REDES DE

COMPUTADORAS
Ciclo 2023-2

Semana 11

SEGURIDAD EN
COMUNICACIONES DE RED
Fuente: Imagen extraída de Google Centros de Datos (2023)
 Logro de la semana

Al final de la semana el estudiante comprende el funcionamiento de la Seguridad de

Comunicaciones de Red, abordando conceptos de Cortafuegos (Firewall), Listas de
Control de Acceso (ACL) y Redes Privadas Virtuales (VPN).
AGENDA

• FIREWALL
• Listas de control de acceso y fragmentos de IP
• VPN
 1.- FIREWALL

* Láminas extraídas del material de CISCO CCNA

Fuente: Imagen extraída de Google Centros de Datos (2023)

 Firewall

Es una barrera entre las redes internas (LAN) y redes externas (WAN: Internet)

Monitorea tráfico entrante Monitorea tráfico saliente

Puede ser Hardware o Software

Cuenta con reglas de seguridad

Decide si bloquea o permite un determinado tráfico

 Los firewalls
Objetivo: Control de Acceso.

Decisiones de diseño:
▪ Posición.
▪ Política de seguridad de la organización.
▪ Costo.
▪ Componentes

Características
▪ Inspeccionan y filtran paquetes.
▪ Resistentes a ataques. <- Resistencia

▪ Único punto de tránsito entre redes: todo el tráfico fluye a

través del firewall.
▪ Refuerzan las políticas de control de acceso.
 Cuadrante mágico de Gartner

Imagen obtenida de: https://www.paloaltonetworks.com/network-security/next-generation-firewall/pa-7000-series

Fuente: https://www.fortinet.com/solutions/gartner-network-firewalls
 Ejemplo de Firewalls comerciales

ASA 5506-X Cisco Firepower 9300

300 Mbps 80 Gbps
FortiGate 7060E FortiGate 5001E
$1,000 $30,144.98
630 Gbps 1.12 Tbps
Fuente: https://www.cisco.com/c/en/us/products/collateral/security/firepower-9000-series/datasheet-c78-742471.html
https://www.cisco.com/c/en/us/products/security/asa-firepower-services/index.html#~models
$495,568.99 $2,268,027.99

Fuente: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_7000_Series_Bundle.pdf
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_5000_Series.pdf
Ejemplo de IPS

Fuente: https://www.fortinet.com/lat/products/ips
SNORT 3.0

Fuente: https://www.snort.org
 Configuración básica de Firewall ASA 5505

Internet
OUTSIDE (0)

DMZ (50)

INSIDE (100)

Desde un nivel de seguridad mayor se puede alcanzar a las redes de menor seguridad
 Configuración básica de Firewall ASA 5506-X en Packet Tracer
1°: Implementar la siguiente topología.
2°: Configurar las interfaces del Router
Router>enable
Router#configure terminal
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip address 8.8.8.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip address 10.1.1.2 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1
3°: Configurar el Firewall
ciscoasa>enable
Password: [No se pone ningún password: solo enter]
ciscoasa#configure terminal
ciscoasa(config)#interface gigabitEthernet 1/1
ciscoasa(config-if)#ip address 10.1.1.1 255.255.25.252
ciscoasa(config-if)#nameif OUTSIDE
ciscoasa(config-if)#security-level 0
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#exit
ciscoasa(config)#interface gigabitEthernet 1/2
ciscoasa(config-if)#ip address ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)#nameif INSIDE
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#exit
ciscoasa(config)#route OUTSIDE 0.0.0.0 0.0.0.0 10.1.1.2
 2.- LISTAS DE CONTROL DE ACCESO
(ACL)

* Láminas extraídas del material de CISCO CCNA

Fuente: Imagen extraída de Google Centros de Datos (2023)

 Listas de control de acceso (ACL: Access Control List)

Permite o deniega el ingreso/salida de un determinado tipo de tráfico

R2

Se implementan en los Routers, Switches, Firewalls

Numeración de 1-99 y
Estándar Bloquea a nivel de L3
1300-1999

ACL numeradas

Numeración de 101-199 y
Extendido Bloquea a nivel de L4/L5
2000-2699

También pueden usar ACL con nombres (named ACL): Se sugiere que el nombre esté con MAYÚSCULAS
 Configuración de las ACL
Estándar Extendido

Configurar en el Router más Configurar en el Router más

cercano al destino cercano al origen

La regla debe estar lo más cercana a la La regla debe estar lo más cercana a la
red que quieres proteger red que quieres bloquear

Se debe indicar si aplica para

Para permitir el tráfico usar: Para denegar el tráfico usar: entrada o salida

permit deny IN / OUT

Cada ACL se aplica a una interfaz del Router

Tener cuidado con el orden en el que se configura una ACL: Se leen de arriba hacia abajo
Implementar la siguiente topología

• Configurar el direccionamiento IP.

• Usar el protocolo de enrutamiento de su preferencia.
 ACL estándar numerada en R2
En el R2 se desean aplicar las siguientes políticas de red:
• La red 192.168.11.0/24 no tiene permiso para acceder al servidor web en la red 192.168.20.0/24.
• Se permite el resto de los tipos de acceso.
Solución: Crear una ACL con el número 1 en el R2 con una instrucción que deniegue el acceso a la red 192.168.20.0/24 desde la
red 192.168.11.0/24.

1°.- Denegar el acceso a la red 192.168.11.0:

Router(config)#access-list 1 deny 192.168.11.0 0.0.0.255
192.168.20.0/24

G0/0 2°.- Siempre, se debe permitir todo lo demás

OUT
Router(config)#access-list 1 permit any
R2
3°.- Aplicar el ACL en la interfaz G0/0
S0/0/0 S0/0/1
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip access-group 1 out
10.2.2.0/30
10.1.1.0/30

Para verificar: Router#show running-config Router#show access-lists

Para eliminar: Router# no access-list 1

 ACL estándar numerada en R3
En el R3 se desean aplicar las siguientes políticas de red:
• La red 192.168.10.0/24 no tiene permiso para comunicarse con la red 192.168.30.0/24.
• Se permite el resto de los tipos de acceso.
Crear una ACL con el número 1 en el R3 con una instrucción que deniegue el acceso a la red 192.168.30.0/24 desde la red de la
PC1 (192.168.10.0/24).

10.2.2.0/30 1°.- Denegar el acceso a la red 192.168.11.0:

Router(config)#access-list 1 deny 192.168.10.0 0.0.0.255

2°.- Siempre, se debe permitir todo lo demás

R3 OUT Router(config)#access-list 1 permit any
G0/0
3°.- Aplicar el ACL en la interfaz G0/0
192.168.30.0/24 Router(config)#interface GigabitEthernet0/0
10.3.3.0/30
Router(config-if)#ip access-group 1 out
 ACL extendida numerada en R1
• Agregar un servidor DNS, de tal forma que cuando se acceda a la dirección www.redes2023.com te redirija al servidor web
(192.168.20.254).
• A la red 192.168.10.0/24 se le denegará el acceso al servidor web en HTTP. Todo lo demás estará permitido.

10.1.1.0/30 10.3.3.0/30

IN

192.168.11.0/24
192.168.10.0/24

Router(config)#access-list 101 deny tcp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq 80

Router(config)#access-list 101 permit ip any any
Router(config)#interface gigabitEthernet 0/0
Router(config)#ip access-group 101 in
 3.- VPN

* Láminas extraídas del material de CISCO CCNA

Fuente: Imagen extraída de Google Centros de Datos (2023)

 VPN (Virtual Private Network)

Conexiones virtuales enrutadas a través de Internet desde red privada que usa red
pública para conectar sitios o usuarios remotos entre sí
 Tipos de VPN
Ambos dispositivos Transparente para host. Extensión de red WAN clásica
Site to site conocen la configuración
VPN con anticipación Gateway VPN encapsula y cifra tráfico usando túnel VPN

Activación o Desactivación a demanda

Intercambio dinámico de información

Acceso a empleados a
Acceso remoto distancia, equipos móviles Arquitectura Cliente (host) / Servidor (Servidor VPN)
y extranet
Protocolos VPN
Preguntas / Comentarios