Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Para la seguridad de las redes de trasmisión de datos TCP/IP de forma general los
administradores utilizan firewalls o cortafuegos para protegerlas contra el acceso no permitido
por la red, aplicando políticas de seguridad para el filtrado de los paquetes que transitan por los
canales de trasmisión de datos. Para ello se utiliza lo que se denomina una Lista de Control de
Accesos.
Una Lista de Control de Accesos (ACL: Access Control List) es una serie de instrucciones que
controlan que en un router se permita el paso o se bloqueen los paquetes IP de datos, que maneja
el equipo según la información que se encuentra en el encabezado de los mismos.
Tipos de ACL:
Al crear una lista de control de acceso un administrador de red tiene varias opciones; en este
sentido, la complejidad del diseño de dicha red determina el tipo de ACL necesaria. Por lo
general, existen dos tipos clásicos de ACL:
ACL estándar: que permiten el filtrado de paquetes de datos únicamente verificando la dirección
IP de origen. De esta manera, si un dispositivo es denegado por una ACL estándar, se deniegan
todos los servicios provenientes de él. Este tipo de ACL sirve para permitir el acceso de todos los
servicios de un usuario específico, o LAN, a través de un router y a la vez, denegar el acceso de
otras direcciones IP. Las ACL estándar están identificadas por el número que se les ha asignado.
Para las listas de acceso que permiten o deniegan el tráfico IP, el número de identificación puede
variar entre 1 y 99 o entre 1300 y 1999.
ACL extendidas: filtran no sólo según la dirección IP de origen, sino también según la dirección
IP de destino, el protocolo y los números de puertos. Con frecuencia son más empleadas que las
ACL estándar, porque son más específicas y ofrecen un mayor control. El rango de números de
las ACL extendidas va de 100 a 199 y de 2000 a 2699.
Adicionalmente, tanto a las ACL estándar como extendidas es posible hacerles referencia
mediante un nombre descriptivo en lugar de un número, lo que se conoce como ACL nombradas.
Ejemplo
Debido a que se comprueban secuencialmente, el orden en que se definen las condiciones dentro
del ACL es importante y hay que diseñar la ACL con una secuencia de condiciones correcta
definiendo las condiciones desde los casos más específicos, hasta los más generales. Es decir, las
excepciones tienen que estar antes de la condición general.
Por ejemplo, se supone que se quiere crear una ACL que rechaza el tráfico de todos los equipos
de la red 192.168.1.0/24 excepto el tráfico desde un equipo concreto de ella, como puede ser el
192.168.1.24.
Si la secuencia de condiciones que forma la ACL es:
Si el paquete procede de la red 192.168.1.0/24, se rechaza.
Si el paquete procede del equipo 192.168.1.24, se acepta.
Suponiendo que llega un paquete que procede del equipo 192.168.1.24, el paquete se rechaza ya
que se cumple la primera condición (el paquete procede de la red 192.168.1.0/24) y no se pasa a
comprobar la segunda condición.
En cambio, si la ACL se define con la siguiente secuencia de condiciones:
Si el paquete procede del equipo 192.168.1.24, se acepta.
Si el paquete procede de la red 192.168.1.0/24, se rechaza.
Cuando llegue un paquete cuyo origen es el equipo 192.168.1.24, el paquete se va a aceptar
porque se cumple la primera condición.
Por tanto, es importante que la secuencia en que se definen las condiciones sea la correcta,
indicando primero las condiciones más específicas (aquellas que hacen referencia a equipos) y
después las más generales (las que se refieren a redes o subredes).
Es aconsejable usar un editor de texto para definir y documentar la secuencia de condiciones que
forman la ACL y, después, declararlas en el router.
Firewall perimetral
Añade protección extra a su red de computadoras limitando los ataques a puertos con
vulnerabilidades de equipos y servidores, los accesos no autorizados, y la mayoría de
los códigos maliciosos automatizados.
El firewall opera como un filtro que examina todos los paquetes que se dirigen hacia la red
corporativa y compara la información del encabezado con reglas previamente establecidas. Si la
dirección IP y el puerto son válidos de acuerdo con las reglas, el paquete es entregado, en caso
contrario se desecha. La misma operación es realizada con los paquetes que son enviados desde
interior hacia Internet. Por lo tanto, al desechar paquetes que no están permitidos y en
consecuencia evitar conexiones que no son válidas de acuerdo a las reglas, el firewall puede
evitar la propagación de códigos maliciosos a través de la red, accesos no autorizados o posibles
intrusiones de terceros a la red corporativa.
Los ZPF
Básicamente es un router en distintas zonas, en las que podemos declarar a una de ellas como
origen y otra como destino.
Como configurar
Ahora creamos una lista de acceso para permitir o denegar el tráfico que queremos que pase, en
nuestro caso desde nuestra red 192.168.3.0 queremos que vaya a cualquier destino:
A continuación, declaramos un mapa dónde tendremos que incluir la lista de control de acceso
previamente hecha:
R3(config-cmap)# exit
Una vez configurado el mapa con el nombre de MIMAPA (todo lo que está en mayúsculas son
nombres identificativos). Ahora realizaremos una política basada en nuestro mapa:
Ahora vamos a crear un par de zonas dónde diremos qué zona (hechas al principio) serán la del
origen y cual la del destino. Además de aplicar la política que acabamos de realizar a nuestro par
de zonas:
R3(config-sec-zone-pair)#exit
Y por último sólo queda poner a cada interfaz la zona a la que pertenece:
REPORT THIS AD
R3(config-if)# exit
R3(config-if)# exit
Para verificar esta práctica yo he usado el comando: show policy-map type inspect zone-pair
sessions
Bibliografía
https://www.youtube.com/watch?v=Yq4gGZfwoUk
https://yomeinnovo.wordpress.com/2014/04/26/firewall-y-usos-en-redes/
https://yomeinnovo.files.wordpress.com/2014/04/capt22ura.png
IACC (2019). Implementación de Firewall. Redes y Seguridad. Semana 4.