Seguridad en dispositivos de red

Leandro Tenderini Acevedo

REDES Y SEGURIDAD
Instituto IACC
05-07-2021
 Desarrollo
En su nuevo trabajo como encargado de la seguridad de la red de la empresa. Le han solicitado
realizar una presentación a la gerencia respecto a las posibilidades existentes a cómo
implementar seguridad en la organización. En la presentación deberá explicar:
1. ¿Qué son las ACL, cómo funcionan? Además entregue un ejemplo de funcionamiento y
Explique los beneficios que su uso entregaría a la institución.
2. ¿Cuáles son las características de un firewall de estado y los NGFW? ¿ Qué beneficios traería
a la institución el control de acceso remoto, característica que poseen los
NGFW?
3. ¿Cómo funcionan y operan los firewall perimetrales? Indique a que riesgos se enfrentaría la
empresa si el Firewall perimetral estuviera deshabilitado.
4. Con sus propias palabras defina qué son los ZPF e indique cómo se configura usando
comandos la identificación del tráfico para la red 10.0.0.0.
1.

Para la seguridad de las redes de trasmisión de datos TCP/IP de forma general los
administradores utilizan firewalls o cortafuegos para protegerlas contra el acceso no permitido
por la red, aplicando políticas de seguridad para el filtrado de los paquetes que transitan por los
canales de trasmisión de datos. Para ello se utiliza lo que se denomina una Lista de Control de
Accesos.
Una Lista de Control de Accesos (ACL: Access Control List) es una serie de instrucciones que
controlan que en un router se permita el paso o se bloqueen los paquetes IP de datos, que maneja
el equipo según la información que se encuentra en el encabezado de los mismos.

Pautas para la utilización de las ACL

La configuración de la ACL puede ser una tarea compleja. Para cada interfaz de red de un router,
puede haber varias políticas necesarias para administrar el tipo de tráfico que se tiene permitido
ingresar o salir de ella. Como buenas prácticas es recomendable configurar ACL independientes
tanto para el tráfico entrante como para el saliente.
Las siguientes son algunas pautas para el uso de las ACL:
 Utilizar la ACL en los routers de firewall ubicados entre la red interna y la externa (como
Internet).
 Emplear la ACL en un router ubicado entre dos partes de la red para controlar el tráfico
que entra a una parte específica de la red interna o que sale de esta.
 Configurar la ACL en los routers de frontera, es decir, los ubicados en los límites de las
redes, lo que proporciona una separación básica de la red externa, o entre un área menos
controlada y otra más importante de la propia red.
 Configurar la ACL para cada interfaz de red (de entrada, o de salida), del router de
frontera.

Tipos de ACL:
Al crear una lista de control de acceso un administrador de red tiene varias opciones; en este
sentido, la complejidad del diseño de dicha red determina el tipo de ACL necesaria. Por lo
general, existen dos tipos clásicos de ACL:

ACL estándar: que permiten el filtrado de paquetes de datos únicamente verificando la dirección
IP de origen. De esta manera, si un dispositivo es denegado por una ACL estándar, se deniegan
todos los servicios provenientes de él. Este tipo de ACL sirve para permitir el acceso de todos los
servicios de un usuario específico, o LAN, a través de un router y a la vez, denegar el acceso de
otras direcciones IP. Las ACL estándar están identificadas por el número que se les ha asignado.
Para las listas de acceso que permiten o deniegan el tráfico IP, el número de identificación puede
variar entre 1 y 99 o entre 1300 y 1999.
ACL extendidas: filtran no sólo según la dirección IP de origen, sino también según la dirección
IP de destino, el protocolo y los números de puertos. Con frecuencia son más empleadas que las
ACL estándar, porque son más específicas y ofrecen un mayor control. El rango de números de
las ACL extendidas va de 100 a 199 y de 2000 a 2699.
Adicionalmente, tanto a las ACL estándar como extendidas es posible hacerles referencia
mediante un nombre descriptivo en lugar de un número, lo que se conoce como ACL nombradas.

Ejemplo
Debido a que se comprueban secuencialmente, el orden en que se definen las condiciones dentro
del ACL es importante y hay que diseñar la ACL con una secuencia de condiciones correcta
definiendo las condiciones desde los casos más específicos, hasta los más generales. Es decir, las
excepciones tienen que estar antes de la condición general.
Por ejemplo, se supone que se quiere crear una ACL que rechaza el tráfico de todos los equipos
de la red 192.168.1.0/24 excepto el tráfico desde un equipo concreto de ella, como puede ser el
192.168.1.24.
Si la secuencia de condiciones que forma la ACL es:
Si el paquete procede de la red 192.168.1.0/24, se rechaza.
Si el paquete procede del equipo 192.168.1.24, se acepta.
Suponiendo que llega un paquete que procede del equipo 192.168.1.24, el paquete se rechaza ya
que se cumple la primera condición (el paquete procede de la red 192.168.1.0/24) y no se pasa a
comprobar la segunda condición.
En cambio, si la ACL se define con la siguiente secuencia de condiciones:
Si el paquete procede del equipo 192.168.1.24, se acepta.
Si el paquete procede de la red 192.168.1.0/24, se rechaza.
Cuando llegue un paquete cuyo origen es el equipo 192.168.1.24, el paquete se va a aceptar
porque se cumple la primera condición.

Por tanto, es importante que la secuencia en que se definen las condiciones sea la correcta,
indicando primero las condiciones más específicas (aquellas que hacen referencia a equipos) y
después las más generales (las que se refieren a redes o subredes).

Es aconsejable usar un editor de texto para definir y documentar la secuencia de condiciones que
forman la ACL y, después, declararlas en el router.

Firewall con estado

Realizan un seguimiento de las direcciones IP de origen y destino, los puertos, las aplicaciones,
etc… antes de que el cliente examine las normas de firewall, toma decisiones sobre el flujo de
tráfico que se basa en la información de conexión.
Si una norma firewall permite que un equipo se conecte a un servidor web, el firewall registra
información sobe la conexión. Cuando el servidor contesta, el firewall detecta que se espera una
respuesta del servidor web al equipo.
Los firewall de nueva generación (NGFW), además de poseer metodologías de revisión y
protección de información, han de mantener el rendimiento elevado y la baja latencia para que
las redes con alto tráfico sigan funcionando óptimamente.
Los NGFW
Control de aplicaciones, debe controlar el nivel de acceso que tiene cada usuario en su
organización.
Por ejemplo, una empresa puede decidir que su área contable vea Facebook y reestringir el uso
de chat en la página pero el NGFW debería facilitar la creación de una regla que prohíba al
personal de contabilidad descargar hojas de cálculo u otros documentos de texto o PDF que
pudieran exponer la propiedad intelectual o confidencial incluyendo datos financieros.
Sistema de prevención de intrusiones (IPS) completamente integrado y enviarlos a la consola del
firewall, se pueden configurar reglas automáticamente.
Sandbox basado en la nube de malware, un IPS integrado detectará y automatizará el bloqueo de
las amenazas conocidas. Sin embargo, gran parte de los ataques de día cero más maliciosos y de
las amenazas persistentes avanzadas se basan en amenazas desconocidas, por ejemplo
Ransomware por lo que los NGFW también deben ofrecer un sandbox basado en nube.

Firewall perimetral
Añade protección extra a su red de computadoras limitando los ataques a puertos con
vulnerabilidades de equipos y servidores, los accesos no autorizados, y la mayoría de
los códigos maliciosos automatizados.
El firewall opera como un filtro que examina todos los paquetes que se dirigen hacia la red
corporativa y compara la información del encabezado con reglas previamente establecidas. Si la
dirección IP y el puerto son válidos de acuerdo con las reglas, el paquete es entregado, en caso
contrario se desecha. La misma operación es realizada con los paquetes que son enviados desde
interior hacia Internet. Por lo tanto, al desechar paquetes que no están permitidos y en
consecuencia evitar conexiones que no son válidas de acuerdo a las reglas, el firewall puede
evitar la propagación de códigos maliciosos a través de la red, accesos no autorizados o posibles
intrusiones de terceros a la red corporativa.
 Los ZPF
Básicamente es un router en distintas zonas, en las que podemos declarar a una de ellas como
origen y otra como destino.

Como configurar

R3(config)# zone security ZONADENTRO

R3(config)# zone security ZONAFUERA

Ahora creamos una lista de acceso para permitir o denegar el tráfico que queremos que pase, en
nuestro caso desde nuestra red 192.168.3.0 queremos que vaya a cualquier destino:

R3(config)# Access-list 101 permit 192.168.3.0 0.0.0.255 any

A continuación, declaramos un mapa dónde tendremos que incluir la lista de control de acceso
previamente hecha:

R3(config)# class-map type inspect match-all MIMAPA

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

Una vez configurado el mapa con el nombre de MIMAPA (todo lo que está en mayúsculas son
nombres identificativos). Ahora realizaremos una política basada en nuestro mapa:

R3(config)# police-map type inspect MIPOLITICA

R3(config-pmap)# class type inspect MIMAPA

R3(config-pmap-c)# inspect

Ahora vamos a crear un par de zonas dónde diremos qué zona (hechas al principio) serán la del
origen y cual la del destino. Además de aplicar la política que acabamos de realizar a nuestro par
de zonas:

R3(config)# zone-pair security MIPARDEZONAS source ZONADENTRO destination

ZONAFUERA

R3(config-sec-zone-pair)# service-policy type inspect MIPOLITICA

R3(config-sec-zone-pair)#exit

Y por último sólo queda poner a cada interfaz la zona a la que pertenece:

REPORT THIS AD

R3(config)# interface fastEthernet0/0

R3(config-if)# zona-member security ZONADENTRO

R3(config-if)# exit

R3(config)# interface serial0/0

R3(config-if)# zona-member security ZONAFUERA

R3(config-if)# exit

Para verificar esta práctica yo he usado el comando: show policy-map type inspect zone-pair
sessions

Bibliografía
https://www.youtube.com/watch?v=Yq4gGZfwoUk
https://yomeinnovo.wordpress.com/2014/04/26/firewall-y-usos-en-redes/
https://yomeinnovo.files.wordpress.com/2014/04/capt22ura.png
IACC (2019). Implementación de Firewall. Redes y Seguridad. Semana 4.