Seguridad en redes
y
protocolos asociados
Ingeniería de Protocolos
Curso 2003/2004
MariCarmen Romero Ternero
[email protected]
Atribución-NoComercial-LicenciarIgual 2.5
Tu eres libre de:
copiar, distribuir, comunicar y ejecutar públicamente la obra
hacer obras derivadas
Bajo las siguientes condiciones:
Atribución. Debes reconocer y citar la obra de la forma especificada por
el autor o el licenciante.
No Comercial. No puedes utilizar esta obra para fines comerciales.
Licenciar Igual. Si alteras o transformas esta obra, o generas una obra
derivada, sólo puedes distribuir la obra generada bajo una licencia
idéntica a ésta.
Al reutilizar o distribuir la obra, tienes que dejar bien claro los términos de la
licencia de esta obra.
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular
de los derechos de autor
Los derechos derivados del uso legítimo, del agotamiento u otras limitaciones o
excepciones reconocidas por la ley no se ven afectados por lo anterior.
Esto es un resumen simple del texto legal. La licencia completa está disponible en:
http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Attribution-NonCommercial-ShareAlike 2.5
You are free:
to copy, distribute, display, and perform the work
to make derivative works
Under the following conditions:
Attribution. You must attribute the work in the manner specified by the
author or licensor.
Noncommercial. You may not use this work for commercial purposes.
Share Alike. If you alter, transform, or build upon this work, you may
distribute the resulting work only under a license identical to this one.
For any reuse or distribution, you must make clear to others the license terms of
this work.
Any of these conditions can be waived if you get permission from the copyright
holder.
Your fair use and other rights are in no way affected by the above.
This is a human-readable summary of the Legal Code. Read the full license at:
http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Sumario
• Introducción
• ACLs (Access Control Lists)
• VLAN (Virtual LAN)
• Criptografía en redes
• Protocolos seguros
• VPN (Virtual Private Network)
• Cortafuegos
Sumario
• Introducción
• ACLs (Access Control Lists)
• VLAN (Virtual LAN)
• Criptografía en redes
• Protocolos seguros
• VPN (Virtual Private Network)
• Cortafuegos
Ventajas del uso de redes
• Permite la compartición de gran cantidad de
recursos (hardware y software) e información
• Aumenta la fiabilidad de los recursos porque
permite su replicación (servidores)
• Permite que las aplicaciones que necesiten
muchos recursos se ejecuten de forma distribuida
• La red de Internet puede crecer de forma
transparente al usuario, lo cual facilita la
expansión de las redes empresariales
Seguridad informática, ¿para qué?
• Compartición muchos usuarios involucrados,
más atacantes potenciales
• Complejidad del sistema complejidad de los
controles de seguridad
• Límite desconocido identidad incierta de
usuarios
• Múltiples puntos de ataque mecanismos de
protección en todo el camino de la información
• En cuanto a la información, se compromete:
– su privacidad
– su integridad
– su autenticidad
– su disponibilidad
Ataques más comunes
SEGURIDAD EN UNIX Y REDES,v2
Antonio Villalón Huerta
Ataques más comunes (II)
• Rastreadores o sniffers
• Suplantaciones de IP o spoofing
• Ataques de contraseñas
• Control de salida ilegal de información sensible desde una
• Ataques de hombre en el medio (o man-in-the-middle
• Ataques de denegación de servicio, Denial of Service o
fuente interna
attacks)
ataques DoS.
• Ataques a nivel de aplicación para explotar
vulnerabilidades conocidas
• Caballos de Troya (Trojan Horses), virus y otros códigos
maliciosos
Mecanismos de seguridad
• De prevención:
– mecanismos de autenticación e identificación
– mecanismos de control de acceso
– mecanismos de separación (física, temporal, lógica,
criptográfica y fragmentación)
– mecanismos de seguridad en las comunicaciones
(cifrado de la información)
• De detección:
– IDS (Intruder Detected System)
• De recuperación:
– copias de seguridad (backup)
– mecanismos de análisis forense: averiguar alcance, las
actividades del intruso en el sistema y cómo entró
Sumario
• Introducción
• ACLs (Access Control Lists)
• VLAN (Virtual LAN)
• Criptografía en redes
• Protocolos seguros
• VPN (Virtual Private Network)
• Cortafuegos
ACL. Sumario
• Definición
• ACLs estándares
– Ejemplos
• ACLs extendidas
– Ejemplos
• ACLs nombradas
– Ejemplos
• ACLs y protocolos
• Ubicación de las ACLs
• ¿Por qué usar las ACLs?
ACL (Access Control List)
• Listas de sentencias que se aplican a una interfaz del router
•
Indican al router qué tipos de paquetes se deben aceptar y qué
tipos de paquetes se deben denegar
• La aceptación y rechazo se pueden basar en dirección origen,
dirección destino, protocolo de capa superior y número de
puerto
• Se pueden crear para todos los protocolos enrutados de red (IP,
IPX) (1 ACL por cada protocolo enrutado)
• Se pueden configurar en el router para controlar el acceso a
una red o subred
• Filtrado de tráfico entrante y saliente de interfaces
ACLs
• Una ACL es un grupo de sentencias que define cómo
se procesan los paquetes:
– Entran a las interfaces de entrada
– Se reenvían a través del router
– Salen de las interfaces de salida del router
Ejecución de las ACLs
• El orden de las sentencias de la ACL es importante
• Cuando el router está decidiendo si desea enviar o bloquear un
paquete, el IOS prueba el paquete, verificando si cumple o no cada
sentencia de condición, en el orden en que se crearon las
sentencias
• Una vez que se verifica que existe una coincidencia, no se siguen
verificando otras sentencias de condición
• Para añadir sentencias en
una ACL hay que eliminar
la ACL completa y volver
a crearla con las nuevas
sentencias de condiciones
Creación de las ACLs
• Desde el modo de configuración global: (config)#
• 2 tipos de ACL:
− ACL estándar ACL del 1 al 99
− ACL extendida ACL del 100 al 199
• Es importante seleccionar y ordenar lógicamente las ACL de forma
cuidadosa
• Se deben seleccionar los protocolos IP que se deben verificar;
todos los demás protocolos no se verifican
• Aplicar ACL a interfaces oportunos (tráfico entrante y saliente) se
prefiere ACL para saliente (+ eficiente)
• Hay que asignar un número exclusivo para cada ACL:
Creación de las ACLs (II)
Paso 1: Definir ACL
Router(config)# access-list num_ACL {permit|deny}
{condición}
Paso 2: Asociar ACL a un interfaz específico
Router(config-if)# {protocolo} access-group num_ACL {in|out}
• Generalmente, usaremos el protocolo IP:
Router(config-if)# ip access-group num_ACL {in | out}
asocia ACL existente a una interfaz (sólo se permite una
ACL por puerto por protocolo por dirección). Por defecto out
ACLs estándar
• Una ACL estándar puede servir para bloquear todo el tráfico de una red o
de un host específico, permitir todo el tráfico de una red específica o denegar
paquetes por protocolos
• Definir sentencias para una ACL:
Router(config)# access-list num_ACL {deny | permit}
fuente [wildcard_fuente] [log]
• Eliminar una ACL:
1º. Router(config-if)# no ip access-group num_ACL
2º. Router(config)# no access-list num_ACL
Bits de la máscara de wildcard
0 ≡ verificar valor del bit
0 ≡ verificar valor del bit
1 ≡ ignorar valor del bit
1 ≡ ignorar valor del bit
ignorar ≡ permitir sin comprobar
ignorar ≡ permitir sin comprobar
ACLs estándar. Ejemplos
• Ejemplo (permite acceso a todos los hosts de las 3 redes especificadas):
Router(config)# access-list 1 permit 192.5.34.0 0.0.0.255
Router(config)# access-list 1 permit 128.88.0.0 0.0.255.255
Router(config)# access-list 1 permit 36.0.0.0 0.255.255.255
!(Nota: cualquier otro acceso está implícitamente denegado)
(access-list 1 deny any)
• Son equivalentes:
Router(config)# access-list 2 permit 36.48.0.3 0.0.0.0
Router(config)# access-list 2 permit host 36.48.0.3
Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255
Router(config)# access-list 2 permit any
ACLs estándar. Ejemplos (II)
red 194.23.145.0
Crear una lista de acceso IP estándar que deniegue paquetes provenientes del host
192.5.5.2 hacia cualquier host en la red 210.93.105.0 y que permita el tráfico desde
todas las demás redes.
¿Dónde colocamos la ACL y por qué?
ACLs extendidas
• Ofrecen una mayor cantidad de opciones de control que las ACLs
estándares, son más versátiles
• Verifican direcciones origen y destino de los paquetes, protocolos,
números de puerto y otros parámetros específicos
• Las ACLs extendidas usan un número dentro del intervalo del 100 al
199
• Al final de la sentencia de la ACL extendida, se puede especificar
opcionalmente el número de puerto de protocolo TCP o UDP para el que
se aplica la sentencia:
- 20 y 21: datos y programa FTP
- 23: Telnet
- 25: SMTP
- 53: DNS
- 69: TFTP
...
ACLs extendidas
• Definir ACL extendida:
Router(config)# access-list num_ACL {permit | deny} protocolo fuente
[mascara-fuente destino mascara-destino operador operando]
[established]
num_ACL Identifica número de lista de acceso utilizando un número
dentro del intervalo 100-199
protocolo IP, TCP, UDP, ICMP, GRE, IGRP
fuente | destino Identificadores de direcciones origen y destino
mascara-fuente | mascara-destino Máscaras de wildcard
operador lt, gt, eq, neq
operando un número de puerto
established permite que pase el tráfico TCP si el paquete utiliza
una conexión establecida (p.e. tiene bits de ACK establecidos)
• Asociar ACL a interfaz:
Router(config-if)# ip access-group num_ACL {in | out}
ACLs extendidas. Ejemplos
• Ejemplo 1 (denegar FTP entre dos redes y permitir todo lo demás):
Comentarios de: Seguridad en redes y protocolos asociados (0)
No hay comentarios