20101014 seguridad perimetral

Seguridad Perimetral


Programa de Jornadas en el CNTG

2010 - 2011


Programa de Jornadas en el CNTG


1. Arquitectura de seguridad perimetral. Implementación mediante tecnologías básicas: Filtrado de paquetes y NAT

2. Seguridad en Redes de Área Local con tecnología Ethernet: VLANs, IBNS (IEEE 802.1x) y NAC

3. Implementación de seguridad perimetral basada en cortafuegos de control de estado y sistemas de detección y prevención de intrusos

4. Seguridad en las comunicaciones utilizando Redes Privadas Virtuales basadas en IPsec.


Arquitecturas y Tecnologías de



Índice

• Seguridad Perimetral: Conceptos Fundamentales

• Implementación de Seguridad Perimetral con dispositivos Cisco

• Tecnologías Básicas de Seguridad Perimetral:

– Listas de Control de Acceso (Access Control List, ACL)– Traducción de Direcciones (Network Address Translation, NAT)


Seguridad Perimetral: Conceptos Fundamentales



• La Recomendación “X.800: Arquitectura de Seguridad de la Interconexión de Sistemas Abiertos” del ITU-T, define los elementos arquitectónicos relacionados con la seguridad de la información en sistemas abiertos

– Ataques

– Servicios

– Mecanismos

• La Recomendación “X.805: Arquitectura de Seguridad para Sistemas que proporcionan Comunicación extremo a extremo”, ofrece una aproximación a la seguridad en lo que respecta al mantenimiento, control y uso de la infraestructura de red



• Ataque: asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un acto inteligente y deliberado para eludir los servicios de seguridad y violar la política de seguridad de un sistema

– Ataque DDoS al Servidor de Windows Update

• Amenaza: posibilidad de violación de la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar perjuicio, es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad

– Microsoft Windows de 32 bits sin parche, directamente conectado a Internet

• Vulnerabilidad: defecto o debilidad en el diseño, implementación, operación y mantenimiento de un sistema que podría ser explotado para violar la directiva o política de seguridad de dicho sistema

– "Desbordamiento de Búfer en RPC DCOM", que permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario

• Política (directiva) de seguridad: Conjunto de reglas que administra, gestiona y controla el acceso a los recursos de la red


Ataques a la Seguridad

• Ataques Activos:

– Suplantación– Modificación del mensaje– Repetición– Denegación de Servicio

• Ataques Pasivos:

– Observación del contenido del mensaje:– Análisis del tráfico


Servicios de Seguridad

• Conjunto de servicios de procesamiento o de comunicación proporcionados por un sistema con el fin de dar un tipo especial de protección a sus recursos de información

– Autenticación– Control de Acceso o Autorización– Confidencialidad de los Datos– No repudio– Integridad de los Datos– Disponibilidad


Mecanismos de Seguridad

• Mecanismos de seguridad más habituales

– Cifrado– Integridad de los datos – Firma Digital– Control de acceso– Intercambio de autenticación– Tráfico de relleno– Control de encaminamiento– Confianza en terceras partes


Modelos de Seguridad

• Transmisiones Seguras:

– Un mensaje ha de ser transmitido de una parte a otra de algún tipo de red no segura, como por ejemplo Internet.

– Se debe establecer un canal seguro de información a través de la red. Si es necesario proteger la información de modo que un oponente no sea una amenaza, deben utilizarse mecanismos de seguridad.

– Todas las técnicas que proporcionan seguridad en este entorno tienen dos componentes:

• Una transformación relacionada con la seguridad de la información que se va a enviar (cifrado, integridad,…)

• Información secreta compartida por los interlocutores que desconoce el oponente (clave de cifrado, clave de integridad,…)

– Para lograr una transmisión segura, en muchos casos puede ser necesaria la intervención de una tercera parte de confianza, que distribuya cierto tipo de información entre los dos interlocutores y garantice la validez de dicha información.



• Transmisiones Seguras:



• Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos, “malware”, …)

– Se consideran dos tipos de amenazas: • Amenazas al acceso a la información (captura o alteración de datos por parte de

usuarios que no deberían tener acceso a dichos datos) • Amenazas al servicio (denegación de servicios).

– Los mecanismos de seguridad necesarios para enfrentarse a los accesos no deseados se dividen en servicios de vigilancia, que incluyen mecanismos de control de acceso, y software de ocultación, que permite evitar el efecto del malware. En caso de que un usuario no autorizado accediese a la red, existen mecanismos de control interno de la actividad del sistema o de la red que permiten detectar la presencia de intrusos (IDS, IPS)



• Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos, “malware”, …)


Implementación de Seguridad Perimetral con dispositivos Cisco


Implementación de Seguridad con Tecnología Cisco



• La seguridad perimetral en redes de comunicaciones se basa en el aislamiento de redes, clasificadas según el nivel de confianza de cada una de ellas

• Zona de seguridad:

– Conjunto de redes que pueden ser alcanzadas a través de una interfaz de un firewall.– Es un dominio separado administrativamente donde tanto el tráfico entrante como el

saliente pueden ser filtrados.• Zonas de seguridad típicas:

– “Inside”– “Outside”– “Demilitarized Zone”

• Puntos de filtrado en los límitesde la DMZ:

– Routers: Enfoque abierto– Firewalls: Enfoque cerrado– Application Layer Gateway

(ALG) o Proxy Server



• Características de la defensa en capas:

– Red Interna: Administrada y controlada por la organización Servicios Internos– Red Externa: No existe ningún tipo de control administrativo– DMZ: Se ubican los servicios que pueden ser accedidos desde la red externa y desde

la red interna.– La DMZ debe tener la capacidad de contener posibles ataques y limitar el daño en caso

de vulneración del sus mecanismos de seguridad.– Se aplican mecanismos de control de acceso a todo el tráfico que entra o sale de la

DMZ, utilizando para ello:• Routers: Filtrado de paquetes• Firewalls: Filtrado de estado de conexión

• Puntos y servicios de filtrado en la DMZ:

– Puntos de filtrado: Protegen los servicios filtrando el tráfico entrante y saliente– Servidores Públicos: Deben estar configurados de forma segura– ALGs: Desinfectan el tráfico a nivel de aplicación y controlan el tráfico saliente de la red

interna.– Private VLAN: Restringen los efectos de una vulneración de seguridad en la DMZ.



• DMZs Múltiples:

– En un diseño de DMZ única, no existe control de acceso entre los diferentes hosts de la misma, a no ser que se utilicen PVLAN.

– Si un atacante compromete un equipo en la DMZ puede atacar desde dentro a los demás.

– El desarrollo de las aplicaciones Web modernas sigue una arquitectura “multicapa”, donde se separan la parte de la vista (servidor Web), el modelo (servidor de base de datos) y el controlador (servidor de aplicaciones).

• Un diseño robusto podría ubicar cada uno de los servidores en DMZs diferentes.– El comprometer un único servidor no proporciona un punto de ataque directo al resto

de servicios



• Diseño de DMZs moderno:

– Este diseño permite que varios sistemas filtren tráfico pero también subraya la necesidad de realizar una configuración correcta del dispositivo de filtrado.

– Actualmente los firewalls pueden crear múltiples DMZs, una por interfaz– Con un solo dispositivo se pueden sustituir los dispositivos que establecían los límites

entre la DMZ y la red interna, y entre la DMZ y la red externa.• Tipos de filtrado:

– Filtrado de paquetes (Routers): Filtrado de paquetes individuales– Filtrado del estado de la conexión (Firewall): Por ejemplo, control de los campos de las

cabeceras TCP que rigen el estado de la conexión

– Filtrado de las sesiones de aplicación(ALG o Proxy Server)

• Filtrado de doble firewall

Mejor rendimiento Mayor seguridad Mayor coste


Tipos de Firewall

• Tecnologías de Firewall:

– Filtrado de paquetes: Filtran el tráfico en base a la información estática de las cabeceras de los paquetes, habitualmente mediante ACLs.

– Filtrado de paquetes con estado de conexión: Es un método de filtrado de paquetes que tiene en cuenta la información de la capa de aplicación para filtrar los paquetes y analiza los datos dentro del contexto de la conexión o flujo de datos.

• Tabla de estado de las conexiones activas. Esta tabla es, evidentemente, dinámica• Inspecciona los paquetes comprobando si se corresponden con las características

de sus sesión– Proxies: Trabajan a nivel de capa de aplicación. Actúan como intermediarios entre la

aplicación cliente (para la cual es un servidor) y la aplicación servidor (para la cual es un cliente)

• El Proxy Server recibe una petición de un cliente, la procesa y analiza, y la reenvía al destino, como si el fuese el cliente.

• Cuando el Proxy Server recibe la respuesta del servidor, la procesa y analiza, y la reenvía al cliente si es permitida.


Firewall de Inspección de Estado

• Listas de Control de Acceso (Se tratarán en profundidad a continuación)

• Tabla de estados o tabla de sesiones: Es una tabla que realiza el seguimiento de todas las sesiones establecidas y permite realizar la inspección de todos los paquetes que pasan a través del Firewall utilizando esta información.

– Es una tabla dinámica, cuyo contenido cambia en función de los flujos de tráfico.– Crean entradas en la tabla cuando se establece una nueva conexión válida– Elimina las entradas de la tabla cuando se cierra adecuadamente una conexión y

utilizando temporizadores.• Utilización de la Información de la Capa de Aplicación: Un filtro de paquetes “stateful” puede

asociar un canal dinámica de una aplicación con la sesión inicial de una aplicación (tipo FTP).

– El concepto de “sesión” en el ámbito de los filtros de paquetes “stateful” hace referencia a las conexiones TCP o UDP.

– Existen firewalls de este tipo que trabajan también adecuadamente con ICMP y GRE.



• El seguimiento de las sesiones de capa de transporte se realiza de forma diferente en función del tipo de protocolo:

– TCP: • Mantiene una entrada por conexión. • Implementación sencilla. Chequea el flujo de información y los números de

secuencia– UDP:

• No existen flags ni números de secuencia• La realización del seguimiento de las conexiones es difícil• Solamente se chequea la información del los flujos de información• Para eliminar las entradas se utilizan temporizadores• Se puede extraer información de las negociaciones de los protocolos de capa de

aplicación.– Otras servicios no orientados a la conexión:

• Solamente se chequea la información del los flujos de información.






Cisco IOS Firewall

• Es una opción específica del sistema operativo de los routers Cisco (IOS) que está disponible para un conjunto limitado de plataformas. Integra:

– ACLs estándar y extendidas– NAT– Intercepción TCP– Firewall– Proxy de autenticación– Intrusion Prevention System– Port-to-Application Mapping– IPsec– Auditoría– Autenticación y autorización de usuario


Tecnologías Básicas de Seguridad: Filtrado de Paquetes y Traducción de Direcciones


Filtrado de Paquetes: Listas de Control de Acceso

• Los administradores de red utilizan “firewalls” para proteger sus redes contra el uso no autorizado.

– Los firewalls son soluciones de hardware o software que hacen cumplir las políticas de seguridad de la red.

– En un router, se puede configurar un “firewall” simple (firewall de filtrado de paquetes) que proporciona capacidades básicas de seguridad utilizando ACLs.

– Las Listas de Control de Acceso (Access Control List, ACL) constituyen un mecanismo que permite filtrar el tráfico de red, deteniendo o permitiendo sólo tráfico específico

• Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a una interfaz de un router en un determinado sentido (de entrada o de salida) para cada protocolo de red configurado, en la mayoría de casos, IPv4.

– Criterios de filtrado de paquete: • Campos de la cabecera IP:

– Direcciones IP Origen y Destino, Tipo de Protocolo, etc.• Campos de la cabecera del protocolo de capa superior: TCP, UDP, …

– Nº de puerto, señalizadores de la cabecera TCP (SYN, ACK, …)



• Funcionamiento:

– Cuando un paquete llega al router (o va a salir del router) a través de una interfaz con una ACL asociada, la ACL se examina de arriba a abajo, línea a línea, buscando un patrón que coincida entre el criterio de filtrado establecido en cada línea con las características del paquete entrante.

• Si se produce dicha coincidencia se aplica la acción asociada a la sentencia (permitir / denegar)

– De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra el tráfico. El tráfico que entra en el router es enrutado según la tabla de enrutamiento.

– Lugares típicos de aplicación de ACLs:• Routers firewall entre la red interna y la red externa (e.g. Internet) • Routers situados entre dos partes de la red para controlar el tráfico que entra o

sale de una parte específica de su red interna.


Filtrado de Paquetes: Listas de Control de Acceso• Funcionamiento de una ACL de entrada en una interfaz


Filtrado de Paquetes: Listas de Control de Acceso• Funcionamiento de una ACL de entrada en una interfaz



• Ejecución de las ACLs en el proceso general de enrutamiento de un paquete IP en un router



• Hay dos tipos básicos de ACL en los routers Cisco:

– ACL estándar: Filtra el tráfico utilizando como criterio la dirección IP de origen del paquete.

Access-list 10 permit 172.30.0.0 0.0.0.255

• ACL extendidas

– Las ACL extendidas filtran los paquetes IP en función de diferentes valores de las cabeceras de capa 3 y capa 4: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo.

Access-list 101 permit ip 172.30.0.0 0.0.0.255 host 193.144.49.10 eq 80



• Configuración de ACLs:

1. Creación de al lista de control de acceso• Cada comando de ACL se introduce de forma individual, por lo que es necesario

indicar en cada sentencia el número de ACL al que pertenece dicha sentenciaaccess-list 10 permit 172.28.0.0 0.0.0.255

access-list 10 permit 172.29.0.0 0.0.0.255



• Por defecto, todas las ACLs finalizan con un comando de denegación total del tráfico implícito, por lo que si un paquete no coincide con ninguna sentencia de permiso, dicho paquete es denegado

• ACLs estándar: 1 – 99 (1300 – 1999)• ACLs extendidas: 100 – 199 (2000 – 2699)

2. Aplicación de la ACL a la interfaz:ip access-group 10 in



• Sintaxis de las ACL estándar:

access-list <nº de ACL> {deny|permit|remark} <origen> <wildcard-origen> <log>

• <nº de ACL>: Identifica la lista de acceso (1-99; 1300 y 1999)

• <origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de origen del paquete

• <log>: Paquetes que han activado la sentencia durante los últimos 5 minutos



• Sintaxis de las ACL estándar: Máscaras Wildcard

– Sirven para indicar qué bits del patrón especificado en la sentencia de la ACL deben coincidir con los de la dirección IP (origen o destino), para que se considere que se ha producido una coincidencia válida




– Ejemplos:




– Utilización de abreviaturas:• Any = 0.0.0.0 255.255.255.255• Host 192.168.10.10 = 192.168.10.10 0.0.0.0



• Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz:

– IMPORTANTE: Las ACL pueden aplicarse tanto a interfaces físicas como a subinterfaces

1. Creación de la ACL.• Ejemplo: Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255

2. Selección de la interfaz adecuada:• Ejemplo: Router(config)# interface fastethernet 0/1

3. Asignación de la ACL a la interfaz, indicando en que sentido se va a aplicar dicho filtro• Ejemplo: Router(config-if)# ip access-group 1 out



• Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz. Ejemplo.



• Sintaxis de las ACL extendidas:

access-list <nº de ACL> {deny|permit|remark} <protocolo> <origen> <wildcard-origen>[operador <operando>] [port puerto] <destino> <wildcard-destino> [operador <operando>] [port puerto] [established]

• <nº de ACL>: Identifica la lista de acceso (100-199; 2000 y 2699)

• <protocolo>: Contenido del campo protocolo de la cabecera IP. Si no se desea especificar ningún protocolo concreto ha de especificarse la opción IP

• <origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de origen del paquete

• <destino> <wildcard-destino>: Especifica el patrón de bits a comprobar en la dirección IP de destino del paquete

• <operador operando>: Permite especificar un conjunto de puertos o un puerto específico, tanto de origen como de destino

• Established: Esta opción solamente está disponible para tráfico TCP e indica el paquete debe pertenecer a una conexión ya establecida (bit ack = 1)



• Sintaxis de las ACL extendidas: Especificación de puertos

– Ejemplo de utilización del número de puerto:

– Ejemplo de utilización del número de puerto:



• Ubicación de las ACL: Buenas prácticas.

– Ubicar las ACL extendidas lomás cerca posible del origendel tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red.

– Como las ACL estándar no especifican las direcciones de destino, deben colocarse lo más cerca del destino posible, para no eliminar mástráfico del necesario.


Filtrado de Paquetes: Listas de Control de Acceso• Buenas prácticas para el diseño de ACLs:

1. Fundamentar las decisiones en la política de seguridad de la organización2. Preparar una descripción de lo que se desea realizar (tal y como se ha visto en la

parte de teoría). Deben especificarse primero los flujos de tráfico “más específicos”3. Determinar la ubicación de la ACL, así como el sentido de aplicación4. Utilizar un editor de textos externo para crear, editar y almacenar las ACL5. Probar las ACLs en una red de pruebas, antes de implantarlas en producción



• Ejemplo: Debe evitarse que desde las redes de la Facultad de Informática pueda accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10

1. Este enunciado es el equivalente a la “política de la organización”2. Descripción de cómo se va a procesar el tráfico en el router Informática:

• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido

• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/ 24 hacia el resto de dispositivos de la red 192.168.3.0 debe ser prohibido

• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el resto de las redes debe ser permitido

3. Ubicación de la ACL: Interface f1/0. Sentido, saliente.4. Utilización de un editor externo para construir la ACL:

access-list 100 permit tcp any host 192.168.3.10 eq 80

access-list 100 permit udp any host 192.168.3.10 eq 53


access-list 100 deny ip any 192.168.3.0 0.0.0.255

access-list 100 permit ip any any



• Ejemplo: Debe evitarse que desde la red 192.168.1.0/24 pueda accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10. Desde la red 192.168.2.0/24, el único tráfico permitido será el dirigido hacia el servidor Web y el servidor DNS ubicados en el equipo 192.168.3.10. El tráfico entre las redes 192.168.1.0/24 y 192.168.2.0/24 estará permitido.

1. Este enunciado es el equivalente a la “política de la organización”2. Descripción de cómo se va a procesar el tráfico en el router Informática:

• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido

• El tráfico dirigido desde la red 192.168.1.0/24 al resto de dispositivos de la red 192.168.3.0 debe ser prohibido, pero el tráfico a las demás redes debe ser permitido

• El tráfico dirigido desde la red 192.168.2.0/24 hacia el resto de redes debe ser prohibido



3. Ubicación de la ACL: Interface f1/0. Sentido, saliente.4. Utilización de un editor externo para construir la ACL:


access-list 100 permit udp any host 192.168.3.10 eq 53


access-list 100 deny ip any 192.168.3.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 any



• Edición de ACLs:

– Las ACLs identificadas por números (las que hemos estudiado) no son editables, es decir, cada vez que se añade una nueva sentencia, ésta se coloca a continuación de las sentencias ya existentes.

– Para introducir sentencias intermedias, debe borrarse la ACL completa y volver a escribirse (por ese se ha recomendado la utilización de editores de texto externos para crear y mantener las ACLs)

• Eliminación de la configuración de una ACL:

– Debe realizarse de manera especialmente cuidadosa:1. Eliminarse la asignación de la ACL a la interfaz:

Router(config-if)# no ip access-group 101 out2. Borrar la ACL:

Router(config)# no access-list 101


Traducción de Direcciones: Configuración

• Configuración de NAT (sin sobrecarga) estático:

– Mapeo de direcciones IP– Sintaxis:

Router(config)#ip nat inside source static <ip-local> <ip-global>

! Interfaz interna. Direccionamiento Privado

Router(config)#interface <tipo-int nº-int>

Router(config-if)#ip nat inside

! Interfaz externa. Direccionamiento Público

Router(config)#interface <tipo-int nº-int>

Router(config-if)#ip nat outside



• Configuración de NAT (sin sobrecarga) estático:

– Mapeo de direcciones IP– Ejemplo:

Router(config)#ip nat inside source static 192.168.1.10 193.147.3.200

! Interfaz interna.

! Direccionamiento Privado

Router(config)#interface f0/0


! Interfaz externa.

! Direccionamiento Público

Router(config)#interface f1/0




• Configuración de NAT (sin sobrecarga) dinámico: Sintaxis

1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask <máscara>|prefix-length <longitud-prefijo>}

2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list <nº> permit <origen> <wildcard-origen>

3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas> pool <nombre del pool de direcciones IP públicas>

4. Identificar la interfaz interna:Router(config)#interface <tipo-int nº-int>


5. Identificar la interfaz externa:Router(config)#interface <tipo-int nº-int>




• Configuración de NAT (sin sobrecarga) dinámico: Ejemplo



• Configuración de NAT (sin sobrecarga) dinámico: Ejemplo

1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask 255.255.255.0

2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255

3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list 1 pool Infor1

4. Identificar la interfaz interna:Router(config)#interface f0/0


5. Identificar la interfaz externa:Router(config)#interface f0/1




• Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis. Opción 1: Sobrecargar un conjunto de direcciones IP públicas (grandes organizaciones)

1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask

<máscara>|prefix-length <longitud-prefijo>}


3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas>

pool <nombre del pool de direcciones IP públicas> OVERLOAD







• Configuración de NAT (con sobrecarga) dinámico: Ejemplo



• Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo

1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask 255.255.255.0


3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list 1 pool Infor1 OVERLOAD







• Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis. Opción 2: Sobrecargar la dirección IP de la Interfaz Pública (PYME - Doméstica)


2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas>

interface <tipo número> OVERLOAD







• Configuración de NAT (con sobrecarga) dinámico: Ejemplo



• Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo


2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list 1 interface f1/0 overload






Contacto

• Francisco Javier Nóvoa

PEN Consultoría y Formación

Grupo Academia Postal

Responsable Técnico del Programa “Cisco Networking Academy”

E-mail: [email protected]://cisconetworkingspain.blogspot.com

Departamento de Tecnología de la Información y las Comunicaciones

Universidade da Coruña

Materias:

Redes (5º de Ingeniería Informática)

Seguridad en Sistemas de la Información (Máster en Ingeniería Informática)

E-mail: [email protected]

mailto:[email protected]�

http://cisconetworkingspain.blogspot.com/�

mailto:[email protected]�

Technology

20101014 seguridad perimetral