovechar cada una de las debilidades de la red. Dichas personas buscan continuamente nuevas debilidades en la red para explotarlas. Los trminos ms comunes utilizados en el tpico de seguridad de la red, haciendo referencia al atacante son de acuerdo a Baker, (2012): Hacker: es el trmino utilizado para definir a un individuo que es experto en el rea de sistemas de informacin. Aunque recientemente este vocablo se ha venido usando para describir a personas logran tener acceso no autorizado a las redes con intenciones maliciosas. Hacker de sombrero blanco: Es un individuo que est constantemente buscando las vulnerabilidades en sistemas informticos o en redes, y que al encontrarlas las
reportan a los responsables de los sistemas para que las resuelvan. Nunca realizan abusos en los sistemas. Hacker de sombrero negro: individuo que aplica sus conocimientos en sistemas de informacin o en redes para obtener beneficios personales.
Por lo general, un hacker de sombrero blanco se concentra en proporcionar seguridad a los sistemas informticos, mientras que a un hacker de sombrero negro (el opuesto) le gustara entrar por la fuerza en ellos. (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
Cracker: es una persona que obtiene acceso no autorizado a los recursos de la red con intenciones maliciosas. Phreaker: Es un individuo que manipula la red de telefona para llamadas de larga distancia gratuitas. Spammer: Individuo que enva mensajes de correo electrnico no solicitados y que utilizan virus para tomar el control de las computadoras y usarlas para enviar sus emails. Estafador: Persona que usa las TIC para engaar a otros individuos para que le den su informacin personal, como pueden ser los nmeros de tarjetas de crdito o passwords.
El objetivo de cualquiera de estos tipos de agresores es afectar una red o una aplicacin que se ejecuta dentro de una red, siendo los ataques informticos ms frecuentes (Baker, 2012): Virus Suplantacin de identidad Denegacin de servicio Acceso no autorizado a la informacin Utilizacin de Bots Robo de informacin Penetracin en el sistema Fraude Deteccin de contraseas Registro de claves Ataque a sitios Web
10
La mayora de los atacantes no quieren ser descubiertos cuando realizan un ataque, razn por la cual utilizarn diversas tcnicas para no ser descubiertos cuando realizan sus fechoras. Mtodos de Ataque Las tcnicas de ataque ms utilizadas por los atacantes de acuerdo a Stallings, (2009) son: Reconocimiento: Este es el proceso de deteccin que se utiliza para encontrar informacin acerca de la red, como podra ser la exploraciones de la red para averiguar direcciones IP, escanear la red para conocer qu puertos estn abiertos. Por lo general este es el primer paso para descubrir que hay en la red y ver cmo est configurada, y as poder determinar que vulnerabilidades potenciales existen. Ingeniera social: Este tipo de ataque se centra en la debilidad nmero uno de la red, el usuario. Aqu el atacante utiliza al usuario para que este le revele informacin sensible por medio de un correo electrnico o pginas web, en el cual el usuario har clic en algn link que lleva al atacante obtener informacin. La ingeniera social tambin puede hacerse en persona o por telfono. Ejemplos de este tipo de amenaza son el phishing y el pharming; el primero presenta un enlace que parece un recurso de confianza vlido para un usuario, cuando el usuario hace clic en l, se solicita al usuario a revelar informacin confidencial como nombres de usuario / contraseas. Para el caso del pharming se utiliza una URL para dirigir a un cliente de un recurso vlido a uno malicioso que pudiera aparecer como el sitio que valida al usuario. Escalamiento de privilegios: Este es el proceso de tomar un cierto nivel de acceso (ya sea autorizado o no). Un ejemplo es cuando un atacante logra acceder al modo de usuario a un router y luego utiliza un ataque de fuerza bruta atentado contra el router, para determinar cul es el password del modo protegido del router para realizar modificaciones en la configuracin de este. Back doors o puertas traseras: Por lo regular cuando un atacante logra tener acceso a un sistema, este desea poder seguir entrando sin ser detectado, por esa razn los atacantes instalan aplicaciones que ya sea permitan el acceso futuro o que recopilen informacin para su uso en nuevos ataques.
Los ataques informticos ms comunes son los referentes a: Reconocimiento: Es el descubrimiento y la asignacin no autorizados de sistemas, servicios o vulnerabilidades. Tambin se 11
conoce como recopilacin de informacin y en la mayora de los casos, precede a otro tipo de ataque. Acceso: El acceso a los sistemas es la capacidad de un intruso de obtener acceso a un dispositivo respecto del cual no tiene cuenta ni contrasea. Denegacin de servicios (DoS): Se lleva a cabo cuando un agresor desactiva o daa redes, sistemas o servicios, con el propsito de denegar servicios a los usuarios a quienes estn dirigidos. Los ataques de DoS incluyen colapsar el sistema o desacelerarlo hasta el punto en que queda inutilizable. Cdigos maliciosos: Las principales vulnerabilidades de los usuarios finales son los ataques de gusanos, virus y caballos de Troya.
Tipos de ataques informticos ms comunes (Stallings, 2009)
Actividad 1. Seguridad en la red

Bienvenido(a) a la primer actividad de la tercera unidad! Como recomendacin general y para realizar la mayora de las actividades de esta asignatura, ten siempre en cuenta (antes, durante y despus) las recomendaciones de tu Facilitador(a). Esta actividad es colaborativa y tiene como propsito que identifiques las diferentes amenazas a las que una red est expuesta, y cules podran ser las medidas de prevencin que se aplicaran a cada una de estas amenazas. 1. Ingresa al foro de la actividad, participa sobre el tema de acuerdo con la pregunta o situacin que inicie tu Facilitador(a), para que as puedas realizar tus aportaciones.
12
2. En lo posible participa retroalimentando a mnimo dos de tus compaeros(as). 3. Espera el cierre de los aportes con la conclusin de tu Facilitador(a). *Revisa los criterios de evaluacin de la actividad.
3.2. Seguridad para routers

Los esquemas de seguridad en los routers son un elemento bsico y que adems sirven para el diseo de toda red, ya que sin stos no se tendr una red segura. Comnmente los routers son objetos de ataques por parte de los agresores de la red, ya que tratan de obtener acceso al router, para convertirlo en una ayuda potencial para sus ataques, por lo que conocer las funciones que cumplen los routers en la red ayudar a determinar cules pueden ser las vulnerabilidades que los routers pueden tener y as evitarlas. De acuerdo a Baker (2012), los routers cumplen las siguientes funciones: Publicar las redes y filtrar a quienes pueden utilizarlas. Proporcionar acceso a los segmentos de las redes y a las subredes. Debido a que los routers son la pasarela a otras redes, estn sujetos a una diversidad de ataques como pueden ser: Comprometer el control de acceso al router, esto permite exponer los detalles de configuracin de la red y as se facilitan los ataques contra otros componentes de la red. Si las tablas de enrutamiento son comprometidas, se puede afectar el rendimiento de la red, realizar ataques de DoS y exponer informacin confidencial. Una mala configuracin de una lista de acceso controlado (ACL) puede exponer los componentes internos de la red a escaneos y ataques, lo que ayuda a los agresores a evitar su deteccin. Los agresores pueden comprometer a los routers de diferentes maneras, de modo que no hay un enfoque que los administradores puedan utilizar para combatirlos.
3.2.1. Aspectos de seguridad para ruteadores

El primer paso para proteger una red, se basa en la proteccin de los routers que se encuentran dentro de la red. Dicha seguridad de los routers se basa en: Seguridad fsica 13
Seguridad y actualizacin del IOS de los routers Configuracin y respaldo del IOS de los routers Administracin de los puertos y servicios no utilizados
Una forma de proporcionar seguridad fsica a los routers es ubicarlos en un cuarto cerrado con llave, al que solo el personal autorizado tenga acceso. Asimismo, dicho cuarto no debe tener interferencia electrosttica, ni magntica y debe tener controles de temperatura y humedad. Para disminuir la posibilidad de denegacin de servicio a causa de una falla de alimentacin elctrica se debe de instalar una fuente de energa ininterrumpible. Con base en lo anterior los dispositivos fsicos deben permanecer en poder (resguardo) de una persona de confianza para que no se vean comprometidos. Un dispositivo que se deja al aire libre podra tener troyanos o algn otro tipo de archivo ejecutable almacenado en l (Baker, 2012). Es necesario proveer al router de la mxima cantidad de memoria posible. La disponibilidad de memoria puede servir como proteccin contra algunos ataques DoS, mientras que admite la gama ms amplia de servicios de seguridad. Las caractersticas de seguridad de un sistema operativo evolucionan con el tiempo. Sin embargo, la ltima versin de un sistema operativo puede no ser la versin ms estable disponible. Para obtener el mejor rendimiento de la seguridad de su sistema operativo, utilice la versin estable ms reciente que cumpla los requisitos de las caractersticas de su red. Es de vital importancia tener siempre una copia de seguridad de una configuracin y el IOS a mano para el caso de que se produzca una falla en un router. Tambin hay que mantener una copia segura de la imagen del sistema operativo del router y del archivo de configuracin del router en un servidor TFTP como respaldo (Baker, 2012). De tal manera que hay que asegurar el router para hacerlo tan seguro como sea posible. Un router tiene muchos servicios activados de forma predeterminada. Muchos de estos servicios son innecesarios y pueden ser utilizados por un agresor para compilar o explotar informacin. As que asegura la configuracin del router mediante la desactivacin de los servicios innecesarios.
14
Seguridad Fsica Ubicacin de router en un Site seguro Instalacin de U.P.S. Operacin de Seguridad de Sistemas Utiliza las ltima versin estable que reune los requisitos de la red Mantiene una copia del Sistema Operativo y sus respectivos archivos de configuracin
Seguridad en los routers (Baker, 2012)
Fortalecimiento del Router Administracin segura de Accesos Deshabilitar puertos e interfaces sin uso Deshabilitar servicios innecesarios.
Pasos para proteger un router Realizar una buena administracin en la seguridad del router (claves de usuario, passwords, puertos, etc.) Limitar el acceso remoto a la administracin del router Realizar y supervisar las actividades del router Generar esquemas de proteccin para las interfaces y puertos del router, para que no se puedan realizar conexiones a estos no permitidas Medidas de seguridad en el uso de protocolos de enrutamiento Control y filtrado de accesos por medio de ACL
15
(Cisco, Gua del segundo ao CCNA 3 y 4, 2008)
Seguridad bsica del router

La seguridad bsica de los routers se basa en la configuracin de contraseas slidas como un elemento fundamental para controlar los accesos seguros al router. Las buenas prcticas definen que las contraseas solidas deben de basarse en los siguientes puntos (Baker, 2012): No escribir las contraseas ni dejarlas en lugares obvios Evitar el uso de palabras del diccionario que provocan que las contraseas sean vulnerables a los ataques Combinar letras, nmeros y smbolos. Incluir, por lo menos, una letra minscula, una letra mayscula, un dgito y un carcter especial Crear contraseas largas. La mejor prctica es tener, como mnimo, ocho caracteres Las contraseas en todos los routers no son cifradas por el sistema operativo o IOS, por lo cual si se usa el comando enable password o el comando username username password password estas contraseas se mostraran al observar la configuracin en ejecucin. Por esta razn, debes encriptar las contraseas para lo cual el sistema operativo o IOS tiene dos opciones para proteger las contraseas (Baker, 2012): Encriptacin simple o de tipo 7. La cual usa un algoritmo de encriptacin que oculta la contrasea mediante encriptacin simple. Encriptacin compleja, o de tipo 5. El cual usa un hash MD5 que provee ms seguridad. Encriptacin simple o de tipo 7 La encriptacin tipo 7 puede ser utilizada por los comandos enable password, username y line password, sin embargo no ofrece gran proteccin, ya que slo oculta la contrasea utilizando un algoritmo de encriptacin simple. Para encriptar con este mtodo se debe de utilizar el comando service passwordencryption como se lo muestra en la siguiente tabla y as evitar que las contraseas aparezcan en la pantalla.
16
Encriptacin compleja, o de tipo 5 La encriptacin del tipo 5 se configura al reemplazando la palabra password por secret, lo cual permitir proteger el nivel privilegiado en el router (EXEC), en este mtodo debemos asegurarnos que la contrasea secreta sea nica y no coincida con ninguna otra. Un router siempre utiliza la contrasea secreta antes que la contrasea de enable, por lo que nunca se debe de configurar el comando enable password nunca se debe configurar, ya que puede revelar la contrasea del sistema.
Ejemplo de Seguridad en los routers: encriptacin de claves de usuario

Sin Encriptacin El utilizar los comandos enable password o username username password password las contraseas se despliegan al desplegar la configuracin del router. Esto ocurre porque el indicador 0 denota que la contrasea no ser ocultada. UnADM1(config)# username Student password unadm123 UnADM1 (config)# do show run | include username username Student password 0 unadm123 UnADM1 (config)#
Con Encriptacin tipo 7 Para encriptar contraseas mediante la encriptacin se utiliza el comando service password-encryption con el cual las contraseas que aparecen en la pantalla no son legibles.
UnADM1 (config)# service passwordencryption UnADM1 (config)# do show run | include username username Student password 7 03075218050061 UnADM1 (config)#
Con Encriptacin tipo 5 La encriptacin tipo 5 se configura reemplazando la
UnADM1 (config)# username Student secret unadm UnADM1 (config)# do show run | include username username Student secret 5
17
palabra password por secret. $1$z245$lVSTJzuYgdQDJiacwP2Tv/ UnADM1 (config)#
3.2.1. Servicios de red y administracin

Cuando se administra una red es necesario conectarse a un router de manera ya sea local o remota. Si se realiza de manera local, esto se har a travs del puerto de la consola, porque es seguro. Sin embargo, cuando la red comienza a crecer aumenta la cantidad de routers y switches en la red, y la administracin de manera local deja de ser una opcin por lo que el acceso administrativo remoto se convierte en la opcin de administracin ms comn. Pero si la administracin remota no se realiza con un modelo de seguridad, un agresor podra recopilar informacin confidencial valiosa. Por lo cual si se desea tener un acceso remoto, las opciones son las siguientes: Crear una red de administracin dedicada que incluya slo hosts de administracin identificados y conexiones a dispositivos de infraestructura. Esto se logra si se utilizan VLAN de administracin u otras redes fsicas a la cual se deben conectar los dispositivos. Encriptar todo el trfico entre la computadora del administrador y el router configurando un filtro de paquetes que permita que solamente el protocolo y los hosts de administracin tengan acceso al router.
Administracin remota usando Telnet El implementar el acceso remoto mediante Telnet es muy inseguro porque Telnet enva todo el trfico de la red en forma de texto sin cifrar y alguien podra capturar el trfico de la red y descubrir las contraseas del administrador o la informacin de configuracin del router. Por lo cual el acceso debe ser configurado con mayores precauciones de seguridad, protegiendo las lneas administrativas (VTY, AUX), y posteriormente configurar el dispositivo de red para que encripte el trfico en un tnel SSH. El acceso remoto se aplica a las lneas VTY, TTY y al puerto auxiliar (AUX) del router, y aunque las lneas de TTY proporcionan acceso al router por medio de un mdem y son menos comunes, aun existen en algunas instalaciones que los utilizan, razn por la cual es importante proteger estos enlaces ms que los puertos de la terminal local. Esto se logra mediante la configuracin del router con los comandos login y no password que es la configuracin predeterminada de los VTY, pero no de los TTY ni del puerto AUX. Por lo tanto, si estas lneas no son exigidas, debes de asegurarte de que estn configuradas con la combinacin de comandos login y no password. Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 18
Todas las lneas de VTY estn configuradas de manera predeterminada para aceptar cualquier tipo de conexin remota. Por lo cual se deben configurar para aceptar conexiones slo con los protocolos realmente necesarios. Esto se realiza con el comando transport input. Otra tctica til es configurar los tiempos de espera de los VTY mediante el comando exec-timeout. Esto impide que una sesin inactiva consuma el VTY en forma indefinida. Esto proporciona proteccin contra las sesiones inactivas. Otra opcin es la activacin de los mensajes de actividad de TCP en las conexiones entrantes mediante el comando service tcp-keepalives-in para resguardarse de los ataques maliciosos y de las sesiones prdidas provocadas por colapsos del sistema remoto.
Ejemplo de Seguridad en los routers: administracin remota usando Telnet y configurando las conexiones y VTY
Sin Conexin Las conexiones se pueden evitar por completo en cualquier lnea mediante la configuracin del router con los comandos login y no password UnADM1(config)# line aux 0 UnADM1 (config-line)# no password UnADM1 (config-line)# password % login disable in line 65, until password set UnADM1 (config-line)# exit UnADM1 (config)#
Control de acceso con VTY Todas las lneas de VTY se deben configurar para aceptar conexiones slo con los protocolos necesarios utilizando el comando transport input. En este ejemplo, un VTY debe recibir slo sesiones de Telnet usando transport input telnet
UnADM1(config)# line vty 0 4 UnADM1 (config-line)# no transport input UnADM1 (config-line)# transport input telnet UnADM1 (config-line)# exit UnADM1 (config)#
Control con VTY seguro El comando exec-timeout. impide que una sesin inactiva consuma el VTY en forma
UnADM1(config)# line vty 0 4 UnADM1 (config-line)# exec-timeout 3 UnADM1 (config-line)# exit
19
indefinida. Y el comando service UnADM1 (config)# service tcp-keepalives-in tcp-keepalives-in permite resguardarse de los ataques maliciosos y de sesiones perdidas
Actividad 2. Configuracin de router seguro

El propsito de esta actividad es que basndose en un caso de estudio y utilizando un simulador de redes, apliques las configuraciones de seguridad necesarias que deben tener los routers para prevenir amenazas en las redes WAN. 1. Lee caso anexo proporcionado por tu Facilitador(a). 2. Utiliza el simulador de redes recomendado por tu Facilitador(a) y con base en el caso anexo crea la topologa y los enlaces solicitados 3. Realiza las capturas de pantalla de las configuraciones que se hayan realizado por medio de la consola. 4. Guarda la configuracin de la topologa en un archivo llamado A2XXYYZ. 5. En un documento guarda tu propuesta de resolucin al caso con un informe escrito e incluye los elementos adicionales (capturas de pantalla) que te solicite tu Facilitador(a) y que la complementen. 6. Incluye los dos archivos en una carpeta y comprmela .ZIP, considera la nomenclatura KORE_U3_A2_XXYYZ. 7. Enva la carpeta y espera la retroalimentacin de tu Facilitador(a). *Revisa los criterios de evaluacin para la actividad.
3.3. Listas de Acceso Controlado (ACL)

Una de las capacidades ms importantes que un administrador de red necesita es el dominio de las listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el trfico o permitir slo el trfico especfico y, al mismo tiempo, para detener el resto del trfico en sus redes.
20
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior que brindan una manera poderosa de controlar el trfico de entrada o de salida de la red. Y la razn ms importante para configurar las ACL es brindar seguridad a la red. En esta unidad se explica cmo utilizar las ACL como medida de seguridad.
3.3.1. Qu son las ACL

Las ACL permiten controlar el trfico de entrada y de salida de la red. Este control puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se utiliza. Al realizar esta funcin las ACL realizan la accin de filtrado de paquetes, que es el controlar el acceso a la red, al analizar los paquetes de entrada y de salida, y permitiendo o bloqueando su ingreso segn un criterio establecido. Los routers actan como filtro de paquetes cuando las ACL permiten el reenvo o deniegan paquetes segn las reglas de filtrado. Cuando un paquete llega al router, la ACL obliga a extraer determinada informacin del encabezado del paquete y toma decisiones segn las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetes acta en la capa de red del modelo de interconexin de sistema abierto (OSI, Open Systems Interconnection) o en la capa Internet de TCP/IP.
El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla el acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso segn un criterio establecido.
21
Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration
Companion Guide, 2008)
Como dispositivo de Capa 3, un router utiliza las direcciones IP de origen y de destino; el puerto origen y el puerto destino; y el protocolo del paquete para determinar la autorizacin o denegacin del trfico. Estas reglas se definen mediante las listas de control de acceso o ACL. Las ACL extraen la siguiente informacin del encabezado del paquete, y la evala con las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios (Accessing the WAN, CCNA Exploration Companion Guide, 2008): Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de las reglas. La informacin de las capas superiores incluye: Puerto TCP/UDP de origen Puerto TCP/UDP de destino De manera predeterminada, un router no tiene ninguna ACL y, por lo tanto, no filtra el trfico. El trfico que ingresa al router es enrutado segn la tabla de enrutamiento. Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarse a travs del router lo atraviesan hacia el prximo segmento de la red.
22
Ejemplo de Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
A continuacin, te presento las pautas para el uso de las: Utiliza las ACL en routers firewall entre su red interna y su red externa, como Internet Utiliza las ACL en un router situado entre dos partes de la red a fin de controlar el trfico que entra o sale de una parte especfica de su red interna Configura las ACL en routers de borde situados en los extremos de la red. Esto proporciona un bfer muy bsico desde la red externa, o entre un rea menos controlada y un rea ms sensible de su red. Configura las ACL para cada protocolo de red configurado en las interfaces del router de borde. Puede configurar las ACL en una interfaz para filtrar el trfico. Existe una regla que permite determinar cmo configurar una ACL por protocolo, por direccin y por interfaz ACL por protocolo: Controla el flujo de trfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. ACL por direccin: Controlan el trfico en una direccin a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y saliente. ACL por interfaz: Controlan el trfico para una interfaz.
23
Las ACL realizan las siguientes tareas (Accessing the WAN, CCNA Exploration Companion Guide, 2008): Limitan el trfico de red para mejorar el rendimiento de sta Brindan control de flujo de trfico. Las ACL pueden restringir el envo de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda Proporcionan un nivel bsico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea Deciden qu tipos de trfico enviar o bloquear en las interfaces del router Controlan las reas de la red a las que puede acceder un cliente Analizan los hosts para permitir o denegar su acceso a los servicios de red. Las ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP o HTTP
ACL de entrada. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
24
ACL de salida. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
Existen 2 tipos de ACL, las estndar y las extendidas. Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. Utilizan la sentencia "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global. Las ACL extendidas filtran los paquetes IP en funcin de varios atributos. Las ACL extendidas se crean en el modo de configuracin global.
3.3.2. Configuracin estndar ACL

La ACL estndar es una coleccin secuencial de condiciones de permiso o denegacin que aplican a las direcciones IP. No se incluyen el destino del paquete ni los puertos involucrados. Las tareas principales involucradas al utilizar las ACL son (Accessing the WAN, CCNA Exploration Companion Guide, 2008): Crear una lista de acceso que especifique un nmero o nombre de lista de acceso y las condiciones de acceso Aplicar la ACL a las interfaces o lneas de terminal
25
Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son: Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red Como las ACL estndar no especifican las direcciones de destino, colcalas lo ms cerca del destino posible ACL numeradas Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes ms pequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no informa el propsito de la ACL.
Una ACL estndar filtra trfico con base en la direccin IP origen de los paquetes. Estas ACL se crean en modo de configuracin global con el comando access-list seguido de un nmero de 1 a 99 o de 1300 a 1999, stos rangos identifican que tipo de ACL es si estndar o extendida. Las ACL pueden nombrarse. (Accessing the WAN, CCNA Exploration Companion Guide, 2008) ACL Denominada ACL numeradas Se asigna un nmero en funcin del protocolo que se desea filtrar. Para ACL IP estndar del 1 al 99 y del 1300 al 1999 Para ACL IP extendidas del 100 al 199 y del 2000 al 2699 Se le asigna un nombre a la ACL que debe cumplir con los siguientes requisitos: El nombre puede tener caracteres alfanumricos Se debe de escribir con maysculas No deben contener signos, ni espacios, y deben comenzar con una letra
Como puedes ver en la tabla anterior los nmeros de las ACL pasan del 200 al 1299, porque esos nmeros son utilizados por otros protocolos que no son parte de IP. Configuracin de las ACL estndar Para configurar las ACL estndar numeradas en un router se debe crear la ACL estndar y, luego, activarla en una interfaz. El comando de configuracin global access-list define una ACL estndar con un nmero entre 1 y 99. 26
La sintaxis completa del comando ACL estndar es:
Router(config)#access-list nmero-de-lista-de-acceso deny permit remark origen [wildcard origen] [log]
Por ejemplo, para crear una ACL numerada nombrada 20 que permita la red 192.168.100.0 /24 se debe de configurar el router de la siguiente manera:
Unadm1(config)# access-list 20 permit 192.168.100.0
Si deseas eliminar una ACL utiliza el comando no access-list, y el comando show access-list confirma que la lista de acceso ha sido eliminada. Mscaras wildcard Las sentencias de las ACL incluyen mscaras, tambin denominadas wildcard que es una secuencia de dgitos binarios que le indican al router qu partes del nmero de subred observar. Las mscaras wildcard tienen una longitud de 32 bits y utilizan unos y ceros binarios para filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos segn la direccin IP. Al configurar cuidadosamente las mscaras wildcard, puede permitir o denegar una o varias direcciones IP. Las mscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros binarios: Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin Trabajar con representaciones de bits binarios puede ser una tarea muy tediosa. Para simplificarla, las palabras clave host y any ayudan a identificar los usos ms comunes de las mscaras wildcard. Con estas palabras clave no necesitas ingresar las mscaras wildcard al identificar un host o red especficos. La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos los bits de direcciones IP deben coincidir o que slo un host coincide.
27
La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta mscara indica que debe ignorarse toda la direccin IP o que deben aceptarse todas las direcciones. En el ejemplo, en lugar de ingresar 192.168.10.10 0.0.0.0, puedes utilizar host 192.168.10.10. Y en lugar de ingresar 0.0.0.0 255.255.255.255, puedes usar la palabra any.
R1(config)# accesslist 1 permit 192.168.10.0 0.0.0.255 R1 (config)#interface S0/0/0 R1 (config-if)#ip access-group 1 out
Ejemplo de ACL estndar que permite solo el trfico de mi red. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
Ejemplo de ACL estndar que deniega solo el trfico de un host especifico. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
R1(config)# no accesslist 1 R1(config)# accesslist 1 deny 192.168.10.10 0.0.0.0 R1(config)# accesslist 1 permit 192.168.10.0 0.0.0.255 R1 (config)#interface S0/0/0 R1 (config-if)#ip access-group 1 out
28
Vinculacin y configuracin de las ACL estandar Luego de configurar una ACL estndar, se la vincula a una interfaz con el comando ip access-group
Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out}
Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y luego el comando global no access-list para eliminar toda la ACL. Los pasos para nombrar una ACL son: Desde el modo de configuracin global, usa el comando ip access-list para crear una ACL nombrada. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben comenzar con un nmero. Desde el modo de configuracin de una ACL nombrada, usa las sentencias permit o deny para especificar una o ms condiciones que determinen si se enva o descarta un paquete. Regresa al modo EXEC privilegiado con el comando end.
Ejemplo configuracin de ACL estndar

ACL Estndar numerada Para configurar las ACL estndar numerada, primero debe crearse la ACL estndar y, luego, activarla en una interfaz. El comando de configuracin global access-list define una ACL estndar con un nmero entre 1 y 99.
UnADM1(config)# access-list 10 permit 192.168.10.0 UnADM1 (config)#interface serial 0/0/1 UnADM1 (config-if)#ip access-group 10 in UnADM1 (config-if)#end UnADM1#copy run start
ACL Estndar denominada En el modo de configuracin global, se crea una ACL nombrada estndar denominada STND-1, En el modo de configuracin de ACL estndar, agrega una sentencia que
UnADM1(config)# ip access-list standard STND-1 UnADM1(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log
29
deniegue cualquier paquete con una direccin de origen de 192.168.11.0 /24 e imprime un mensaje a la consola por cada paquete coincidente con el comando log. Permitamos todo el trfico restante con la opcin permit any Da de alta la ACL STND-1 como filtro en los paquetes que ingresan a UnADM1 a travs de la interfaz serial 0/0/1. UnADM1(config-std-nacl)#permit any UnADM1 (config)#interface serial 0/0/1 UnADM1 (config-if)#ip access-group STND-1 in UnADM1 (config-if)#end UnADM1#copy run start
3.3.3. Configuraciones extendidas y complejas

Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque proporcionan un mayor control y, por lo tanto, complementan su solucin de seguridad. Al igual que las ACL estndar, las extendidas verifican la direccin de origen del paquete, pero tambin verifican la direccin de destino, los protocolos y los nmeros de puerto (o servicios). Esto ofrece un criterio ms amplio sobre el cual fundamentar la ACL. Por ejemplo, una ACL extendida puede permitir de manera simultnea el trfico de correo electrnico de una red a un destino especfico y, a la vez, denegar la transferencia de archivos y la navegacin Web. Su numeracin va del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. (Accessing the WAN, CCNA Exploration Companion Guide, 2008). Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL estndar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la sintaxis y los parmetros del comando tienen ms complejidades para admitir las funciones adicionales de las ACL extendidas. Puede crear ACL extendidas nombradas bsicamente de la misma manera que crea las ACL estndar nombradas. Los comandos para crear una ACL nombrada son diferentes segn si es estndar o extendida. Desde el modo EXEC privilegiado, sigue estos pasos para crear una ACL extendida con nombres. Desde el modo de configuracin global, usa el comando ip access-list extended nombre para definir una ACL extendida nombrada.
30
En el modo de configuracin de ACL nombrada, especifique las condiciones que desea permitir o denegar. Regrese al modo EXEC privilegiado y verifique su ACL con el comando show accesslists [nmero | nombre]. Como opcin y paso recomendado, guarde sus entradas en el archivo de configuracin con el comando copy running-config startup-config.
Para eliminar una ACL extendida nombrada, use el comando de configuracin global no ip access-list extended nombre.
R1(config)# accesslist 103 permit tcp 192.168.10.0 0.0.0.255 Any eq 80 R1(config)# accesslist 103 permit tcp 192.168.10.0 0.0.0.255 Any eq 443
Ejemplo de ACL extendida que restringir el acceso a Internet para permitir slo la navegacin Web, donde la ACL 103 permite acceso a los puertos 80 y 443, (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
Ejemplo configuracin de ACL extendida

Se desea permitir El trfico HTTP entrante a la interfaz S0/0/0. UnADM1(config)# access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80 UnADM1 (config)#interface serial 0/0/1 UnADM1 (config-if)#ip access-group 103 in UnADM1 (config-if)#end UnADM1#copy run start
Ahora se desea denegar el trfico FTP desde una subred hacia otra subred pero permitir
UnADM1(config)# access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 any eq 20
31
todo el otro trfico. Se usara "deny all" y como FTP requiere los puertos 20 y 21, se especificara eq 20 y eq 21 para denegar FTP.
UnADM1(config)# access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 any eq 21 UnADM1(config)# access-list 101 permit ip any any UnADM1 (config)#interface Fa0/1 UnADM1 (config-if)#ip access-group 101 in UnADM1 (config-if)#end UnADM1#copy run start
ACL Dinmicas El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza ACL dinmicas, a veces denominadas ACL de bloqueo. Est disponible slo para trfico IP. Las ACL dinmicas dependen de la conectividad Telnet, de la autenticacin (local o remota) y de las ACL extendidas. La configuracin de las ACL dinmicas comienza con la aplicacin de una ACL extendida para bloquear trfico que atraviesa de router. Los usuarios que deseen atravesar el router son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. En ese momento, se interrumpe la conexin a Telnet, y se agrega una ACL dinmica de nica entrada a la ACL extendida existente. Esta entrada permite el trfico por un perodo determinado; es posible que se produzcan errores por inactividad y superacin del tiempo de espera. Las siguientes son algunas razones comunes para utilizar ACL dinmicas: Cuando desea un usuario remoto o grupo de usuarios remotos especfico para acceder al host dentro de la red, conectndose desde sus hosts remotos a travs de Internet. El bloqueo autentica al usuario y luego permite el acceso limitado a travs de su router firewall para un host o subred por un perodo limitado. Cuando desea que un subconjunto de hosts de una red local acceda a un host de una red remota protegida por un firewall. Con el bloqueo, puede permitir el acceso al host remoto slo a los conjuntos de hosts locales que desee. El bloqueo requiere que los usuarios se autentiquen a travs de AAA, servidor TACACS+ u otro servidor de seguridad, antes de que permita a sus hosts el acceso a los hosts remotos. Las ACL dinmicas tienen los siguientes beneficios de seguridad comparadas con las ACL estndar y estticas extendidas: Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 32
Uso de un mecanismo de desafo para autenticar los usuarios individuales Administracin simplificada en internetworks ms grandes En muchos casos, reduccin de la cantidad de procesamiento de un router necesario para las ACL Reduccin de la oportunidad de intromisiones a la red por parte de piratas informticos Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas
Ejemplo de ACL dinmica. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
1. Permitir establecer una conexin Telnet con el router con una ACL dinmica que permite la conexin durante 15 minutos y despus se cierra automticamente sin importar si est en uso o no. 2. Se da de alta la ACL en la interface 3. Cuando se realice la autentificacin con telnet, se ejecutara el comando autocommand y si se detectan 5 minutos de inactividad se cerrar la sesin
R3(config)# username Unadm password Unadm123 R3(config)# access-list 101 permit any host 10.2.2.2 eq telnet R3(config)# access-list 101 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 R3(config)# interface serial 0/0/1 R3(config-if)# ip access-group 101 in R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)#autocommand accessenable host timeout 5
33
ACL reflexivas Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor control del trfico que se permite ingresar a la red e incrementa las capacidades de las listas de acceso extendidas. Los administradores de red utilizan las ACL reflexivas para permitir el trfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan fuera de la red. Estas ACL permiten que el router administre el trfico de sesin en forma dinmica. El router examina el trfico saliente y, cuando ve una conexin, agrega una entrada a una ACL temporal para permitir la devolucin de respuestas. Las ACL reflexivas contienen slo entradas temporales. Estas entradas se crean automticamente cuando se inicia una nueva sesin IP (con un paquete saliente, por ejemplo) y las entradas se eliminan automticamente cuando finaliza la sesin. Las ACL reflexivas proporcionan una forma ms exacta de filtrado de sesin que una ACL extendida que utiliza el parmetro established presentado anteriormente. Si bien son similares en cuanto al concepto del parmetro established, las ACL reflexivas tambin funcionan para UDP e ICMP, que no tienen bits ACK ni RST. La opcin established tampoco funciona con aplicaciones que alteran de forma dinmica el puerto de origen para el trfico de sesin. La sentencia permite established slo verifica los bits ACK y RST, no la direccin de origen ni la de destino. Las ACL reflexivas no se aplican directamente a una interfaz, estn "anidadas" dentro de una ACL IP extendida nombrada que se aplica a la interfaz. Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas. No pueden definirse con ACL numeradas ni estndar nombradas ni con otras ACL protocolo. Las ACL reflexivas pueden utilizarse con otras ACL estndar y extendidas estticas. Las ACL reflexivas tienen los siguientes beneficios: Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall. Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de denegacin de servicios. Las ACL reflexivas son mucho ms resistentes a los ataques de suplantacin de identidad porque deben coincidir ms criterios de filtro antes de dejar ingresar un paquete. Por ejemplo, se verifican las direcciones de origen y de destino y los nmeros de puerto, no solamente los bits ACK y RST. Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor control de los paquetes que ingresan a la red.
34
Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor control del trfico que se permite ingresar a la red e incrementa las capacidades de las listas de acceso extendidas.
ACL reflexive. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
ACL basadas en el tiempo La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero admite control de acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe crear un rango horario que defina la hora especfica del da y la semana. Debe identificar el rango de tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las restricciones temporales son impuestas en la misma funcin. Las ACL basadas en el tiempo tienen muchos beneficios: Ofrecen al administrador de red ms control de los permisos y denegaciones de acceso a los recursos. Permiten a los administradores de red controlar los mensajes de registro. Las entradas de las ACL pueden registrar el trfico en determinados momentos del da, pero no de forma permanente. De esta manera, los administradores pueden simplemente denegar el acceso, sin tener que analizar los diferentes registros que se generan durante las horas pico.
35
ACL basada en el tiempo. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero admite control de acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe crear un rango horario que defina la hora especfica del da y la semana. Debe identificar el rango de tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las restricciones temporales son impuestas en la misma funcin.
Actividad 3. ACL
El propsito de esta actividad es que basndose en un caso de estudio y utilizando el simulador de redes apliques las ACL en el diseo de una WAN para prevenir ataques de seguridad de la red. 1. Lee detenidamente las instrucciones y el caso presentado por tu Facilitador(a). 2. Utiliza el simulador de redes y con base al caso, crea la topologa y los enlaces solicitados en simulador. 3. Realiza las capturas de pantalla de cada configuracin que hayas realizado por medio de la consola e inclyelas en el documento de texto. 4. Guarda las respuestas de la actividad en un documento y guarda tambin la configuracin de la topologa en un archivo llamado A3_XXYYZ.
36
5. Comprime ambos archivos en una carpeta .ZIP con la nomenclatura KORE_U3_A3_XXYYZ. 6. Enva tu archivo y espera la retroalimentacin del Facilitador(a). *Revisa los criterios de evaluacin de la actividad.
Autoevaluacin
En los temas expuestos en esta tercera unidad, has estudiado de manera general cmo se realiza la seguridad en la red. Mismos que han aportado los elementos esenciales para tu aprendizaje y as asegurar el anlisis de stos desde tu autoaprendizaje. 1. Ingresa en el aula y selecciona la autoevaluacin de la Unidad 3. 2. Lee cuidadosamente las instrucciones para que respondas adecuadamente. 3. Verifica tus respuestas y en los casos necesarios repasa los temas que necesites fortalecer. El estudio de estos temas te permitir dominar y acercarte de manera ms fcil a los temas de sta y otras asignaturas, adems de enriquecer aspectos que complementarn tu formacin profesional.
Evidencia de aprendizaje. Seguridad y diseo de una WAN

Esta actividad realizars el diseo de una WAN y configurars las ACL requeridas utilizando un simulador de redes. Para comenzar sigue las indicaciones de tu Facilitador(a): 1. Lee detenidamente las instrucciones del documento anexo. 2. Utiliza el simulador de redes. 3. Crea el diagrama de la topologa correspondiente al caso de la evidencia y configura los dispositivos como se solicita.
37
3. Guarda tu trabajo en un archivo de configuracin con el nombre: KORE_U3_EA_XXYYZ. Recuerda que debe de ir comprimido .ZIP. 4. Enva tu actividad al portafolio de evidencias y aguarda la retroalimentacin de tu Facilitador(a), atiende sus comentarios y de solicitarlo enva una segunda versin de tu evidencia. *Revisa los criterios de evaluacin para esta Evidencia.
Autorreflexin
Al terminar la Evidencia de aprendizaje es muy importante que realices tu Autorreflexin. Para ello, Ingresa al foro de Preguntas de Autorreflexin y a partir de las preguntas presentadas por tu Facilitador(a), elabora tu ejercicio y sbelo en la seccin Autorreflexiones.
Cierre de la unidad
En esta unidad has analizado las amenazas que pueden atacar a nuestra red, tanto internas como del externas, y como protegerse de estas amenazas. Los ataques a las contraseas son fciles de iniciar, pero tambin fciles de defender. Las tcticas de la ingeniera social requieren que los usuarios desarrollen un grado de desconfianza y de cuidado, ya que cuando un agresor obtiene acceso a una red, puede tener acceso a casi toda la informacin y servicios que sta proporcione. Los agresores pueden lanzar ataques de DoS que inutilicen a la red. Los gusanos, virus y caballos de Troya pueden infectar a los dispositivos. Un punto clave en la proteccin de una red es el proteger los routers, que son la puerta de entrada hacia el interior de la red y son objetivos obvios. Las tareas administrativas bsicas como buena seguridad fsica, que abarque mantener el IOS actualizado y realizar una copia de seguridad de los archivos de configuracin son un comienzo en el esquema de seguridad. Tambin en esta unidad se aprendiste que las ACL ayudan en el filtrado de paquetes para controlar si un router permite o deniega el ingreso de paquetes, segn el criterio ubicado en el encabezado del paquete. Las ACL tambin se utilizan para seleccionar los
38
tipos de trfico por analizar, reenviar o procesar de otras maneras, se presentaron los distintos tipos de ACL: estndar, extendidas, nombradas y numeradas.
Para saber ms
Te invito a visitar el sitio que est en el enlace al final del prrafo, donde podrs consultar ms sobre las ACL. http://cesarcabrera.info/blog/leccion-sobre-listas-de-acceso-acls/
Fuentes de consulta
Bibliografa bsica Cisco (2008). Accessing the WAN, CCNA Exploration Companion Guide. 1 Edicin. Estados Unidos: Cisco Press. Cisco (2008). Gua del segundo ao CCNA 3 y 4. 3 Edicin. Espaa: CISCO Press. Baker, K.; Morris, S. (2012). CCNA Security 640-554 Official Cert Guide. 1 Edicin. Estados Unidos: Cisco Press.
Bibliografa complementaria Santos, O. (2007). End-to-End Network Security: Defense-in-Depth. 1 Edicin. Estados Unidos: Cisco Press. Stallings, W. (2009). Network Security Essentials. 4 Edicin. Estados Unidos: Prentice Hall. Tanembaum, A. (2010). Redes de Computadoras. 5 Edicin. Mxico: Prentice Hall. Fuentes electrnicas Cisco (2012). Introduction to WAN Technologies. Consultado en: http://docwiki.cisco.com/wiki/Introduction_to_WAN_Technologies. ISBN 978-1587204463
39

Unidad 3. Seguridad de La Red

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad 3. Seguridad de La Red

Uploaded by

Copyright:

Available Formats

Optimizacin de redes

Unidad 3. Seguridad de la red

Unidad 3. Seguridad de la Red

Universidad Abierta y a Distancia de Mxico

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

3.1. Seguridad de la Red

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

3.1.1. Conceptos de Seguridad de la red

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Debilidades en las polticas de seguridad

3.1.2. Tipos de amenazas

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Tipos de ataques informticos ms comunes (Stallings, 2009)

Actividad 1. Seguridad en la red

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

3.2. Seguridad para routers

3.2.1. Aspectos de seguridad para ruteadores

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Seguridad bsica del router

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ejemplo de Seguridad en los routers: encriptacin de claves de usuario

Con Encriptacin tipo 5 La encriptacin tipo 5 se configura reemplazando la

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

3.2.1. Servicios de red y administracin

UnADM1(config)# line vty 0 4 UnADM1 (config-line)# exec-timeout 3 UnADM1 (config-line)# exit

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Actividad 2. Configuracin de router seguro

3.3. Listas de Acceso Controlado (ACL)

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

3.3.1. Qu son las ACL

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

3.3.2. Configuracin estndar ACL

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

La sintaxis completa del comando ACL estndar es:

Router(config)#access-list nmero-de-lista-de-acceso deny permit remark origen [wildcard origen] [log]

Unadm1(config)# access-list 20 permit 192.168.100.0

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ejemplo configuracin de ACL estndar

UnADM1(config)# ip access-list standard STND-1 UnADM1(config-std-nacl)#deny 192.168.11.0 0.0.0.255 log

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

3.3.3. Configuraciones extendidas y complejas

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ejemplo configuracin de ACL extendida

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Evidencia de aprendizaje. Seguridad y diseo de una WAN