unidad 3. seguridad de la red

Optimizacin de redes

Unidad 3. Seguridad de la red

Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica

Ingeniera en Telemtica

Programa de la asignatura:


Unidad 3. Seguridad de la Red

Clave:

210930831

I

Universidad Abierta y a Distancia de Mxico



Ciencias Exactas, Ingeniera y Tecnologa | Ingeniera en Telemtica 1

ndice

Unidad 3. Seguridad de la red ........................................................................................... 2

Presentacin de la unidad .............................................................................................. 2

Propsitos ...................................................................................................................... 5

Competencia especfica ................................................................................................. 5

3.1. Seguridad de la Red ................................................................................................ 6

3.1.1. Conceptos de Seguridad de la red .................................................................... 8

3.1.2. Tipos de amenazas ........................................................................................... 9

Actividad 1. Seguridad en la red ................................................................................... 12

3.2. Seguridad para routers .......................................................................................... 13

3.2.1. Aspectos de seguridad para ruteadores .......................................................... 13

3.2.1. Servicios de red y administracin .................................................................... 18

Actividad 2. Configuracin de router seguro ................................................................. 20

3.3. Listas de Acceso Controlado (ACL) ....................................................................... 20

3.3.1. Qu son las ACL ............................................................................................. 21

3.3.2. Configuracin estndar ACL ........................................................................... 25

3.3.3. Configuraciones extendidas y complejas ........................................................ 30

Actividad 3. ACL ........................................................................................................... 36

Autoevaluacin ............................................................................................................. 37

Evidencia de aprendizaje. Seguridad y diseo de una WAN ........................................ 37

Autorreflexin ............................................................................................................... 38

Cierre de la unidad ....................................................................................................... 38

Para saber ms ........................................................................................................ 39

Fuentes de consulta ..................................................................................................... 39





Presentacin de la unidad

En las unidades anteriores pudiste conocer cmo se estructuran y disean las WAN,

incluso aprendiste a configurar los enlaces PPP, ISDN y Frame Relay, sin embargo para

que el diseo de toda red este completo es necesario proveer a la misma de los

esquemas bsicos de seguridad, ya que este es un aspecto fundamental en la instalacin

y la administracin de las WAN.

El reto de la seguridad es proveer un equilibrio entre la necesidad de poseer redes

abiertas a el intercambio de informacin entre organizaciones distintas y el proteger los

datos privados de la organizacin y de las personas.

La definicin de una poltica de seguridad es de suma importancia pues permite a las

organizaciones proteger sus redes, brindando pautas que permiten que las actividades se

realicen de forma segura y fiable, adems de brindar los recursos necesarios que deben

usarse para proporcionar seguridad en la red de cualquier organizacin.

En esta unidad analizars los esquemas de seguridad de la red en la capa 2 de OSI, lo

que te permitir identificar las amenazas que existen en las redes, as como describir

cules mtodos se pueden utilizar para evitar amenazas de seguridad en las WAN.

Tambin aprenders a configurar esquemas de seguridad basados en listas de acceso

controlado en los routers, permitiendo as enlaces con seguridad en las interfaces de

conexin de stos. En esta unidad encontrars el trmino de routers que se usar

indistintamente para hacer referencia a los ruteadores.

En la siguiente infografa podrs visualizar diferentes elementos de seguridad como son

las variantes de ACL que permiten o deniegan el acceso; con dichos elementos se

permite filtrar los diversos paquetes que viajan en la red y que a su vez infieren en el

trfico de la misma.




Propsitos

En esta unidad logrars:

Analizars los esquemas de seguridad de la

red en la capa 2 de OSI, lo que te permitir

identificar las amenazas que existen en las

redes

Adems describirs los mtodos utilizados

para evitar amenazas de seguridad en las

WAN. Tambin se utilizarn un conjunto de

actividades para confirmar y reforzar tu

aprendizaje.

Al finalizar esta unidad podrs aplicar las

diversas tcnicas de seguridad apropiadas

para habilitar servicios WAN confiables y

seguros.

Competencia especfica

Aplicar las distintas tcnicas de las

listas de acceso controlado para

configurar los dominios de broadcast

de una WAN simulando un diseo de

redes de rea amplia segura.




3.1. Seguridad de la Red

La seguridad de la red ha sido una cuestin de importancia desde hace mucho tiempo, y

aunque cuando las LAN conectaban a las computadoras personales en los aos ochenta,

la seguridad no era el objetivo nmero uno, ya que en ese tiempo las redes eran cerradas,

con lo cual las medidas de seguridad solo se centraban en cuestiones de seguridad de

infraestructura fsicas (amenazas al hardware, amenazas ambientales, amenazas

elctricas y amenazas al mantenimiento). En la actualidad, sin embargo, la seguridad en

las redes se encuentra en la parte superior de la lista de prioridades, ya que las redes han

crecido, evolucionado y proveen comercio electrnico o servicios en lnea, esto a

consecuencia que las redes ahora son abiertas (Stallings, 2009).

La seguridad de las redes parte de que una red sea abierta o cerrada, ya que de eso depender el tipo de amenazas a las que pueda estar sujeta la red, estas amenazas pueden ser:

Amenazas Internas

Amenazas externas A continuacin se muestra un esquema que ejemplifica de cada una de este tipo de redes

Red cerrada sin problemas de amenazas externas pero s internas (Cisco, Gua del

segundo ao CCNA 3 y 4, 2008)

Red Abierta con problemas de amenazas internas y externas. (Cisco, Gua del segundo ao CCNA 3 y 4,

2008)

Uno de los desafos a la seguridad de la red es que las amenazas a la red cambian

constantemente, y t debes de poder hacer frente a stas, diseando redes con las

mejores prcticas en seguridad que permitan monitorear constantemente el trfico en la

red.




Adems que casi todo esquema de seguridad es nico y muy particular ya que puede ir

desde una red completamente abierta, donde se permite acceso a cualquier servicio,

hasta una red completamente cerrada y restrictiva, en la cual se deniegan permiso de

manera predeterminada, a menos que se considere necesario el acceso.

En las redes abiertas, los riesgos son evidentes, pues el acceso no est restringido, sin

embargo las redes cerradas, las reglas de acceso se definen por medio de polticas,

denominadas polticas de seguridad, las cuales pueden reglamentar servicios de red

como se crea pertinente por la organizacin, un ejemplo podra ser el prohibir el uso de

las redes sociales.

La poltica de seguridad define qu tan abierta o cerrada es una red, por lo que podra

proponerse una red completamente cerrada al exterior, proporcionando solo conectividad

al interior de la organizacin y a las personas y sitios de confianza. Estas redes se

consideran seguras contra los ataques externos, pero aun as siguen existiendo

amenazas internas. (Baker, 2012)

Las amenazas se incrementarn en base al tipo de red tengamos si es abierta o cerrada, a continuacin se muestra un comparativo, siendo la mejor opcin un modelo equilibrado que permita combinar permisos especficos con restricciones determinadas.

Una red cerrada es una red donde todo lo que no est explcitamente permitido se niega, lo que da como consecuencia una red de difcil configuracin y administracin, el acceso de los usuarios a los recursos es complicado y difcil, y tiene un costo muy elevado en seguridad. Red Cerrada (Baker, 2012)

Una red abierta es una red donde se permite todo aquello que no est explcitamente denegado y que es fcil de configurar y administrar, el acceso a los recursos por parte de los usuarios es sencillo y el costo de seguridad es muy bajo Red Abierta (Baker, 2012)

De acuerdo con el tipo de red que desees tener, deber ser necesario desarrollar una

poltica de seguridad, la cual definir el que est permitido y que no en sta.

A manera de recordatorio en lo visto en las asignaturas de seguridad. Cisco considera que una poltica de seguridad es una declaracin formal de las normas por las que se deben regir las personas que obtienen acceso a los bienes de tecnologa e informacin de una organizacin. Una poltica de seguridad puede ser tan simple como una breve Poltica de uso aceptable para recursos de red, o puede




contener varios cientos de pginas y detallar cada aspecto de conectividad y las polticas asociadas. (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)

3.1.1. Conceptos de Seguridad de la red

Como ha mencionado, los desafos de la seguridad evolucionan, con base en el tipo de

vulnerabilidad, de amenaza, y/o ataque se configure en su contra.

Una vulnerabilidad es una debilidad de una red y cada uno de los dispositivos que en ella

actan, como pueden ser routers, switches, computadoras personales, servidores y

dispositivos de seguridad.

Existen 3 tipos de vulnerabilidades:

Debilidades tecnolgicas: Son debilidades propias de las TIC como podran ser, las

debilidades propias de los protocolos de comunicaciones, de los dispositivos y del

software.

Debilidades en la configuracin: Son definidas por la mala configuracin de los

dispositivos y de red.

Debilidades en la poltica de seguridad: Si los usuarios no respetan la poltica de

seguridad esto acarrear riesgos de seguridad.

Debilidades tecnolgicas

Estas debilidades pueden dividirse en: debilidades derivadas del protocolo TCP/IP,

debilidades dependientes de los sistemas operativos y debilidades basadas en los

equipos de red.

Las debilidades debidas al protocolo TCP/IP, se refieren a aquellas fallas de seguridad

que algunos protocolos tienen y que sirven para ser utilizadas por algn tipo de amenaza,

los protocolos con mayor riesgo de ataques son: el protocolo de transferencia de

hipertexto (HTTP, Hypertext Transfer Protocol), el protocolo de transferencia de archivos

(FTP, File Transfer Protocol) y el protocolo de mensajes de control de Internet (ICMP,

Internet Control Message Protocol). Estos protocolos son utilizados por los hackers para

crear backdoors y acceder a los sistemas.

Las debilidades en seguridad debidas a los sistemas operativos son aquellas atribuidas a

cada uno de los problemas de seguridad que tienen los sistema operativo .Todas estas

debilidades que son utilizadas para vulnerar los sistemas se encuentran documentadas

por un grupo de especialistas de cada sistema operativo que se encuentran reunidos en lo

que se denomina el equipo de respuesta para emergencias computacionales o




(CERT, Computer Emergency Response Team). Las debilidades de los equipos de red

hacen referencia a cmo los routers, los firewalls y los switches tienen debilidades de

seguridad que deben ser conocidas y combatidas para evitar ataques; las debilidades

ms comunes de este tipo son: la falta de proteccin de contraseas, la nula

autenticacin, los ataques a protocolos de enrutamiento y los agujeros de firewall.

Debilidades de configuracin

Estas debilidades hacen referencia a cuentas de acceso de los usuarios inseguras, o

servicios o equipos mal configurados, donde en el primer caso la informacin de una

cuenta se puede transmitir de manera insegura a travs de la red, exponiendo nombres

de usuario y contraseas a terceros o cuando las cuentas del sistema tienen contraseas

fciles de adivinar.

Para el caso de una mala configuracin de los equipos o de los servicios podemos

encontrar servicios de Internet mal configurados lo que permite ataques mediante scripts

hostiles cuando se accede a sitios no confiables, o malas configuraciones en los equipos

que pueden causar problemas de seguridad importantes.

Debilidades en las polticas de seguridad

Como podrs ver en el tercer tema de esta unidad, las polticas coadyuvan a definir el

uso de ciertos protocolos y accesos a servicios que se proporcionan dentro de una red. Es

importante destacar que el uso de listas de acceso (ACL), permiten al administrador tener

un mayor grado de control y seguridad en el trfico de la red.

3.1.2. Tipos de amenazas

Las amenazas son por lo regular individuos calificados e interesados en aprovechar cada

una de las debilidades de la red. Dichas personas buscan continuamente nuevas

debilidades en la red para explotarlas.

Los trminos ms comunes utilizados en el tpico de seguridad de la red, haciendo

referencia al atacante son de acuerdo a Baker, (2012):

Hacker: es el trmino utilizado para definir a un individuo que es experto en el rea de

sistemas de informacin. Aunque recientemente este vocablo se ha venido usando

para describir a personas logran tener acceso no autorizado a las redes con

intenciones maliciosas.

Hacker de sombrero blanco: Es un individuo que est constantemente buscando las

vulnerabilidades en sistemas informticos o en redes, y que al encontrarlas las




reportan a los responsables de los sistemas para que las resuelvan. Nunca realizan

abusos en los sistemas.

Hacker de sombrero negro: individuo que aplica sus conocimientos en sistemas de

informacin o en redes para obtener beneficios personales.

Por lo general, un hacker de sombrero blanco se concentra en proporcionar seguridad a los sistemas informticos, mientras que a un hacker de sombrero negro (el opuesto) le gustara entrar por la fuerza en ellos. (Cisco, Gua del segundo ao CCNA 3 y 4, 2008)

Cracker: es una persona que obtiene acceso no autorizado a los recursos de la red

con intenciones maliciosas.

Phreaker: Es un individuo que manipula la red de telefona para llamadas de larga

distancia gratuitas.

Spammer: Individuo que enva mensajes de correo electrnico no solicitados y que

utilizan virus para tomar el control de las computadoras y usarlas para enviar sus e-

mails.

Estafador: Persona que usa las TIC para engaar a otros individuos para que le den

su informacin personal, como pueden ser los nmeros de tarjetas de crdito o

passwords.

El objetivo de cualquiera de estos tipos de agresores es afectar una red o una aplicacin

que se ejecuta dentro de una red, siendo los ataques informticos ms frecuentes (Baker,

2012):

Virus

Suplantacin de identidad

Denegacin de servicio

Acceso no autorizado a la informacin

Utilizacin de Bots

Robo de informacin

Penetracin en el sistema

Fraude

Deteccin de contraseas

Registro de claves

Ataque a sitios Web




La mayora de los atacantes no quieren ser descubiertos cuando realizan un ataque,

razn por la cual utilizarn diversas tcnicas para no ser descubiertos cuando realizan sus

fechoras.

Mtodos de Ataque

Las tcnicas de ataque ms utilizadas por los atacantes de acuerdo a Stallings, (2009)

son:

Reconocimiento: Este es el proceso de deteccin que se utiliza para encontrar

informacin acerca de la red, como podra ser la exploraciones de la red para

averiguar direcciones IP, escanear la red para conocer qu puertos estn

abiertos. Por lo general este es el primer paso para descubrir que hay en la red y

ver cmo est configurada, y as poder determinar que vulnerabilidades

potenciales existen.

Ingeniera social: Este tipo de ataque se centra en la debilidad nmero uno de la

red, el usuario. Aqu el atacante utiliza al usuario para que este le revele

informacin sensible por medio de un correo electrnico o pginas web, en el cual

el usuario har clic en algn link que lleva al atacante obtener informacin. La

ingeniera social tambin puede hacerse en persona o por telfono. Ejemplos de

este tipo de amenaza son el phishing y el pharming; el primero presenta un

enlace que parece un recurso de confianza vlido para un usuario, cuando el

usuario hace clic en l, se solicita al usuario a revelar informacin confidencial

como nombres de usuario / contraseas. Para el caso del pharming se utiliza una

URL para dirigir a un cliente de un recurso vlido a uno malicioso que pudiera

aparecer como el sitio que valida al usuario.

Escalamiento de privilegios: Este es el proceso de tomar un cierto nivel de

acceso (ya sea autorizado o no). Un ejemplo es cuando un atacante logra acceder

al modo de usuario a un router y luego utiliza un ataque de fuerza bruta atentado

contra el router, para determinar cul es el password del modo protegido del router

para realizar modificaciones en la configuracin de este.

Back doors o puertas traseras: Por lo regular cuando un atacante logra tener

acceso a un sistema, este desea poder seguir entrando sin ser detectado, por esa

razn los atacantes instalan aplicaciones que ya sea permitan el acceso futuro o

que recopilen informacin para su uso en nuevos ataques.

Los ataques informticos ms

comunes son los referentes a:

Reconocimiento: Es el descubrimiento y la asignacin no autorizados de sistemas, servicios o vulnerabilidades. Tambin se




Tipos de ataques informticos ms comunes

(Stallings, 2009)

conoce como recopilacin de informacin y en la mayora de los casos, precede a otro tipo de ataque.

Acceso: El acceso a los sistemas es la capacidad de un intruso de obtener acceso a un dispositivo respecto del cual no tiene cuenta ni contrasea.

Denegacin de servicios (DoS): Se lleva a cabo cuando un agresor desactiva o daa redes, sistemas o servicios, con el propsito de denegar servicios a los usuarios a quienes estn dirigidos. Los ataques de DoS incluyen colapsar el sistema o desacelerarlo hasta el punto en que queda inutilizable.

Cdigos maliciosos: Las principales vulnerabilidades de los usuarios finales son los ataques de gusanos, virus y caballos de Troya.

Actividad 1. Seguridad en la red

Bienvenido(a) a la primer actividad de la tercera unidad!

Como recomendacin general y para realizar la mayora de las actividades de esta

asignatura, ten siempre en cuenta (antes, durante y despus) las recomendaciones de tu

Facilitador(a).

Esta actividad es colaborativa y tiene como propsito que identifiques las diferentes

amenazas a las que una red est expuesta, y cules podran ser las medidas de

prevencin que se aplicaran a cada una de estas amenazas.

1. Ingresa al foro de la actividad, participa sobre el tema de acuerdo con la

pregunta o situacin que inicie tu Facilitador(a), para que as puedas realizar

tus aportaciones.




2. En lo posible participa retroalimentando a mnimo dos de tus compaeros(as).

3. Espera el cierre de los aportes con la conclusin de tu Facilitador(a).

*Revisa los criterios de evaluacin de la actividad.

3.2. Seguridad para routers

Los esquemas de seguridad en los routers son un elemento bsico y que adems sirven

para el diseo de toda red, ya que sin stos no se tendr una red segura.

Comnmente los routers son objetos de ataques por parte de los agresores de la red, ya

que tratan de obtener acceso al router, para convertirlo en una ayuda potencial para sus

ataques, por lo que conocer las funciones que cumplen los routers en la red ayudar a

determinar cules pueden ser las vulnerabilidades que los routers pueden tener y as

evitarlas.

De acuerdo a Baker (2012), los routers cumplen las siguientes funciones:

Publicar las redes y filtrar a quienes pueden utilizarlas.

Proporcionar acceso a los segmentos de las redes y a las subredes.

Debido a que los routers son la pasarela a otras redes, estn sujetos a una diversidad de

ataques como pueden ser:

Comprometer el control de acceso al router, esto permite exponer los detalles de

configuracin de la red y as se facilitan los ataques contra otros componentes de la

red.

Si las tablas de enrutamiento son comprometidas, se puede afectar el rendimiento de

la red, realizar ataques de DoS y exponer informacin confidencial.

Una mala configuracin de una lista de acceso controlado (ACL) puede exponer los

componentes internos de la red a escaneos y ataques, lo que ayuda a los agresores a

evitar su deteccin.

Los agresores pueden comprometer a los routers de diferentes maneras, de modo que no

hay un enfoque que los administradores puedan utilizar para combatirlos.

3.2.1. Aspectos de seguridad para ruteadores

El primer paso para proteger una red, se basa en la proteccin de los routers que se

encuentran dentro de la red. Dicha seguridad de los routers se basa en:

Seguridad fsica




Seguridad y actualizacin del IOS de los routers

Configuracin y respaldo del IOS de los routers

Administracin de los puertos y servicios no utilizados

Una forma de proporcionar seguridad fsica a los routers es ubicarlos en un cuarto

cerrado con llave, al que solo el personal autorizado tenga acceso. Asimismo, dicho

cuarto no debe tener interferencia electrosttica, ni magntica y debe tener controles de

temperatura y humedad. Para disminuir la posibilidad de denegacin de servicio a causa

de una falla de alimentacin elctrica se debe de instalar una fuente de energa

ininterrumpible. Con base en lo anterior los dispositivos fsicos deben permanecer en

poder (resguardo) de una persona de confianza para que no se vean comprometidos. Un

dispositivo que se deja al aire libre podra tener troyanos o algn otro tipo de archivo

ejecutable almacenado en l (Baker, 2012).

Es necesario proveer al router de la mxima cantidad de memoria posible. La

disponibilidad de memoria puede servir como proteccin contra algunos ataques DoS,

mientras que admite la gama ms amplia de servicios de seguridad.

Las caractersticas de seguridad de un sistema operativo evolucionan con el tiempo. Sin

embargo, la ltima versin de un sistema operativo puede no ser la versin ms estable

disponible. Para obtener el mejor rendimiento de la seguridad de su sistema operativo,

utilice la versin estable ms reciente que cumpla los requisitos de las caractersticas de

su red.

Es de vital importancia tener siempre una copia de seguridad de una configuracin y el

IOS a mano para el caso de que se produzca una falla en un router. Tambin hay que

mantener una copia segura de la imagen del sistema operativo del router y del archivo de

configuracin del router en un servidor TFTP como respaldo (Baker, 2012).

De tal manera que hay que asegurar el router para hacerlo tan seguro como sea posible.

Un router tiene muchos servicios activados de forma predeterminada. Muchos de estos

servicios son innecesarios y pueden ser utilizados por un agresor para compilar o explotar

informacin. As que asegura la configuracin del router mediante la desactivacin de los

servicios innecesarios.




Seguridad en los routers (Baker, 2012)

Seguridad Fsica

Ubicacin de router

en un Site seguro

Instalacin de

U.P.S.

Operacin de

Seguridad de

Sistemas

Utiliza las ltima

versin estable que

reune los requisitos

de la red

Mantiene una copia

del Sistema

Operativo y sus

respectivos archivos

de configuracin

Fortalecimiento del

Router

Administracin

segura de Accesos

Deshabilitar puertos

e interfaces sin uso

Deshabilitar

servicios

innecesarios.

Pasos para proteger un router

Realizar una buena administracin en la seguridad del router (claves de usuario,

passwords, puertos, etc.)

Limitar el acceso remoto a la administracin del router

Realizar y supervisar las actividades del router

Generar esquemas de proteccin para las interfaces y puertos del router, para que no

se puedan realizar conexiones a estos no permitidas

Medidas de seguridad en el uso de protocolos de enrutamiento

Control y filtrado de accesos por medio de ACL




Seguridad bsica del router

La seguridad bsica de los routers se basa en la configuracin de contraseas slidas

como un elemento fundamental para controlar los accesos seguros al router.

Las buenas prcticas definen que las contraseas solidas deben de basarse en los

siguientes puntos (Baker, 2012):

No escribir las contraseas ni dejarlas en lugares obvios

Evitar el uso de palabras del diccionario que provocan que las contraseas sean

vulnerables a los ataques

Combinar letras, nmeros y smbolos. Incluir, por lo menos, una letra minscula, una

letra mayscula, un dgito y un carcter especial

Crear contraseas largas. La mejor prctica es tener, como mnimo, ocho caracteres

Las contraseas en todos los routers no son cifradas por el sistema operativo o IOS, por

lo cual si se usa el comando enable password o el comando username username

password password estas contraseas se mostraran al observar la configuracin en

ejecucin.

Por esta razn, debes encriptar las contraseas para lo cual el sistema operativo o IOS

tiene dos opciones para proteger las contraseas (Baker, 2012):

Encriptacin simple o de tipo 7. La cual usa un algoritmo de encriptacin que

oculta la contrasea mediante encriptacin simple.

Encriptacin compleja, o de tipo 5. El cual usa un hash MD5 que provee ms

seguridad.

Encriptacin simple o de tipo 7

La encriptacin tipo 7 puede ser utilizada por los comandos enable password, username

y line password, sin embargo no ofrece gran proteccin, ya que slo oculta la contrasea

utilizando un algoritmo de encriptacin simple.

Para encriptar con este mtodo se debe de utilizar el comando service password-

encryption como se lo muestra en la siguiente tabla y as evitar que las contraseas

aparezcan en la pantalla.

(Cisco, Gua del segundo ao CCNA 3 y 4, 2008)




Encriptacin compleja, o de tipo 5

La encriptacin del tipo 5 se configura al reemplazando la palabra password por secret,

lo cual permitir proteger el nivel privilegiado en el router (EXEC), en este mtodo

debemos asegurarnos que la contrasea secreta sea nica y no coincida con ninguna

otra.

Un router siempre utiliza la contrasea secreta antes que la contrasea de enable, por lo

que nunca se debe de configurar el comando enable password nunca se debe

configurar, ya que puede revelar la contrasea del sistema.

Ejemplo de Seguridad en los routers: encriptacin de claves de

usuario

Sin Encriptacin

El utilizar los comandos enable

password o username

username password password

las contraseas se despliegan al

desplegar la configuracin del

router.

Esto ocurre porque el indicador

0 denota que la contrasea no

ser ocultada.

Con Encriptacin tipo 7

Para encriptar contraseas

mediante la encriptacin se

utiliza el comando service

password-encryption con el

cual las contraseas que

aparecen en la pantalla no son

legibles.

Con Encriptacin tipo 5

La encriptacin tipo 5 se

configura reemplazando la

UnADM1(config)# username Student password unadm123 UnADM1 (config)# do show run | include username username Student password 0 unadm123 UnADM1 (config)#

UnADM1 (config)# service password-encryption UnADM1 (config)# do show run | include username username Student password 7 03075218050061 UnADM1 (config)#

UnADM1 (config)# username Student secret unadm UnADM1 (config)# do show run | include username username Student secret 5




palabra password por secret. $1$z245$lVSTJzuYgdQDJiacwP2Tv/ UnADM1 (config)#

3.2.1. Servicios de red y administracin

Cuando se administra una red es necesario conectarse a un router de manera ya sea

local o remota. Si se realiza de manera local, esto se har a travs del puerto de la

consola, porque es seguro. Sin embargo, cuando la red comienza a crecer aumenta la

cantidad de routers y switches en la red, y la administracin de manera local deja de ser

una opcin por lo que el acceso administrativo remoto se convierte en la opcin de

administracin ms comn. Pero si la administracin remota no se realiza con un modelo

de seguridad, un agresor podra recopilar informacin confidencial valiosa.

Por lo cual si se desea tener un acceso remoto, las opciones son las siguientes:

Crear una red de administracin dedicada que incluya slo hosts de administracin

identificados y conexiones a dispositivos de infraestructura. Esto se logra si se utilizan

VLAN de administracin u otras redes fsicas a la cual se deben conectar los

dispositivos.

Encriptar todo el trfico entre la computadora del administrador y el router

configurando un filtro de paquetes que permita que solamente el protocolo y los hosts

de administracin tengan acceso al router.

Administracin remota usando Telnet

El implementar el acceso remoto mediante Telnet es muy inseguro porque Telnet enva

todo el trfico de la red en forma de texto sin cifrar y alguien podra capturar el trfico de la

red y descubrir las contraseas del administrador o la informacin de configuracin del

router. Por lo cual el acceso debe ser configurado con mayores precauciones de

seguridad, protegiendo las lneas administrativas (VTY, AUX), y posteriormente configurar

el dispositivo de red para que encripte el trfico en un tnel SSH.

El acceso remoto se aplica a las lneas VTY, TTY y al puerto auxiliar (AUX) del router, y

aunque las lneas de TTY proporcionan acceso al router por medio de un mdem y son

menos comunes, aun existen en algunas instalaciones que los utilizan, razn por la cual

es importante proteger estos enlaces ms que los puertos de la terminal local.

Esto se logra mediante la configuracin del router con los comandos login y no

password que es la configuracin predeterminada de los VTY, pero no de los TTY ni del

puerto AUX. Por lo tanto, si estas lneas no son exigidas, debes de asegurarte de que

estn configuradas con la combinacin de comandos login y no password.




Todas las lneas de VTY estn configuradas de manera predeterminada para aceptar

cualquier tipo de conexin remota. Por lo cual se deben configurar para aceptar

conexiones slo con los protocolos realmente necesarios. Esto se realiza con el comando

transport input.

Otra tctica til es configurar los tiempos de espera de los VTY mediante el comando

exec-timeout. Esto impide que una sesin inactiva consuma el VTY en forma indefinida.

Esto proporciona proteccin contra las sesiones inactivas. Otra opcin es la activacin de

los mensajes de actividad de TCP en las conexiones entrantes mediante el comando

service tcp-keepalives-in para resguardarse de los ataques maliciosos y de las

sesiones prdidas provocadas por colapsos del sistema remoto.

Ejemplo de Seguridad en los routers: administracin remota usando

Telnet y configurando las conexiones y VTY

Sin Conexin

Las conexiones se pueden evitar

por completo en cualquier lnea

mediante la configuracin del

router con los comandos login y

no password

Control de acceso con VTY

Todas las lneas de VTY se deben configurar para aceptar conexiones slo con los protocolos necesarios utilizando el comando transport input. En este ejemplo, un VTY debe recibir slo sesiones de Telnet usando transport input telnet

Control con VTY seguro

El comando exec-timeout.

impide que una sesin inactiva

consuma el VTY en forma

UnADM1(config)# line aux 0 UnADM1 (config-line)# no password UnADM1 (config-line)# password % login disable in line 65, until password set UnADM1 (config-line)# exit

UnADM1 (config)#

UnADM1(config)# line vty 0 4 UnADM1 (config-line)# no transport input UnADM1 (config-line)# transport input telnet UnADM1 (config-line)# exit

UnADM1 (config)#

UnADM1(config)# line vty 0 4 UnADM1 (config-line)# exec-timeout 3 UnADM1 (config-line)# exit




indefinida. Y el comando service

tcp-keepalives-in permite

resguardarse de los ataques

maliciosos y de sesiones

perdidas

UnADM1 (config)# service tcp-keepalives-in

Actividad 2. Configuracin de router seguro

El propsito de esta actividad es que basndose en un caso de estudio y utilizando un

simulador de redes, apliques las configuraciones de seguridad necesarias que deben

tener los routers para prevenir amenazas en las redes WAN.

1. Lee caso anexo proporcionado por tu Facilitador(a).

2. Utiliza el simulador de redes recomendado por tu Facilitador(a) y con base en

el caso anexo crea la topologa y los enlaces solicitados

3. Realiza las capturas de pantalla de las configuraciones que se hayan

realizado por medio de la consola.

4. Guarda la configuracin de la topologa en un archivo llamado A2XXYYZ.

5. En un documento guarda tu propuesta de resolucin al caso con un informe

escrito e incluye los elementos adicionales (capturas de pantalla) que te

solicite tu Facilitador(a) y que la complementen.

6. Incluye los dos archivos en una carpeta y comprmela .ZIP, considera la

nomenclatura KORE_U3_A2_XXYYZ.

7. Enva la carpeta y espera la retroalimentacin de tu Facilitador(a).

*Revisa los criterios de evaluacin para la actividad.

3.3. Listas de Acceso Controlado (ACL)

Una de las capacidades ms importantes que un administrador de red necesita es el

dominio de las listas de control de acceso (ACL). Los administradores utilizan las ACL

para detener el trfico o permitir slo el trfico especfico y, al mismo tiempo, para detener

el resto del trfico en sus redes.




Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a

direcciones o protocolos de capa superior que brindan una manera poderosa de controlar

el trfico de entrada o de salida de la red. Y la razn ms importante para configurar las

ACL es brindar seguridad a la red. En esta unidad se explica cmo utilizar las ACL como

medida de seguridad.

3.3.1. Qu son las ACL

Las ACL permiten controlar el trfico de entrada y de salida de la red. Este control puede

ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las

ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP

que se utiliza.

Al realizar esta funcin las ACL realizan la accin de filtrado de paquetes, que es el

controlar el acceso a la red, al analizar los paquetes de entrada y de salida, y permitiendo

o bloqueando su ingreso segn un criterio establecido.

Los routers actan como filtro de paquetes cuando las ACL permiten el reenvo o

deniegan paquetes segn las reglas de filtrado. Cuando un paquete llega al router, la ACL

obliga a extraer determinada informacin del encabezado del paquete y toma decisiones

segn las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El

filtrado de paquetes acta en la capa de red del modelo de interconexin de sistema

abierto (OSI, Open Systems Interconnection) o en la capa Internet de TCP/IP.

El filtrado de paquetes,

a veces denominado

filtrado esttico de

paquetes, controla el

acceso a la red, analiza

los paquetes de

entrada y de salida, y

permite o bloquea su

ingreso segn un

criterio establecido.




Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration

Companion Guide, 2008)

Como dispositivo de Capa 3, un router utiliza las direcciones IP de origen y de destino; el

puerto origen y el puerto destino; y el protocolo del paquete para determinar la

autorizacin o denegacin del trfico. Estas reglas se definen mediante las listas de

control de acceso o ACL.

Las ACL extraen la siguiente informacin del encabezado del paquete, y la evala con las

reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios

(Accessing the WAN, CCNA Exploration Companion Guide, 2008):

Direccin IP de origen

Direccin IP de destino

Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de

las reglas. La informacin de las capas superiores incluye:

Puerto TCP/UDP de origen

Puerto TCP/UDP de destino

De manera predeterminada, un router no tiene ninguna ACL y, por lo tanto, no filtra el

trfico. El trfico que ingresa al router es enrutado segn la tabla de enrutamiento. Si no

utiliza una ACL en el router, todos los paquetes que pueden enrutarse a travs del router

lo atraviesan hacia el prximo segmento de la red.




Ejemplo de Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration


A continuacin, te presento las pautas para el uso de las:

Utiliza las ACL en routers firewall entre su red interna y su red externa, como

Internet

Utiliza las ACL en un router situado entre dos partes de la red a fin de controlar el

trfico que entra o sale de una parte especfica de su red interna

Configura las ACL en routers de borde situados en los extremos de la red. Esto

proporciona un bfer muy bsico desde la red externa, o entre un rea menos

controlada y un rea ms sensible de su red.

Configura las ACL para cada protocolo de red configurado en las interfaces del

router de borde. Puede configurar las ACL en una interfaz para filtrar el trfico.

Existe una regla que permite determinar cmo configurar una ACL por protocolo, por

direccin y por interfaz

ACL por protocolo: Controla el flujo de trfico de una interfaz, se debe definir una

ACL para cada protocolo habilitado en la interfaz.

ACL por direccin: Controlan el trfico en una direccin a la vez de una interfaz.

Deben crearse dos ACL por separado para controlar el trfico entrante y saliente.

ACL por interfaz: Controlan el trfico para una interfaz.




Las ACL realizan las siguientes tareas (Accessing the WAN, CCNA Exploration

Companion Guide, 2008):

Limitan el trfico de red para mejorar el rendimiento de sta

Brindan control de flujo de trfico. Las ACL pueden restringir el envo de las

actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las

condiciones de la red, se preserva el ancho de banda

Proporcionan un nivel bsico de seguridad para el acceso a la red. Las ACL

pueden permitir que un host acceda a una parte de la red y evitar que otro acceda

a la misma rea

Deciden qu tipos de trfico enviar o bloquear en las interfaces del router

Controlan las reas de la red a las que puede acceder un cliente

Analizan los hosts para permitir o denegar su acceso a los servicios de red. Las

ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como

FTP o HTTP

ACL de entrada. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)




ACL de salida. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)

Existen 2 tipos de ACL, las estndar y las extendidas.

Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones

IP de origen. No importan el destino del paquete ni los puertos involucrados.

Utilizan la sentencia "deny any" (denegar todo) al final, todo el otro trfico se

bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin

global.

Las ACL extendidas filtran los paquetes IP en funcin de varios atributos. Las ACL

extendidas se crean en el modo de configuracin global.

3.3.2. Configuracin estndar ACL

La ACL estndar es una coleccin secuencial de condiciones de permiso o denegacin

que aplican a las direcciones IP. No se incluyen el destino del paquete ni los puertos

involucrados.

Las tareas principales involucradas al utilizar las ACL son (Accessing the WAN, CCNA

Exploration Companion Guide, 2008):

Crear una lista de acceso que especifique un nmero o nombre de lista de acceso

y las condiciones de acceso

Aplicar la ACL a las interfaces o lneas de terminal




Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas

bsicas son:

Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado.

De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de

red

Como las ACL estndar no especifican las direcciones de destino, colcalas lo

ms cerca del destino posible

ACL numeradas

Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes ms

pequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no

informa el propsito de la ACL.

Una ACL estndar filtra trfico con base en la direccin IP origen de los paquetes. Estas ACL se crean en modo de configuracin global con el comando access-list seguido de un nmero de 1 a 99 o de 1300 a 1999, stos rangos identifican que tipo de ACL es si estndar o extendida. Las ACL pueden nombrarse. (Accessing the WAN, CCNA Exploration Companion Guide, 2008)

ACL numeradas Se asigna un nmero en funcin del protocolo que se desea filtrar.

Para ACL IP estndar del 1 al 99 y del 1300 al 1999

Para ACL IP extendidas del 100 al 199 y del 2000 al 2699

ACL Denominada

Se le asigna un nombre a la ACL que debe cumplir con los siguientes requisitos:

El nombre puede tener caracteres alfanumricos

Se debe de escribir con maysculas

No deben contener signos, ni espacios, y deben comenzar con una letra

Como puedes ver en la tabla anterior los nmeros de las ACL pasan del 200 al 1299,

porque esos nmeros son utilizados por otros protocolos que no son parte de IP.

Configuracin de las ACL estndar

Para configurar las ACL estndar numeradas en un router se debe crear la ACL estndar

y, luego, activarla en una interfaz.

El comando de configuracin global access-list define una ACL estndar con un nmero

entre 1 y 99.




La sintaxis completa del comando ACL estndar es:

Router(config)#access-list nmero-de-lista-de-acceso deny permit remark origen [wildcard origen] [log]

Por ejemplo, para crear una ACL numerada nombrada 20 que permita la red

192.168.100.0 /24 se debe de configurar el router de la siguiente manera:

Unadm1(config)# access-list 20 permit 192.168.100.0

Si deseas eliminar una ACL utiliza el comando no access-list, y el comando show

access-list confirma que la lista de acceso ha sido eliminada.

Mscaras wildcard

Las sentencias de las ACL incluyen mscaras, tambin denominadas wildcard que es

una secuencia de dgitos binarios que le indican al router qu partes del nmero de

subred observar.

Las mscaras wildcard tienen una longitud de 32 bits y utilizan unos y ceros binarios para

filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos

segn la direccin IP. Al configurar cuidadosamente las mscaras wildcard, puede

permitir o denegar una o varias direcciones IP.

Las mscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros

binarios:

Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la

direccin

Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin

Trabajar con representaciones de bits binarios puede ser una tarea muy tediosa. Para

simplificarla, las palabras clave host y any ayudan a identificar los usos ms comunes de

las mscaras wildcard. Con estas palabras clave no necesitas ingresar las mscaras

wildcard al identificar un host o red especficos.

La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos los bits de

direcciones IP deben coincidir o que slo un host coincide.




La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta mscara

indica que debe ignorarse toda la direccin IP o que deben aceptarse todas las

direcciones.

En el ejemplo, en lugar de ingresar 192.168.10.10 0.0.0.0, puedes utilizar host

192.168.10.10. Y en lugar de ingresar 0.0.0.0 255.255.255.255, puedes usar la palabra

any.

Ejemplo de ACL estndar que permite solo el trfico de mi

red. Tomado de (Accessing the WAN, CCNA Exploration


R1(config)# access-

list 1 permit

192.168.10.0 0.0.0.255

R1 (config)#interface S0/0/0 R1 (config-if)#ip access-group 1 out

Ejemplo de ACL estndar que deniega solo el trfico de un

host especifico. Tomado de (Accessing the WAN, CCNA

Exploration Companion Guide, 2008)

R1(config)# no access-

list 1

R1(config)# access-

list 1

deny 192.168.10.10

0.0.0.0

R1(config)# access-

list 1 permit

192.168.10.0 0.0.0.255

R1 (config)#interface S0/0/0 R1 (config-if)#ip access-group 1 out




Vinculacin y configuracin de las ACL estandar

Luego de configurar una ACL estndar, se la vincula a una interfaz con el comando ip

access-group

Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out}

Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group

en la interfaz y luego el comando global no access-list para eliminar toda la ACL.

Los pasos para nombrar una ACL son:

Desde el modo de configuracin global, usa el comando ip access-list para crear una

ACL nombrada. Los nombres de las ACL son alfanumricos, deben ser nicos y no

deben comenzar con un nmero.

Desde el modo de configuracin de una ACL nombrada, usa las sentencias permit o

deny para especificar una o ms condiciones que determinen si se enva o descarta

un paquete.

Regresa al modo EXEC privilegiado con el comando end.

Ejemplo configuracin de ACL estndar

ACL Estndar numerada

Para configurar las ACL estndar

numerada, primero debe crearse

la ACL estndar y, luego,

activarla en una interfaz.

El comando de configuracin

global access-list define una

ACL estndar con un nmero

entre 1 y 99.

ACL Estndar denominada

En el modo de configuracin

global, se crea una ACL

nombrada estndar denominada

STND-1, En el modo de

configuracin de ACL estndar,

agrega una sentencia que

UnADM1(config)# access-list 10 permit

192.168.10.0

UnADM1 (config)#interface serial 0/0/1

UnADM1 (config-if)#ip access-group 10 in

UnADM1 (config-if)#end

UnADM1#copy run start

UnADM1(config)# ip access-list standard

STND-1

UnADM1(config-std-nacl)#deny 192.168.11.0

0.0.0.255 log




deniegue cualquier paquete con

una direccin de origen de

192.168.11.0 /24 e imprime un

mensaje a la consola por cada

paquete coincidente con el

comando log. Permitamos todo

el trfico restante con la opcin

permit any

Da de alta la ACL STND-1 como

filtro en los paquetes que

ingresan a UnADM1 a travs de

la interfaz serial 0/0/1.

UnADM1(config-std-nacl)#permit any

UnADM1 (config)#interface serial 0/0/1

UnADM1 (config-if)#ip access-group STND-1

in

UnADM1 (config-if)#end

UnADM1#copy run start

3.3.3. Configuraciones extendidas y complejas

Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque

proporcionan un mayor control y, por lo tanto, complementan su solucin de seguridad. Al

igual que las ACL estndar, las extendidas verifican la direccin de origen del paquete,

pero tambin verifican la direccin de destino, los protocolos y los nmeros de puerto (o

servicios). Esto ofrece un criterio ms amplio sobre el cual fundamentar la ACL. Por

ejemplo, una ACL extendida puede permitir de manera simultnea el trfico de correo

electrnico de una red a un destino especfico y, a la vez, denegar la transferencia de

archivos y la navegacin Web. Su numeracin va del 100 al 199 y del 2000 al 2699, lo

que ofrece un total de 799 ACL extendidas posibles. (Accessing the WAN, CCNA

Exploration Companion Guide, 2008).

Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL

estndar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la

sintaxis y los parmetros del comando tienen ms complejidades para admitir las

funciones adicionales de las ACL extendidas.

Puede crear ACL extendidas nombradas bsicamente de la misma manera que crea las

ACL estndar nombradas. Los comandos para crear una ACL nombrada son diferentes

segn si es estndar o extendida.

Desde el modo EXEC privilegiado, sigue estos pasos para crear una ACL extendida

con nombres.

Desde el modo de configuracin global, usa el comando ip access-list extended

nombre para definir una ACL extendida nombrada.




En el modo de configuracin de ACL nombrada, especifique las condiciones que

desea permitir o denegar.

Regrese al modo EXEC privilegiado y verifique su ACL con el comando show access-

lists [nmero | nombre].

Como opcin y paso recomendado, guarde sus entradas en el archivo de

configuracin con el comando copy running-config startup-config.

Para eliminar una ACL extendida nombrada, use el comando de configuracin global no

ip access-list extended nombre.

Ejemplo de ACL extendida que restringir el acceso a Internet

para permitir slo la navegacin Web, donde la ACL 103

permite acceso a los puertos 80 y 443, (Accessing the WAN,

CCNA Exploration Companion Guide, 2008)

R1(config)# access-

list 103 permit tcp

192.168.10.0

0.0.0.255

Any eq 80

R1(config)# access-

list 103 permit tcp

192.168.10.0

0.0.0.255

Any eq 443

Ejemplo configuracin de ACL extendida

Se desea permitir El trfico HTTP

entrante a la interfaz S0/0/0.

Ahora se desea denegar el

trfico FTP desde una subred

hacia otra subred pero permitir

UnADM1(config)# access-list 103 permit tcp

192.168.10.0 0.0.0.255 any eq 80

UnADM1 (config)#interface serial 0/0/1 UnADM1 (config-if)#ip access-group 103 in UnADM1 (config-if)#end UnADM1#copy run start

UnADM1(config)# access-list 101 deny tcp

192.168.11.0 0.0.0.255 192.168.10.0

0.0.0.255 any eq 20




todo el otro trfico. Se usara

"deny all" y como FTP requiere

los puertos 20 y 21, se

especificara eq 20 y eq 21 para

denegar FTP.

UnADM1(config)# access-list 101 deny tcp

192.168.11.0 0.0.0.255 192.168.10.0

0.0.0.255 any eq 21

UnADM1(config)# access-list 101 permit ip

any any

UnADM1 (config)#interface Fa0/1 UnADM1 (config-if)#ip access-group 101 in UnADM1 (config-if)#end UnADM1#copy run start

ACL Dinmicas

El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza ACL

dinmicas, a veces denominadas ACL de bloqueo. Est disponible slo para trfico IP.

Las ACL dinmicas dependen de la conectividad Telnet, de la autenticacin (local o

remota) y de las ACL extendidas.

La configuracin de las ACL dinmicas comienza con la aplicacin de una ACL extendida

para bloquear trfico que atraviesa de router. Los usuarios que deseen atravesar el router

son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y

ser autenticados. En ese momento, se interrumpe la conexin a Telnet, y se agrega una

ACL dinmica de nica entrada a la ACL extendida existente. Esta entrada permite el

trfico por un perodo determinado; es posible que se produzcan errores por inactividad y

superacin del tiempo de espera.

Las siguientes son algunas razones comunes para utilizar ACL dinmicas:

Cuando desea un usuario remoto o grupo de usuarios remotos especfico para

acceder al host dentro de la red, conectndose desde sus hosts remotos a travs de

Internet. El bloqueo autentica al usuario y luego permite el acceso limitado a travs de

su router firewall para un host o subred por un perodo limitado.

Cuando desea que un subconjunto de hosts de una red local acceda a un host de una

red remota protegida por un firewall. Con el bloqueo, puede permitir el acceso al host

remoto slo a los conjuntos de hosts locales que desee. El bloqueo requiere que los

usuarios se autentiquen a travs de AAA, servidor TACACS+ u otro servidor de

seguridad, antes de que permita a sus hosts el acceso a los hosts remotos.

Las ACL dinmicas tienen los siguientes beneficios de seguridad comparadas con las

ACL estndar y estticas extendidas:




Uso de un mecanismo de desafo para autenticar los usuarios individuales

Administracin simplificada en internetworks ms grandes

En muchos casos, reduccin de la cantidad de procesamiento de un router necesario

para las ACL

Reduccin de la oportunidad de intromisiones a la red por parte de piratas informticos

Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras

restricciones de seguridad configuradas

Ejemplo de ACL dinmica. Tomado de (Accessing the WAN, CCNA Exploration Companion

Guide, 2008)

1. Permitir establecer una conexin Telnet con el router con una ACL dinmica que permite la conexin durante 15 minutos y despus se cierra automticamente sin importar si est en uso o no.

2. Se da de alta la ACL en la

interface

3. Cuando se realice la autentificacin con telnet, se ejecutara el comando autocommand y si se detectan 5 minutos de inactividad se cerrar la sesin

R3(config)# username Unadm password

Unadm123

R3(config)# access-list 101 permit any

host 10.2.2.2 eq telnet

R3(config)# access-list 101 dynamic

testlist timeout 15 permit ip

192.168.10.0 0.0.0.255 192.168.30.0

0.0.0.255

R3(config)# interface serial 0/0/1

R3(config-if)# ip access-group 101 in

R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)#autocommand access-enable host timeout 5




ACL reflexivas

Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente paquete

saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor

control del trfico que se permite ingresar a la red e incrementa las capacidades de las

listas de acceso extendidas.

Los administradores de red utilizan las ACL reflexivas para permitir el trfico IP en

sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones

que se originan fuera de la red. Estas ACL permiten que el router administre el trfico de

sesin en forma dinmica. El router examina el trfico saliente y, cuando ve una conexin,

agrega una entrada a una ACL temporal para permitir la devolucin de respuestas. Las

ACL reflexivas contienen slo entradas temporales. Estas entradas se crean

automticamente cuando se inicia una nueva sesin IP (con un paquete saliente, por

ejemplo) y las entradas se eliminan automticamente cuando finaliza la sesin.

Las ACL reflexivas proporcionan una forma ms exacta de filtrado de sesin que una ACL

extendida que utiliza el parmetro established presentado anteriormente. Si bien son

similares en cuanto al concepto del parmetro established, las ACL reflexivas tambin

funcionan para UDP e ICMP, que no tienen bits ACK ni RST. La opcin established

tampoco funciona con aplicaciones que alteran de forma dinmica el puerto de origen

para el trfico de sesin. La sentencia permite established slo verifica los bits ACK y

RST, no la direccin de origen ni la de destino.

Las ACL reflexivas no se aplican directamente a una interfaz, estn "anidadas" dentro de

una ACL IP extendida nombrada que se aplica a la interfaz.

Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas. No pueden

definirse con ACL numeradas ni estndar nombradas ni con otras ACL protocolo. Las ACL

reflexivas pueden utilizarse con otras ACL estndar y extendidas estticas.

Las ACL reflexivas tienen los siguientes beneficios:

Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall.

Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de

denegacin de servicios. Las ACL reflexivas son mucho ms resistentes a los ataques

de suplantacin de identidad porque deben coincidir ms criterios de filtro antes de

dejar ingresar un paquete. Por ejemplo, se verifican las direcciones de origen y de

destino y los nmeros de puerto, no solamente los bits ACK y RST.

Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor

control de los paquetes que ingresan a la red.




ACL reflexive. Tomado de (Accessing the WAN, CCNA Exploration


Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor control del trfico que se permite ingresar a la red e incrementa las capacidades de las listas de acceso extendidas.

ACL basadas en el tiempo

La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero admite control

de acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe

crear un rango horario que defina la hora especfica del da y la semana. Debe identificar

el rango de tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las

restricciones temporales son impuestas en la misma funcin.

Las ACL basadas en el tiempo tienen muchos beneficios:

Ofrecen al administrador de red ms control de los permisos y denegaciones de

acceso a los recursos.

Permiten a los administradores de red controlar los mensajes de registro. Las entradas

de las ACL pueden registrar el trfico en determinados momentos del da, pero no de

forma permanente. De esta manera, los administradores pueden simplemente

denegar el acceso, sin tener que analizar los diferentes registros que se generan

durante las horas pico.




ACL basada en el tiempo. Tomado de (Accessing the WAN, CCNA

Exploration Companion Guide, 2008)

La ACL basada en el

tiempo es similar en

funcin a la ACL

extendida, pero admite

control de acceso

basado en el tiempo.

Para implementar las

ACL basadas en el

tiempo, debe crear un

rango horario que

defina la hora

especfica del da y la

semana. Debe

identificar el rango de

tiempo con un nombre

y, luego, remitirse a l

mediante una funcin.

Las restricciones

temporales son

impuestas en la misma

funcin.

Actividad 3. ACL

El propsito de esta actividad es que basndose en un caso de estudio y utilizando el

simulador de redes apliques las ACL en el diseo de una WAN para prevenir ataques de

seguridad de la red.

1. Lee detenidamente las instrucciones y el caso presentado por tu

Facilitador(a).

2. Utiliza el simulador de redes y con base al caso, crea la topologa y los

enlaces solicitados en simulador.

3. Realiza las capturas de pantalla de cada configuracin que hayas realizado

por medio de la consola e inclyelas en el documento de texto.

4. Guarda las respuestas de la actividad en un documento y guarda tambin la

configuracin de la topologa en un archivo llamado A3_XXYYZ.




5. Comprime ambos archivos en una carpeta .ZIP con la nomenclatura

KORE_U3_A3_XXYYZ.

6. Enva tu archivo y espera la retroalimentacin del Facilitador(a).

*Revisa los criterios de evaluacin de la actividad.

Autoevaluacin

En los temas expuestos en esta tercera unidad, has estudiado de manera general cmo

se realiza la seguridad en la red. Mismos que han aportado los elementos esenciales

para tu aprendizaje y as asegurar el anlisis de stos desde tu autoaprendizaje.

1. Ingresa en el aula y selecciona la autoevaluacin de la Unidad 3.

2. Lee cuidadosamente las instrucciones para que respondas adecuadamente.

3. Verifica tus respuestas y en los casos necesarios repasa los temas que

necesites fortalecer.

El estudio de estos temas te permitir dominar y acercarte de manera ms fcil a los

temas de sta y otras asignaturas, adems de enriquecer aspectos que

complementarn tu formacin profesional.

Evidencia de aprendizaje. Seguridad y diseo de una WAN

Esta actividad realizars el diseo de una WAN y configurars las ACL requeridas utilizando un simulador de redes. Para comenzar sigue las indicaciones de tu Facilitador(a):

1. Lee detenidamente las instrucciones del documento anexo.

2. Utiliza el simulador de redes.

3. Crea el diagrama de la topologa correspondiente al caso de la evidencia y

configura los dispositivos como se solicita.




3. Guarda tu trabajo en un archivo de configuracin con el nombre:

KORE_U3_EA_XXYYZ. Recuerda que debe de ir comprimido .ZIP.

4. Enva tu actividad al portafolio de evidencias y aguarda la retroalimentacin de

tu Facilitador(a), atiende sus comentarios y de solicitarlo enva una segunda

versin de tu evidencia.

*Revisa los criterios de evaluacin para esta Evidencia.

Autorreflexin

Al terminar la Evidencia de aprendizaje es muy importante que realices tu

Autorreflexin. Para ello, Ingresa al foro de Preguntas de Autorreflexin y a partir de las

preguntas presentadas por tu Facilitador(a), elabora tu ejercicio y sbelo en la seccin

Autorreflexiones.

Cierre de la unidad

En esta unidad has analizado las amenazas que pueden atacar a nuestra red, tanto

internas como del externas, y como protegerse de estas amenazas.

Los ataques a las contraseas son fciles de iniciar, pero tambin fciles de defender. Las

tcticas de la ingeniera social requieren que los usuarios desarrollen un grado de

desconfianza y de cuidado, ya que cuando un agresor obtiene acceso a una red, puede

tener acceso a casi toda la informacin y servicios que sta proporcione.

Los agresores pueden lanzar ataques de DoS que inutilicen a la red. Los gusanos, virus y

caballos de Troya pueden infectar a los dispositivos.

Un punto clave en la proteccin de una red es el proteger los routers, que son la puerta de

entrada hacia el interior de la red y son objetivos obvios. Las tareas administrativas

bsicas como buena seguridad fsica, que abarque mantener el IOS actualizado y realizar

una copia de seguridad de los archivos de configuracin son un comienzo en el esquema

de seguridad.

Tambin en esta unidad se aprendiste que las ACL ayudan en el filtrado de paquetes

para controlar si un router permite o deniega el ingreso de paquetes, segn el criterio

ubicado en el encabezado del paquete. Las ACL tambin se utilizan para seleccionar los




tipos de trfico por analizar, reenviar o procesar de otras maneras, se presentaron los

distintos tipos de ACL: estndar, extendidas, nombradas y numeradas.

Para saber ms

Te invito a visitar el sitio que est en el enlace al final del prrafo, donde podrs

consultar ms sobre las ACL.

http://cesarcabrera.info/blog/leccion-sobre-listas-de-acceso-acls/

Fuentes de consulta

Bibliografa bsica

Cisco (2008). Accessing the WAN, CCNA Exploration Companion Guide. 1 Edicin.

Estados Unidos: Cisco Press.

Cisco (2008). Gua del segundo ao CCNA 3 y 4. 3 Edicin. Espaa: CISCO Press.

Baker, K.; Morris, S. (2012). CCNA Security 640-554 Official Cert Guide. 1 Edicin.


Bibliografa complementaria

Santos, O. (2007). End-to-End Network Security: Defense-in-Depth. 1 Edicin.


Stallings, W. (2009). Network Security Essentials. 4 Edicin. Estados Unidos:

Prentice Hall.

Tanembaum, A. (2010). Redes de Computadoras. 5 Edicin. Mxico: Prentice Hall.

Fuentes electrnicas

Cisco (2012). Introduction to WAN Technologies. Consultado en:

http://docwiki.cisco.com/wiki/Introduction_to_WAN_Technologies.

ISBN 978-1587204463

unidad 3. seguridad de la red

Documents