Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema Seguridad IP
Tema Seguridad IP
Atribucin-NoComercial-LicenciarIgual 2.5 Tu eres libre de: copiar, distribuir, comunicar y ejecutar pblicamente la obra hacer obras derivadas Bajo las siguientes condiciones:
Atribucin. Debes reconocer y citar la obra de la forma especificada por el autor o el licenciante.
Licenciar Igual. Si alteras o transformas esta obra, o generas una obra derivada, slo puedes distribuir la obra generada bajo una licencia idntica a sta.
Al reutilizar o distribuir la obra, tienes que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor
Los derechos derivados del uso legtimo, del agotamiento u otras limitaciones o excepciones reconocidas por la ley no se ven afectados por lo anterior. Esto es un resumen simple del texto legal. La licencia completa est disponible en: http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Attribution-NonCommercial-ShareAlike 2.5 You are free: to copy, distribute, display, and perform the work to make derivative works Under the following conditions:
Attribution. You must attribute the work in the manner specified by the author or licensor.
Noncommercial. You may not use this work for commercial purposes.
Share Alike. If you alter, transform, or build upon this work, you may distribute the resulting work only under a license identical to this one.
For any reuse or distribution, you must make clear to others the license terms of this work. Any of these conditions can be waived if you get permission from the copyright holder.
Your fair use and other rights are in no way affected by the above. This is a human-readable summary of the Legal Code. Read the full license at: http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Sumario
Introduccin ACLs (Access Control Lists) VLAN (Virtual LAN) Criptografa en redes Protocolos seguros VPN (Virtual Private Network) Cortafuegos
Sumario
Introduccin ACLs (Access Control Lists) VLAN (Virtual LAN) Criptografa en redes Protocolos seguros VPN (Virtual Private Network) Cortafuegos
Ataques ms comunes
Mecanismos de seguridad
De prevencin:
mecanismos de autenticacin e identificacin mecanismos de control de acceso mecanismos de separacin (fsica, temporal, lgica, criptogrfica y fragmentacin) mecanismos de seguridad en las comunicaciones (cifrado de la informacin)
De deteccin:
IDS (Intruder Detected System)
De recuperacin:
copias de seguridad (backup) mecanismos de anlisis forense: averiguar alcance, las actividades del intruso en el sistema y cmo entr
Sumario
Introduccin ACLs (Access Control Lists) VLAN (Virtual LAN) Criptografa en redes Protocolos seguros VPN (Virtual Private Network) Cortafuegos
ACL. Sumario
Definicin ACLs estndares
Ejemplos
ACLs extendidas
Ejemplos
ACLs nombradas
Ejemplos
ACLs
Una ACL es un grupo de sentencias que define cmo se procesan los paquetes:
Entran a las interfaces de entrada Se reenvan a travs del router Salen de las interfaces de salida del router
Para aadir sentencias en una ACL hay que eliminar la ACL completa y volver a crearla con las nuevas sentencias de condiciones
Es importante seleccionar y ordenar lgicamente las ACL de forma cuidadosa Se deben seleccionar los protocolos IP que se deben verificar; todos los dems protocolos no se verifican Aplicar ACL a interfaces oportunos (trfico entrante y saliente) se prefiere ACL para saliente (+ eficiente) Hay que asignar un nmero exclusivo para cada ACL:
ACLs estndar
Una ACL estndar puede servir para bloquear todo el trfico de una red o de un host especfico, permitir todo el trfico de una red especfica o denegar paquetes por protocolos Definir sentencias para una ACL: Router(config)# access-list num_ACL {deny | permit} fuente [wildcard_fuente] [log] Eliminar una ACL: 1. Router(config-if)# no ip access-group num_ACL 2. Router(config)# no access-list num_ACL
Son equivalentes:
Router(config)# access-list 2 permit 36.48.0.3 0.0.0.0 Router(config)# access-list 2 permit host 36.48.0.3 Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255 Router(config)# access-list 2 permit any
red 194.23.145.0
Crear una lista de acceso IP estndar que deniegue paquetes provenientes del host 192.5.5.2 hacia cualquier host en la red 210.93.105.0 y que permita el trfico desde todas las dems redes. Dnde colocamos la ACL y por qu?
ACLs extendidas
Ofrecen una mayor cantidad de opciones de control que las ACLs estndares, son ms verstiles Verifican direcciones origen y destino de los paquetes, protocolos, nmeros de puerto y otros parmetros especficos Las ACLs extendidas usan un nmero dentro del intervalo del 100 al 199 Al final de la sentencia de la ACL extendida, se puede especificar opcionalmente el nmero de puerto de protocolo TCP o UDP para el que se aplica la sentencia:
- 20 y 21: datos y programa FTP - 23: Telnet - 25: SMTP - 53: DNS - 69: TFTP ...
ACLs extendidas
Definir ACL extendida:
Router(config)# access-list num_ACL {permit | deny} protocolo fuente [mascara-fuente destino mascara-destino operador operando] [established]
num_ACL Identifica nmero de lista de acceso utilizando un nmero dentro del intervalo 100-199 protocolo IP, TCP, UDP, ICMP, GRE, IGRP fuente | destino Identificadores de direcciones origen y destino mascara-fuente | mascara-destino Mscaras de wildcard operador lt, gt, eq, neq operando un nmero de puerto established permite que pase el trfico TCP si el paquete utiliza una conexin establecida (p.e. tiene bits de ACK establecidos)
Asociar
ACL a interfaz:
Crear una ACL que bloquee todo el trfico desde la red 221.23.123.0 al servidor 198.150.13.34 provocando la menor cantidad de trfico en la red. Dnde colocamos la ACL y por qu?
ACLs nombradas
Permiten que las ACL IP estndar y extendidas se identifiquen con una cadena alfanumrica (nombre) en lugar de la representacin numrica actual (1 a 199) Se usan si: Se desea identificar intuitivamente las ACL utilizando un nombre alfanumrico, o Existen ms de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado Tener en cuenta que: - No son compatibles con versiones < 11.2 del IOS - No se puede usar el mismo nombre en varias ACLs
interface ethernet0 ip address 2.0.5.1 255.255.255.0 ip access-group Internetfilter out ip access-group come-on in
Router(config)# ip access-list {standard | extended} nombre Router(config-{std- | ext-}nacl)# {permit | deny} {ip ACL test conditions} no {permit | deny} {ip ACL text conditions} Router(config-if)# ip access-group {nombre | 1-199} {in | out}
ACLs y protocolos
ACLs pueden controlar la mayora de los protocolos en un router Cisco El protocolo al que tiene que aplicarse la ACL se indica como un nmero en el intervalo de nmeros de protocolo Slo se puede especificar una ACL por protocolo y por interfaz Para algunos protocolos, se pueden agrupar hasta 2 ACL a una interfaz (entrante y saliente). Con otros protocolos, se agrupa slo 1 ACL Si ACL es entrante, se comprueba al recibir el paquete Si ACL es saliente, se comprueba despus de recibir y enrutar un paquete a la interfaz saliente Nombrar o numerar un protocolo IP:
usando las palabras reservadas: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp, o udp, o bien con un n entero (0 a 255) , que representa un n de protocolo IP la palabra reservada ip indica cualquier protocolo Internet los protocolos y sus nmeros correspondientes se enumeran en RFC 1700, junto con los nmeros de puerto
La regla es colocar las: ACL extendidas lo ms cerca posible del origen del trfico denegado ACL estndar lo ms cerca posible del destino (no especifican direcciones destino)
ipchain, iptable
Herramientas gratuitas en entornos UNIX (habra que compilar el kernel con la opciones de firewalling), que sirven para lo mismo que las ACLs de los routers Cisco Ambas herramientas permiten aplicar sentencias de filtrado a los diferentes interfaces que tengamos configurados y, adems, permite la redireccin de puertos y NAT Ejemplos:
pepito:~# /sbin/ipchains -A input -p tcp -j ACCEPT -d 158.42.22.41 80 pepito:~# /sbin/iptables -A INPUT -p TCP -j ACCEPT -d 158.42.22.41 --dport 80