Está en la página 1de 65

REDES

Seguridad en Redes

Prctica 3

REDES

Planificacin

VLAN

Semana del 29 de enero:


Repaso de los conceptos necesarios para realizar la prctica
Realizacin de un ejemplo
Semana del 4 de febrero (1 hora):
Realizacin de un ejercicio prctico de VLAN y resolucin de dudas
ACLs
Semana del 4 de febrero (1 hora) y Semana 11 de febrero (1 hora):
Repaso de los conceptos necesarios para realizar la prctica
Realizacin de un ejemplo
Semana del 11 de febrero (1 hora):
Realizacin de un ejercicio prctico de ACLs y resolucin de dudas

REDES

Planificacin

NAT
Semana del 18 de febrero (2 horas):
Repaso de los conceptos necesarios para realizar la prctica
Realizacin de un ejemplo
Realizacin de un ejercicio prctico de NAT y resolucin de dudas

Defensa de la prctica:
Semana del 6 de marzo

REDES

Parte I
Diseo y configuracin de seguridad bsica en una LAN
corporativa. Utilizacin de VLANs

REDES

Objetivos

Reforzar el concepto de VLAN

Conocer las caractersticas y ventajas que aportan las VLAN en una red corporativa

Comprender los diferentes protocolos que permiten la expansin de VLANs a travs de la


infraestructura de red conmutada en un entorno corporativo. Utilizacin del estndar IEEE
802.1Q en switches

Entender la relacin existente entre VLAN dominio de difusin red lgica.

Distinguir los diferentes tipos de enrutamiento que se pueden utilizar en un entorno


corporativo para intercambiar informacin entre VLANs. Utilizacin del estndar IEEE
802.1Q en routers

REDES

Repaso de conceptos fundamentales

Dominio de difusin o dominio de broadcast:


Es el conjunto de dispositivos pertenecientes a una red que comparten el mismo
espacio de difusin o broadcast, es decir, es un conjunto de dispositivos en el que si
uno de ellos genera un mensaje de difusin (e.g. IP de destino de un paquete IP
255.255.255.255) todos los dems equipos de dicho dominio reciben y procesan el
mensaje.
Este tipo de trfico es utilizando muchas ocasiones para facilitar las tareas de
comunicacin entre equipos:
Peticiones ARP, peticiones DHCP,
Un dominio de difusin o de broadcast se define habitualmente como red lgica por lo
que habitualmente se asocia una direccin IP de red/subred lgica a cada dominio de
difusin o broadcast.
Los equipos que pertenecen a un mismo dominio de difusin, y por lo tanto
pertenecen a la misma red lgica, pueden comunicarse directamente entre s
Los equipos que pertenecen a distintos dominios de difusin necesitan los
servicios de las pasarelas o puertas de enlace (que habitualmente son routers)
para intercambiar informacin entre distintos dominios de difusin

REDES

Repaso de conceptos fundamentales

En una red de rea local, formada por hubs, switches y dispositivos finales, nicamente
existe un dominio de difusin, por lo que todos los equipos estarn adems configurados en
la misma red IP
Inconvenientes:
Saturacin de trfico de difusin en la red
Falta de control interno en las comunicaciones
Qu se puede hacer para segmentar un dominio difusin en varios ms pequeos, con el
trfico de difusin de cada uno aislado?
Utilizacin de routers
Creacin de VLAN

REDES

Repaso de conceptos fundamentales

Qu es una VLAN?
Es una agrupacin lgica de dispositivos que se basa en la configuracin de switches,
de tal modo que se pueden crear en un switch (o conjunto de switches) diferentes
dominios de difusin, asignando los puertos del switch a una VLAN concreta
Los criterios que permiten determinar a que VLAN est asignado un puerto pueden ser
muy diferentes:
Configuracin esttica del puerto (que es la opcin con la que se va a trabajar en
esta prctica)
En funcin de la direccin IP del dispositivo conectado al puerto
En funcin de la direccin MAC del dispositivo conectado al puerto
En funcin del usuario conectado al puerto (IEEE 802.1x)

REDES

Configuracin de Switches Cisco Catalyst

La arquitectura y configuracin de los switches Cisco Catalyst es anloga a la de los


routers, vistas en la prctica 1, debido a que utilizan un sistema operativo similar,
denominado tambin Cisco IOS

Los elementos que se citan a continuacin son muy similares a los vistos para la
configuracin de routers:
Mtodos de acceso al sistema operativo del router: lnea de consola y linea vty
Archivos de configuracin del router: startup-configuration, running-configuration
Modos de trabajo: El switch tiene un conjunto de modos ms limitado.
Usuario, privilegiado, configuracin global, configuracin de interfaces,
Carece de modo de enrutamiento, puesto que el switch no tiene esta capacidad
Configuracin bsica de un switch: Es muy similar a la explicada en la prctica 1 para
el router, excepto en el caso de las interfaces:
Un switch es un dispositivo de capa 2 con lo que (por lo menos en un principio) no
trabaja con direcciones IP y por lo tanto las interfaces del switch no necesitan tener
este tipo de direcciones
Debido a ello, no pueden asignarse direcciones IP a las interfaces los switches
convencionales

REDES

Configuracin de Switches Cisco Catalyst

Configuracin de VLAN por defecto en Switches Cisco.


El switch dispone de 5 VLANs creadas por defecto:
VLAN 1 (VLAN por defecto): No puede eliminarse
VLAN 1002, 1003, 1004 y 1005 (estas VLAN son de administracin, no tienen
utilidad prctica, pero no pueden eliminarse)
Todos los puertos del switch estn asignados a la VLAN 1, debido a esto estn en el
mismo dominio de difusin
Las VLAN se identifican mediante un n entre 1 y 4096, aunque en estas prcticas
solamente se van a utilizar valores entre 1 y 1024
Adems, con propsitos legibilidad, cada VLAN puede recibir un nombre

REDES

Configuracin de Switches Cisco Catalyst

Configuracin de VLANs adicionales:


Comandos de configuracin:
Switch(config)#vlan <n vlan>
Switch(config-vlan)#name <nombre>
Ejemplo:
Switch(config)#vlan 10
Switch(config-vlan)#name TIC

Cambio de VLAN a la que est asignada un puerto de un switch:


Comandos de configuracin:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan <n vlan>
Ejemplo:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10

REDES

Configuracin de Switches Cisco Catalyst

Nota: Para aplicar la misma configuracin a varias interfaces puede utilizarse el comando
interface range
Ejemplo: Si se desea que desde el puerto 13 al 24 pertenezcan a la VLAN 20 se podr
utilizar el comando
Comando de Configuracin:
Switch(config)#interface range <Tipo Int> <slot>/<puerto inicial> - <puerto final>

Ejemplo Bsico:
Switch(config)#vlan 20
Switch(config-vlan)#name test
Switch(config)#interface range fastEthernet 0/12 24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2

Comandos de diagnstico:
Show vlan
Show interfaces switchport

REDES

Configuracin de Switches Cisco Catalyst

Comentarios acerca de la eliminacin de VLANs en un switch


Para eliminar una VLAN creada en un switch se utilizar el comando:
Switch(config)#no vlan <n vlan>
Switch(config)#no vlan 2

Comentario: Si algn puerto permanece asignado a una VLAN que no existe en el


switch, sta no ser usable. Si se desea utilizar dicha interfaz deber reasignarse a una
VLAN existente en el switch
Los switches Catalyst almacenan la configuracin persistente de VLAN en un fichero
diferente a startup-configuration. Se almacena en un fichero denominado vlan.dat
ubicado en la memoria flash
Para comprobar la existencia de dicho fichero se puede utilizar el comando: show flash
Para borrar dicho fichero se debe utilizar el comando: delete vlan.dat
Por lo tanto, para eliminar completamente la configuracin de un switch deben
utilizarse los siguientes comandos:
Erase startup-configuration
Delete vlan.dat
A continuacin, se debe reiniciar el switch

REDES

Configuracin de Switches Cisco Catalyst

Cmo extender la configuracin de VLANs a ms de un switch?

REDES

Configuracin de Switches Cisco Catalyst

Cmo extender la configuracin de VLANs a ms de un switch?


En el ejemplo los puertos del 1 al 12 de cada switch estn asignados a la VLAN 10,
mientras que los puertos desde el 13 al 24 estn asignados a la VLAN 20.
Conectando el puerto 3 de Switch 0 con el puerto 3 de Switch 1, se permite la
comunicacin entre los equipos que pertenecen a la VLAN 1 en los dos switches.
Conectando el puerto 15 de Switch 0 con el puerto 15 de Switch 1, se permite la
comunicacin entre los equipos de la VLAN 2

REDES

Configuracin de Switches Cisco Catalyst

La solucin anterior plantea un problema de escalabilidad. Qu sucedera si fuese


necesario dar servicio a 100 VLANs?

Solucin: Utilizar un solo enlace para transportar informacin de varias VLAN.

Los puertos de un switch pueden clasificarse en dos tipos:


Puertos de acceso: Puertos que estn asignados nica y exclusivamente a una VLAN
No etiquetan las tramas cuando las envan
Puertos troncales: Puertos que pueden transmitir y recibir informacin de varias VLANs
simultneamente
Problema: Si un switch puede enviar por el mismo puerto tramas de varias VLAN,
como sabe el switch del otro extremo del enlace a qu VLAN pertenece una trama
cuando la recibe?
Etiquetando las tramas antes de transmitirlas por un enlace troncal
El estndar IEEE 802.1Q permite aadir una etiqueta de 4 bytes a la
cabecera de las tramas Ethernet, en donde se incluye el n de VLAN al que
pertenece dicha trama
Por defecto, un puerto troncal transmite tramas de todas las VLANs creadas en el
switch, aunque este comportamiento puede limitarse

REDES

Configuracin de Switches Cisco Catalyst

Configuracin de puertos de acceso y troncales en Switches Cisco:


Para establecer que un puerto sea de acceso, se utiliza el comando:
Switch(config)#switchport mode access
Ejemplo de configuracin de puerto de acceso asignado a la VLAN 10:
Switch(config)#switchport mode access
Switch(config)#switchport access vlan 10
Para establecer un puerto troncal, se utiliza el comando:
Switch(config-if)#switchport mode trunk
Ejemplo de configuracin:
Switch(config)#switchport mode trunk
Por defecto, los puertos de muchos switches (en concreto los que se utilizan en las
prcticas) se encuentran en modo dinmico. Esto quiere decir que cuando se conecta
un dispositivo a un puerto, se lleva a cabo un proceso de negociacin (Dynamic
Trunking Protocol) que provoca que el puerto se comporte como troncal si al otro lado
del enlace hay un switch o como puerto de acceso, en caso contrario

REDES

Configuracin de Switches Cisco Catalyst

Ejemplo:
Switch(config)#interface Gigabit1/1
Switch(config-if)#switchport mode trunk

REDES

Enrutamiento entre VLANs

Despus de haber abordado el concepto y la configuracin de VLANs en switches, se


puede ver una VLAN como un switch virtual que da servicio a un conjunto de puertos
determinados.

El siguiente paso a abordar es:


cmo se pueden intercambiar paquetes entre diferentes VLANs, si cada una de ellas es un
dominio de difusin diferente?
1. Utilizando un dispositivo de enrutamiento
2. Asignando a cada VLAN un red/subred lgica diferente.

REDES

Enrutamiento entre VLANs

Ejemplo:
Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24
Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24

REDES

Enrutamiento entre VLANs

Al observar el ejemplo anterior se nos plantea una pregunta: cmo se interconectan varias
VLAN a travs de un router?
1. Dado que cada VLAN es una red (virtual) diferente, la primera opcin que parece
evidente es conectar un puerto de acceso de cada VLAN a una interfaz del router
De este modo cada interfaz del router da servicio a una VLAN
La interfaz del router deber tener una direccin IP que pertenezca a la misma
red/subre lgica que tenga asignada la VLAN
Problema qu suceder en un entorno en el que existan 20 VLANs?
Se precisaran 20 interfaces
Pero si se incrementa el nmero de VLANs a 100?
Este modelo no es escalable por lo que no se utiliza prcticamente NUNCA
en entornos reales

REDES

Enrutamiento entre VLANs


Router(config)#int f0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int f0/1
Router(config-if)#ip address 192.168.20.1 255.255.255.0
Router(config-if)#no shut

REDES

Enrutamiento entre VLANs


2. Solucin: Hacer uso de los enlaces troncales para enviar el trfico de todas las VLANs
al router a travs de una sola interfaz.

Problema: cmo una sola interfaz fsica del router puede dar servicio a varias
redes lgicas o VLANs a la vez?
Cada VLAN necesita una pasarela por defecto o puerta de enlace
Por ello, sera necesario asignar una direccin para cada VLAN en una sola
interfaz fsica del router
Adems, cmo sabra el router que direccin IP debera utilizar para dar
servicio a cada paquete que recibe?

Solucin: Subinterfaces, que son una interfaces lgicas que se crean dentro de
una interfaz fsica.
Es necesario indicar a que VLAN va a proporcionar sus servicios
Cada subinterfaz o interaz lgica tendr una direccin IP diferente, que
pertenecer a la red lgica asignada a la VLAN a la que da servicio

REDES

Enrutamiento entre VLANs

Cmo se crea una subinterfaz?


Con el comando interfaz <tipo> <slot>/<tarjeta> aadiendo un . y el nmero de
subinterfaz a continuacin
Aunque no es obligatorio se suele utilizar el n de VLAN para
identificar a la subinterfaz

REDES

Enrutamiento entre VLANs

Configuracin en el switch
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk

Configuracin del router:


Router(config-if)#interface fastethernet 0/0.1
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#interface fastethernet 0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.1 255.255.255.0

REDES

Filtrado de Paquetes - ACLs

REDES

Objetivo

Conocer las principales caractersticas de filtros de seguridad en redes de comunicaciones,


basndose en Listas de Control de Acceso estticas

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Los administradores de red utilizan firewalls para proteger sus redes contra el uso no
autorizado.
Los firewalls son soluciones de hardware o software que hacen cumplir las polticas de
seguridad de la red.
En un router, se puede configurar un firewall simple (firewall de filtrado de paquetes)
que proporciona capacidades bsicas de seguridad utilizando ACLs.
Las Listas de Control de Acceso (Access Control List, ACL) constituyen un mecanismo
que permite filtrar el trfico de red, deteniendo o permitiendo slo trfico especfico
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a
una interfaz de un router en un determinado sentido (de entrada o de salida) para cada
protocolo de red configurado, en la mayora de casos, IPv4.
Criterios de filtrado de paquete:
Campos de la cabecera IP:
Direcciones IP Origen y Destino, Tipo de Protocolo, etc.
Campos de la cabecera del protocolo de capa superior: TCP, UDP,
N de puerto, sealizadores de la cabecera TCP (SYN, ACK, )

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Funcionamiento:
Cuando un paquete llega al router (o va a salir del router) a travs de una interfaz con
una ACL asociada, la ACL se examina de arriba a abajo, lnea a lnea, buscando un
patrn que coincida entre el criterio de filtrado establecido en cada lnea con las
caractersticas del paquete entrante.
Si se produce dicha coincidencia se aplica la accin asociada a la sentencia
(permitir / denegar)
De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto,
no filtra el trfico. El trfico que entra en el router es enrutado segn la tabla de
enrutamiento.
Lugares tpicos de aplicacin de ACLs:
Routers firewall entre la red interna y la red externa (e.g. Internet)
Routers situados entre dos partes de la red para controlar el trfico que entra o
sale de una parte especfica de su red interna.

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Funcionamiento de una ACL de entrada en una interfaz

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Ejecucin de las ACLs en el proceso general de enrutamiento de un paquete IP en un


router

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Hay dos tipos bsicos de ACL en los routers Cisco:


ACL estndar: Filtra el trfico utilizando como criterio la direccin IP de origen del paquete.
Ejemplo:
Router(config)#access-list 1 permit 192.168.3.0 0.0.0.255
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
Router(config)#access-list 1 remark Comentario

ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de diferentes valores de las
cabeceras de capa 3 y capa 4: tipo de protocolo, direcciones IP de origen, direcciones IP
de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin
opcional de tipo de protocolo.
Ejemplo:
Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255
193.144.49.10 0.0.0.0 eq 80
Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255
193.144.49.10 0.0.0.0 eq 443
Router(config)#access-list 101 permit tcp 0.0.0.0 255.255.255.255
182.168.1.0 0.0.0.255 established

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Configuracin de ACLs:
1. Creacin de al lista de control de acceso
Cada comando de ACL se introduce de forma individual, por lo que es necesario
indicar en cada sentencia el nmero de ACL al que pertenece dicha sentencia
access-list 10 permit 172.28.0.0 0.0.0.255
access-list 10 permit 172.29.0.0 0.0.0.255
access-list 10 permit 172.30.0.0 0.0.0.255
access-list 10 permit 172.31.0.0 0.0.0.255

Por defecto, todas las ACLs finalizan con un comando de denegacin total del
trfico implcito, por lo que si un paquete no coincide con ninguna sentencia de
permiso, dicho paquete es denegado
ACLs estndar: 1 99 (1300 1999)
ACLs extendidas: 100 199 (2000 2699)
2. Aplicacin de la ACL a la interfaz:
ip access-group 10 in

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar:


access-list <n de ACL> {deny|permit|remark} <origen> <wildcard-origen> <log>

<n de ACL>: Identifica la lista de acceso (1-99; 1300 y 1999)


<origen> <wildcard-origen>: Especifica el patrn de bits a comprobar en la direccin IP
de origen del paquete
<log>: Paquetes que han activado la sentencia durante los ltimos 5 minutos

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Mscaras Wildcard


Sirven para indicar qu bits del patrn especificado en la sentencia de la ACL deben
coincidir con los de la direccin IP (origen o destino), para que se considere que se ha
producido una coincidencia vlida

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Mscaras Wildcard


Ejemplos:
Como especificar, concretamente, la direccin IP 192.168.1.1
192.168.1.1 0.0.0.0
Como especificar una direccin cualquiera IP de la red 192.168.1.0/24
192.168.1.0 0.0.0.255
Como especificar una direccin cualquiera IP de la red 192.168.0.0/16
192.168.0.0 0.0.255.255
Como especificar los equipos cuya direccin IP est entre la 192.168.1.128 y la
192.168.1.191 de la red 192.168.1.0/24
192.168.1.128 0.0.0.63

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Mscaras Wildcard


Utilizacin de abreviaturas:
any = 0.0.0.0 255.255.255.255
host 192.168.10.10 = 192.168.10.10 0.0.0.0
Ejemplo1:
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit any
Ejemplo 2:
Router(config)# access-list 1 permit 192.168.100.100 0.0.0.0
Router(config)#access-list 1 permit host 192.168.100.100

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Aplicar una ACL en una Interfaz:


IMPORTANTE: Las ACL pueden aplicarse tanto a interfaces fsicas como a
subinterfaces, de hecho en los enlaces troncales de los routers DEBEN aplicarse en las
subinterfaces
1. Creacin de la ACL.
Ejemplo:
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
2. Seleccin de la interfaz adecuada:
Ejemplo:
Router(config)# interface fastethernet 0/1
3. Asignacin de la ACL a la interfaz, indicando en que sentido se va a aplicar dicho filtro
Ejemplo:
Router(config-if)# ip access-group 1 out

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Aplicar una ACL en una Interfaz. Ejemplo 1.
Router(config)#access-list 1
permit 192.168.3.0 0.0.0.255
Router(config)#access-list 1
permit host 10.1.1.2
Router(config)#interface Serial0/0/0
Router(config-if)#ip access-group 1 in

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL extendidas:


access-list <n de ACL> {deny|permit|remark} <protocolo>
<origen> <wildcard-origen> [operador <operando>] [port puerto]
<destino> <wildcard-destino> [operador <operando>] [port puerto]
[established]

<n de ACL>: Identifica la lista de acceso (100-199; 2000 y 2699)

<protocolo>: Contenido del campo protocolo de la cabecera IP. Si no se desea especificar


ningn protocolo concreto ha de especificarse la opcin IP

<origen> <wildcard-origen>: Especifica el patrn de bits a comprobar en la direccin IP de


origen del paquete

<destino> <wildcard-destino>: Especifica el patrn de bits a comprobar en la direccin IP de


destino del paquete

<operador operando>: Permite especificar un conjunto de puertos o un puerto especfico,


tanto de origen como de destino

Established: Esta opcin solamente est disponible para trfico TCP e indica el paquete
debe pertenecer a una conexin ya establecida (bit ack = 1)

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL extendidas: Especificacin de puertos


Ejemplo de utilizacin del nmero de puerto:
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20

Ejemplo de utilizacin del nmero de puerto:


access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq telnet
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

REDES

Filtrado de Paquetes: Listas de Control de Acceso


Ubicacin de las ACL: Buenas prcticas.
Ubicar las ACL extendidas lo
ms cerca posible del origen
del trfico denegado. De
esta manera, el trfico no
deseado se filtra sin
atravesar la infraestructura
de red.
Como las ACL estndar no
especifican las direcciones
de destino, deben colocarse
lo ms cerca del destino
posible, para no eliminar ms
trfico del necesario.

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Buenas prcticas para el diseo de ACLs:


1. Fundamentar las decisiones en la poltica de seguridad de la organizacin
2. Preparar una descripcin de lo que se desea realizar (tal y como se ha visto en la
parte de teora). Deben especificarse primero los flujos de trfico ms especficos
3. Determinar la ubicacin de la ACL, as como el sentido de aplicacin
4. Utilizar un editor de textos externo para crear, editar y almacenar las ACL
5. Probar las ACLs en una red de pruebas, antes de implantarlas en produccin

Escenario Base del


Ejemplo 2

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Ejemplo 2A: Debe evitarse que desde las redes de la Facultad de Informtica pueda
accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el
trfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10
1. Este enunciado es el equivalente a la poltica de la organizacin
2. Descripcin de cmo se va a procesar el trfico en el router Informtica:
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/ 24 hacia el resto
de dispositivos de la red 192.168.3.0 debe ser prohibido
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el resto
de las redes debe ser permitido
3. Ubicacin de la ACL: Interface f1/0. Sentido, saliente.
4. Utilizacin de un editor externo para construir la ACL:
access-list
access-list
access-list
access-list
access-list

100
100
100
100
100

permit tcp any host 192.168.1.10 eq 80


permit udp any host 192.168.1.10 eq 53
permit tcp any host 192.168.1.10 eq 53
deny ip any 192.168.1.0 0.0.0.255
permit ip any any

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Ejemplo 2B: Debe evitarse que desde la red 192.168.1.0/24 pueda accederse a las
direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el trfico va dirigido
al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10. Desde la red
192.168.2.0/24, el nico trfico permitido ser el dirigido hacia el servidor Web y el servidor
DNS ubicados en el equipo 192.168.3.10. El trfico entre las redes 192.168.1.0/24 y
192.168.2.0/24 estar permitido.
1. Este enunciado es el equivalente a la poltica de la organizacin
2. Descripcin de cmo se va a procesar el trfico en el router Informtica:
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
El trfico dirigido desde la red 192.168.1.0/24 al resto de dispositivos de la red
192.168.3.0 debe ser prohibido, pero el trfico a las dems redes debe ser
permitido
El trfico dirigido desde la red 192.168.2.0/24 hacia el resto de redes debe ser
prohibido

REDES

Filtrado de Paquetes: Listas de Control de Acceso


3. Ubicacin de la ACL: Interface f1/0. Sentido, saliente.
4. Utilizacin de un editor externo para construir la ACL:
access-list
access-list
access-list
access-list
access-list

100
100
100
100
100

permit tcp any host 192.168.3.10 eq 80


permit udp any host 192.168.3.10 eq 53
permit tcp any host 192.168.3.10 eq 53
deny ip any 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

REDES

Filtrado de Paquetes: Listas de Control de Acceso

Edicin de ACLs:
Las ACLs identificadas por nmeros (las que hemos estudiado) no son editables, es
decir, cada vez que se aade una nueva sentencia, sta se coloca a continuacin de
las sentencias ya existentes.
Para introducir sentencias intermedias, debe borrarse la ACL completa y volver a
escribirse (por ese se ha recomendado la utilizacin de editores de texto externos para
crear y mantener las ACLs)

Eliminacin de la configuracin de una ACL:


Debe realizarse de manera especialmente cuidadosa:
1. Eliminarse la asignacin de la ACL a la interfaz:
Router(config-if)# no ip access-group 101 out
2. Borrar la ACL:
Router(config)# no access-list 101

REDES

Traduccin de Direcciones

REDES

Objetivos

Comprender la necesidad del direccionamiento privado

Discernir entre los diferentes tipos de configuraciones NAT: Esttico vs. Dinmico

Entender la necesidad de la existencia de NAT sobrecargado (NATP). Traduccin de


direcciones y puertos

REDES

Base Terica

Base terica vista en clase


La traduccin de direcciones de red (Network Address Translation) consiste en sustituir
la direccin IP de origen (habitualmente), la direccin IP de destino (muy rara vez) o
ambas cuando una paquete que cumple unas determinadas caractersticas es enviado
a travs de un dispositivo NAT como puede ser un router
Este mecanismo permite dispositivos de red configurados con IPs puedan acceder a
redes pblicas como Internet
Rango de direcciones IP privadas (RFC 1918):
Clase A: 10.0.0.0 a 10.255.255.255 (1 red)
Clase B: 172.16.0.0 a 172.31.255.255 (16 redes)
Clase C: 192.168.0.0 192.168.255.255 (255 redes)

REDES

Base Terica

Tipos de NAT
NAT Esttico: A cada direccin IP privada se le asigna una IP pblica de forma
administrativa
NAT Dinmico (sin sobrecarga): Existe un pool de direcciones privadas y un pool de
direcciones pblicas. Cuando un dispositivo con una IP privada necesita acceder a una
red pblica, solicita una direccin IP pblica, si hay disponibles.
NAT Dinmico con Sobrecarga (Overloading) / Port Address Translation: En este caso
una sola IP pblica puede ser utilizada por mltiples IPs privadas, debido a que se
traducen, adems de las direcciones IP, los nmeros de puerto de los protocolos de
capa superior como TCP o UDP
Port Mapping / Port Forwarding: Es una asignacin esttica de IP + Puerto privados
con una IP + Puerto pblico, lo que permite acceder desde la red pblica (Internet) a
determinados puertos de la red privada

REDES

Traduccin de Direcciones: Configuracin

Ejemplo

REDES

Configuracin de NAT esttico

Mapeo de direcciones IP

Sintaxis:
Router(config)#ip nat inside source static <ip-local> <ip-global>
! Interfaz interna. Direccionamiento Privado
Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat inside
! Interfaz externa. Direccionamiento Pblico
Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat outside

REDES

Configuracin de NAT (sin sobrecarga) esttico:

Mapeo de direcciones IP

Ejemplo:
Router(config)#ip nat inside source static 192.168.1.10 193.147.3.200
! Interfaz interna.
! Direccionamiento Privado
Router(config)#interface f0/0
Router(config-if)#ip nat inside
! Interfaz externa.
! Direccionamiento Pblico
Router(config)#interface f1/0
Router(config-if)#ip nat outside

REDES

Configuracin de NAT (sin sobrecarga) dinmico: Sintaxis


1. Definir el conjunto de direcciones pblicas que van a ser utilizadas:
Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask
<mscara>|prefix-length <longitud-prefijo>}

2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <n> permit <origen> <wildcard-origen>

3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP pblicas:


Router(config)#ip nat inside source list <n de ACL que define las Ips
privadas> pool <nombre del pool de direcciones IP pblicas>

4. Identificar la interfaz interna:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat inside

5. Identificar la interfaz externa:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat outside

REDES

Configuracin de NAT (sin sobrecarga) dinmico: Ejemplo


1. Definir el conjunto de direcciones pblicas que van a ser utilizadas:
Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask
255.255.255.0

2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP pblicas:


Router(config)#ip nat inside source list 1 pool Infor1

4. Identificar la interfaz interna:


Router(config)#interface f0/0
Router(config-if)#ip nat inside

5. Identificar la interfaz externa:


Router(config)#interface f0/1
Router(config-if)#ip nat outside

REDES

Configuracin de NAT (con sobrecarga) dinmico o PAT

Sintaxis. Opcin 1: Sobrecargar un conjunto de direcciones IP pblicas (grandes


organizaciones)
1. Definir el conjunto de direcciones pblicas que van a ser utilizadas:
Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask
<mscara>|prefix-length <longitud-prefijo>}

2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <n> permit <origen> <wildcard-origen>

3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP pblicas:


Router(config)#ip nat inside source list <n de ACL que define las Ips
privadas> pool <nombre del pool de direcciones IP pblicas> OVERLOAD

4. Identificar la interfaz interna:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat inside

5. Identificar la interfaz externa:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat outside

REDES

Configuracin de NAT (con sobrecarga) dinmico o PAT

Ejemplo
1. Definir el conjunto de direcciones pblicas que van a ser utilizadas:
Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask
255.255.255.0

2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP pblicas:


Router(config)#ip nat inside source list 1 pool Infor1 OVERLOAD

4. Identificar la interfaz interna:


Router(config)#interface f0/0
Router(config-if)#ip nat inside

5. Identificar la interfaz externa:


Router(config)#interface f0/1
Router(config-if)#ip nat outside

REDES

Configuracin de NAT (con sobrecarga) dinmico o PAT

Sintaxis. Opcin 2: Sobrecargar la direccin IP de la Interfaz Pblica (PYME - Domstica)


1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <n> permit <origen> <wildcard-origen>

2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP pblicas:


Router(config)#ip nat inside source list <n de ACL que define las Ips
privadas> interface <tipo nmero> OVERLOAD

3. Identificar la interfaz interna:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat inside

4. Identificar la interfaz externa:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat outside

REDES

Traduccin de Direcciones: Configuracin

Configuracin de NAT (con sobrecarga) dinmico o PAT: Ejemplo


1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP pblicas:


Router(config)#ip nat inside source list 1 interface f1/0 overload

3. Identificar la interfaz interna:


Router(config)#interface f0/0
Router(config-if)#ip nat inside

4. Identificar la interfaz externa:


Router(config)#interface f0/1
Router(config-if)#ip nat outside

REDES

Configuracin de Port-Mapping:

Sintaxis.
1. Relacionar la IP y puerto privado con la IP y puerto pblico:
Router(config)# ip nat inside source static [tcp|udp] <ip-local-interna>
<puerto-local-interno> <ip-global-interna> <puerto-global-interno>

2. Identificar la interfaz interna:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat inside

3. Identificar la interfaz externa:


Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat outside

REDES

Configuracin de Port-Mapping:

Ejemplo:
Router(config)# ip nat inside source static tcp 172.28.10.100 80 193.147.41.1
80

REDES

Desactivacin de la Traduccin de Direcciones


1. Eliminar el rol de interfaz interna y externa de aquellas en las que se haya configurado:
Router(config)# interface fastethernet 0/0
Router(config-if)# no ip nat inside
Router(config-if)# interface fastethernet 0/1
Router(config-if)# no ip nat outside
2. Limpiar la tabla de traducciones NAT
Router(config)# cliear ip nat translations *
3. Eliminar los comandos especficos de traduccin y sus ACLs correspondientes:
Router(config)#no ip nat inside source list pool Infor1 overload
Router(config)#no ip nat pool Infor1 200.1.1.1 200.1.1.4 netmask
255.255.255.248
Router(config)#no access-list 1

REDES

Comandos de Diagnstico:
Router# show ip nat translations
Router# show ip nat statistics
Router# debug ip nat

REDES

Terminologa NAT

Direcciones Inside Local:

Son las direcciones asignadas administrativamente a los equipos de la red privada o


red interna. Son las direcciones con las que se crean los paquetes desde los equipos
finales internos
Suelen ser direcciones privadas
Direcciones Inside global:

Son direcciones que hacen referencia a equipos de la red privada o interna, pero una
vez que el paquete ha sido procesado por NAT y por lo tanto el paquete est en la red
pblica.
Son las direcciones pblicas asignadas a equipos de la red interna o privada
Direcciones Outside Local:

Son las direcciones de los equipos que estn fuera de la red privada, tal y como se ven
desde la red privada. Suelen ser direcciones pblicas.
Direcciones Outside Global
Son las direcciones de los equipos que estn fuera de la red privada, tal y como se ven
desde la red pblica. Suelen ser direcciones pblicas.
Normalmente, en la mayor parte de configuraciones: Outside Local = Outside Global