Upload
3calabera
View
389
Download
1
Embed Size (px)
DESCRIPTION
Ponencia - 20101014 seguridad perimetral
Citation preview
Seguridad Perimetral
Seguridad Perimetral
Programa de Jornadas en el CNTG
2010 - 2011
Seguridad Perimetral
Programa de Jornadas en el CNTG
Seguridad Perimetral
1. Arquitectura de seguridad perimetral. Implementación mediante tecnologías básicas: Filtrado de paquetes y NAT
2. Seguridad en Redes de Área Local con tecnología Ethernet: VLANs, IBNS (IEEE 802.1x) y NAC
3. Implementación de seguridad perimetral basada en cortafuegos de control de estado y sistemas de detección y prevención de intrusos
4. Seguridad en las comunicaciones utilizando Redes Privadas Virtuales basadas en IPsec.
Seguridad Perimetral
Arquitecturas y Tecnologías de
Seguridad Perimetral
Seguridad Perimetral
Índice
• Seguridad Perimetral: Conceptos Fundamentales
• Implementación de Seguridad Perimetral con dispositivos Cisco
• Tecnologías Básicas de Seguridad Perimetral:
– Listas de Control de Acceso (Access Control List, ACL)– Traducción de Direcciones (Network Address Translation, NAT)
Seguridad Perimetral
Seguridad Perimetral: Conceptos Fundamentales
Seguridad Perimetral
Seguridad Perimetral: Conceptos Fundamentales
• La Recomendación “X.800: Arquitectura de Seguridad de la Interconexión de Sistemas Abiertos” del ITU-T, define los elementos arquitectónicos relacionados con la seguridad de la información en sistemas abiertos
– Ataques
– Servicios
– Mecanismos
• La Recomendación “X.805: Arquitectura de Seguridad para Sistemas que proporcionan Comunicación extremo a extremo”, ofrece una aproximación a la seguridad en lo que respecta al mantenimiento, control y uso de la infraestructura de red
Seguridad Perimetral
Seguridad Perimetral: Conceptos Fundamentales
• Ataque: asalto a la seguridad del sistema derivado de una amenaza inteligente; es decir, un acto inteligente y deliberado para eludir los servicios de seguridad y violar la política de seguridad de un sistema
– Ataque DDoS al Servidor de Windows Update
• Amenaza: posibilidad de violación de la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar perjuicio, es decir, una amenaza es un peligro posible que podría explotar una vulnerabilidad
– Microsoft Windows de 32 bits sin parche, directamente conectado a Internet
• Vulnerabilidad: defecto o debilidad en el diseño, implementación, operación y mantenimiento de un sistema que podría ser explotado para violar la directiva o política de seguridad de dicho sistema
– "Desbordamiento de Búfer en RPC DCOM", que permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario
• Política (directiva) de seguridad: Conjunto de reglas que administra, gestiona y controla el acceso a los recursos de la red
Seguridad Perimetral
Ataques a la Seguridad
• Ataques Activos:
– Suplantación– Modificación del mensaje– Repetición– Denegación de Servicio
• Ataques Pasivos:
– Observación del contenido del mensaje:– Análisis del tráfico
Seguridad Perimetral
Servicios de Seguridad
• Conjunto de servicios de procesamiento o de comunicación proporcionados por un sistema con el fin de dar un tipo especial de protección a sus recursos de información
– Autenticación– Control de Acceso o Autorización– Confidencialidad de los Datos– No repudio– Integridad de los Datos– Disponibilidad
Seguridad Perimetral
Mecanismos de Seguridad
• Mecanismos de seguridad más habituales
– Cifrado– Integridad de los datos – Firma Digital– Control de acceso– Intercambio de autenticación– Tráfico de relleno– Control de encaminamiento– Confianza en terceras partes
Seguridad Perimetral
Modelos de Seguridad
• Transmisiones Seguras:
– Un mensaje ha de ser transmitido de una parte a otra de algún tipo de red no segura, como por ejemplo Internet.
– Se debe establecer un canal seguro de información a través de la red. Si es necesario proteger la información de modo que un oponente no sea una amenaza, deben utilizarse mecanismos de seguridad.
– Todas las técnicas que proporcionan seguridad en este entorno tienen dos componentes:
• Una transformación relacionada con la seguridad de la información que se va a enviar (cifrado, integridad,…)
• Información secreta compartida por los interlocutores que desconoce el oponente (clave de cifrado, clave de integridad,…)
– Para lograr una transmisión segura, en muchos casos puede ser necesaria la intervención de una tercera parte de confianza, que distribuya cierto tipo de información entre los dos interlocutores y garantice la validez de dicha información.
Seguridad Perimetral
Modelos de Seguridad
• Transmisiones Seguras:
Seguridad Perimetral
Modelos de Seguridad
• Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos, “malware”, …)
– Se consideran dos tipos de amenazas: • Amenazas al acceso a la información (captura o alteración de datos por parte de
usuarios que no deberían tener acceso a dichos datos) • Amenazas al servicio (denegación de servicios).
– Los mecanismos de seguridad necesarios para enfrentarse a los accesos no deseados se dividen en servicios de vigilancia, que incluyen mecanismos de control de acceso, y software de ocultación, que permite evitar el efecto del malware. En caso de que un usuario no autorizado accediese a la red, existen mecanismos de control interno de la actividad del sistema o de la red que permiten detectar la presencia de intrusos (IDS, IPS)
Seguridad Perimetral
Modelos de Seguridad
• Protección de los sistemas de información de accesos no deseados (“hackers”, intrusos, “malware”, …)
Seguridad Perimetral
Implementación de Seguridad Perimetral con dispositivos Cisco
Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
• La seguridad perimetral en redes de comunicaciones se basa en el aislamiento de redes, clasificadas según el nivel de confianza de cada una de ellas
• Zona de seguridad:
– Conjunto de redes que pueden ser alcanzadas a través de una interfaz de un firewall.– Es un dominio separado administrativamente donde tanto el tráfico entrante como el
saliente pueden ser filtrados.• Zonas de seguridad típicas:
– “Inside”– “Outside”– “Demilitarized Zone”
• Puntos de filtrado en los límitesde la DMZ:
– Routers: Enfoque abierto– Firewalls: Enfoque cerrado– Application Layer Gateway
(ALG) o Proxy Server
Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
• Características de la defensa en capas:
– Red Interna: Administrada y controlada por la organización Servicios Internos– Red Externa: No existe ningún tipo de control administrativo– DMZ: Se ubican los servicios que pueden ser accedidos desde la red externa y desde
la red interna.– La DMZ debe tener la capacidad de contener posibles ataques y limitar el daño en caso
de vulneración del sus mecanismos de seguridad.– Se aplican mecanismos de control de acceso a todo el tráfico que entra o sale de la
DMZ, utilizando para ello:• Routers: Filtrado de paquetes• Firewalls: Filtrado de estado de conexión
• Puntos y servicios de filtrado en la DMZ:
– Puntos de filtrado: Protegen los servicios filtrando el tráfico entrante y saliente– Servidores Públicos: Deben estar configurados de forma segura– ALGs: Desinfectan el tráfico a nivel de aplicación y controlan el tráfico saliente de la red
interna.– Private VLAN: Restringen los efectos de una vulneración de seguridad en la DMZ.
Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
• DMZs Múltiples:
– En un diseño de DMZ única, no existe control de acceso entre los diferentes hosts de la misma, a no ser que se utilicen PVLAN.
– Si un atacante compromete un equipo en la DMZ puede atacar desde dentro a los demás.
– El desarrollo de las aplicaciones Web modernas sigue una arquitectura “multicapa”, donde se separan la parte de la vista (servidor Web), el modelo (servidor de base de datos) y el controlador (servidor de aplicaciones).
• Un diseño robusto podría ubicar cada uno de los servidores en DMZs diferentes.– El comprometer un único servidor no proporciona un punto de ataque directo al resto
de servicios
Seguridad Perimetral
Implementación de Seguridad con Tecnología Cisco
• Diseño de DMZs moderno:
– Este diseño permite que varios sistemas filtren tráfico pero también subraya la necesidad de realizar una configuración correcta del dispositivo de filtrado.
– Actualmente los firewalls pueden crear múltiples DMZs, una por interfaz– Con un solo dispositivo se pueden sustituir los dispositivos que establecían los límites
entre la DMZ y la red interna, y entre la DMZ y la red externa.• Tipos de filtrado:
– Filtrado de paquetes (Routers): Filtrado de paquetes individuales– Filtrado del estado de la conexión (Firewall): Por ejemplo, control de los campos de las
cabeceras TCP que rigen el estado de la conexión
– Filtrado de las sesiones de aplicación(ALG o Proxy Server)
• Filtrado de doble firewall
Mejor rendimiento Mayor seguridad Mayor coste
Seguridad Perimetral
Tipos de Firewall
• Tecnologías de Firewall:
– Filtrado de paquetes: Filtran el tráfico en base a la información estática de las cabeceras de los paquetes, habitualmente mediante ACLs.
– Filtrado de paquetes con estado de conexión: Es un método de filtrado de paquetes que tiene en cuenta la información de la capa de aplicación para filtrar los paquetes y analiza los datos dentro del contexto de la conexión o flujo de datos.
• Tabla de estado de las conexiones activas. Esta tabla es, evidentemente, dinámica• Inspecciona los paquetes comprobando si se corresponden con las características
de sus sesión– Proxies: Trabajan a nivel de capa de aplicación. Actúan como intermediarios entre la
aplicación cliente (para la cual es un servidor) y la aplicación servidor (para la cual es un cliente)
• El Proxy Server recibe una petición de un cliente, la procesa y analiza, y la reenvía al destino, como si el fuese el cliente.
• Cuando el Proxy Server recibe la respuesta del servidor, la procesa y analiza, y la reenvía al cliente si es permitida.
Seguridad Perimetral
Firewall de Inspección de Estado
• Listas de Control de Acceso (Se tratarán en profundidad a continuación)
• Tabla de estados o tabla de sesiones: Es una tabla que realiza el seguimiento de todas las sesiones establecidas y permite realizar la inspección de todos los paquetes que pasan a través del Firewall utilizando esta información.
– Es una tabla dinámica, cuyo contenido cambia en función de los flujos de tráfico.– Crean entradas en la tabla cuando se establece una nueva conexión válida– Elimina las entradas de la tabla cuando se cierra adecuadamente una conexión y
utilizando temporizadores.• Utilización de la Información de la Capa de Aplicación: Un filtro de paquetes “stateful” puede
asociar un canal dinámica de una aplicación con la sesión inicial de una aplicación (tipo FTP).
– El concepto de “sesión” en el ámbito de los filtros de paquetes “stateful” hace referencia a las conexiones TCP o UDP.
– Existen firewalls de este tipo que trabajan también adecuadamente con ICMP y GRE.
Seguridad Perimetral
Firewall de Inspección de Estado
• El seguimiento de las sesiones de capa de transporte se realiza de forma diferente en función del tipo de protocolo:
– TCP: • Mantiene una entrada por conexión. • Implementación sencilla. Chequea el flujo de información y los números de
secuencia– UDP:
• No existen flags ni números de secuencia• La realización del seguimiento de las conexiones es difícil• Solamente se chequea la información del los flujos de información• Para eliminar las entradas se utilizan temporizadores• Se puede extraer información de las negociaciones de los protocolos de capa de
aplicación.– Otras servicios no orientados a la conexión:
• Solamente se chequea la información del los flujos de información.
Seguridad Perimetral
Firewall de Inspección de Estado
Seguridad Perimetral
Firewall de Inspección de Estado
Seguridad Perimetral
Cisco IOS Firewall
• Es una opción específica del sistema operativo de los routers Cisco (IOS) que está disponible para un conjunto limitado de plataformas. Integra:
– ACLs estándar y extendidas– NAT– Intercepción TCP– Firewall– Proxy de autenticación– Intrusion Prevention System– Port-to-Application Mapping– IPsec– Auditoría– Autenticación y autorización de usuario
Seguridad Perimetral
Tecnologías Básicas de Seguridad: Filtrado de Paquetes y Traducción de Direcciones
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Los administradores de red utilizan “firewalls” para proteger sus redes contra el uso no autorizado.
– Los firewalls son soluciones de hardware o software que hacen cumplir las políticas de seguridad de la red.
– En un router, se puede configurar un “firewall” simple (firewall de filtrado de paquetes) que proporciona capacidades básicas de seguridad utilizando ACLs.
– Las Listas de Control de Acceso (Access Control List, ACL) constituyen un mecanismo que permite filtrar el tráfico de red, deteniendo o permitiendo sólo tráfico específico
• Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a una interfaz de un router en un determinado sentido (de entrada o de salida) para cada protocolo de red configurado, en la mayoría de casos, IPv4.
– Criterios de filtrado de paquete: • Campos de la cabecera IP:
– Direcciones IP Origen y Destino, Tipo de Protocolo, etc.• Campos de la cabecera del protocolo de capa superior: TCP, UDP, …
– Nº de puerto, señalizadores de la cabecera TCP (SYN, ACK, …)
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Funcionamiento:
– Cuando un paquete llega al router (o va a salir del router) a través de una interfaz con una ACL asociada, la ACL se examina de arriba a abajo, línea a línea, buscando un patrón que coincida entre el criterio de filtrado establecido en cada línea con las características del paquete entrante.
• Si se produce dicha coincidencia se aplica la acción asociada a la sentencia (permitir / denegar)
– De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra el tráfico. El tráfico que entra en el router es enrutado según la tabla de enrutamiento.
– Lugares típicos de aplicación de ACLs:• Routers firewall entre la red interna y la red externa (e.g. Internet) • Routers situados entre dos partes de la red para controlar el tráfico que entra o
sale de una parte específica de su red interna.
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso• Funcionamiento de una ACL de entrada en una interfaz
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso• Funcionamiento de una ACL de entrada en una interfaz
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Ejecución de las ACLs en el proceso general de enrutamiento de un paquete IP en un router
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Hay dos tipos básicos de ACL en los routers Cisco:
– ACL estándar: Filtra el tráfico utilizando como criterio la dirección IP de origen del paquete.
Access-list 10 permit 172.30.0.0 0.0.0.255
• ACL extendidas
– Las ACL extendidas filtran los paquetes IP en función de diferentes valores de las cabeceras de capa 3 y capa 4: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo.
Access-list 101 permit ip 172.30.0.0 0.0.0.255 host 193.144.49.10 eq 80
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Configuración de ACLs:
1. Creación de al lista de control de acceso• Cada comando de ACL se introduce de forma individual, por lo que es necesario
indicar en cada sentencia el número de ACL al que pertenece dicha sentenciaaccess-list 10 permit 172.28.0.0 0.0.0.255
access-list 10 permit 172.29.0.0 0.0.0.255
access-list 10 permit 172.30.0.0 0.0.0.255
access-list 10 permit 172.31.0.0 0.0.0.255
• Por defecto, todas las ACLs finalizan con un comando de denegación total del tráfico implícito, por lo que si un paquete no coincide con ninguna sentencia de permiso, dicho paquete es denegado
• ACLs estándar: 1 – 99 (1300 – 1999)• ACLs extendidas: 100 – 199 (2000 – 2699)
2. Aplicación de la ACL a la interfaz:ip access-group 10 in
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL estándar:
access-list <nº de ACL> {deny|permit|remark} <origen> <wildcard-origen> <log>
• <nº de ACL>: Identifica la lista de acceso (1-99; 1300 y 1999)
• <origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de origen del paquete
• <log>: Paquetes que han activado la sentencia durante los últimos 5 minutos
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL estándar: Máscaras Wildcard
– Sirven para indicar qué bits del patrón especificado en la sentencia de la ACL deben coincidir con los de la dirección IP (origen o destino), para que se considere que se ha producido una coincidencia válida
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL estándar: Máscaras Wildcard
– Ejemplos:
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL estándar: Máscaras Wildcard
– Utilización de abreviaturas:• Any = 0.0.0.0 255.255.255.255• Host 192.168.10.10 = 192.168.10.10 0.0.0.0
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz:
– IMPORTANTE: Las ACL pueden aplicarse tanto a interfaces físicas como a subinterfaces
1. Creación de la ACL.• Ejemplo: Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
2. Selección de la interfaz adecuada:• Ejemplo: Router(config)# interface fastethernet 0/1
3. Asignación de la ACL a la interfaz, indicando en que sentido se va a aplicar dicho filtro• Ejemplo: Router(config-if)# ip access-group 1 out
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL estándar: Aplicar una ACL en una Interfaz. Ejemplo.
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL extendidas:
access-list <nº de ACL> {deny|permit|remark} <protocolo> <origen> <wildcard-origen>[operador <operando>] [port puerto] <destino> <wildcard-destino> [operador <operando>] [port puerto] [established]
• <nº de ACL>: Identifica la lista de acceso (100-199; 2000 y 2699)
• <protocolo>: Contenido del campo protocolo de la cabecera IP. Si no se desea especificar ningún protocolo concreto ha de especificarse la opción IP
• <origen> <wildcard-origen>: Especifica el patrón de bits a comprobar en la dirección IP de origen del paquete
• <destino> <wildcard-destino>: Especifica el patrón de bits a comprobar en la dirección IP de destino del paquete
• <operador operando>: Permite especificar un conjunto de puertos o un puerto específico, tanto de origen como de destino
• Established: Esta opción solamente está disponible para tráfico TCP e indica el paquete debe pertenecer a una conexión ya establecida (bit ack = 1)
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Sintaxis de las ACL extendidas: Especificación de puertos
– Ejemplo de utilización del número de puerto:
– Ejemplo de utilización del número de puerto:
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Ubicación de las ACL: Buenas prácticas.
– Ubicar las ACL extendidas lomás cerca posible del origendel tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red.
– Como las ACL estándar no especifican las direcciones de destino, deben colocarse lo más cerca del destino posible, para no eliminar mástráfico del necesario.
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso• Buenas prácticas para el diseño de ACLs:
1. Fundamentar las decisiones en la política de seguridad de la organización2. Preparar una descripción de lo que se desea realizar (tal y como se ha visto en la
parte de teoría). Deben especificarse primero los flujos de tráfico “más específicos”3. Determinar la ubicación de la ACL, así como el sentido de aplicación4. Utilizar un editor de textos externo para crear, editar y almacenar las ACL5. Probar las ACLs en una red de pruebas, antes de implantarlas en producción
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Ejemplo: Debe evitarse que desde las redes de la Facultad de Informática pueda accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10
1. Este enunciado es el equivalente a la “política de la organización”2. Descripción de cómo se va a procesar el tráfico en el router Informática:
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/ 24 hacia el resto de dispositivos de la red 192.168.3.0 debe ser prohibido
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el resto de las redes debe ser permitido
3. Ubicación de la ACL: Interface f1/0. Sentido, saliente.4. Utilización de un editor externo para construir la ACL:
access-list 100 permit tcp any host 192.168.3.10 eq 80
access-list 100 permit udp any host 192.168.3.10 eq 53
access-list 100 permit tcp any host 192.168.3.10 eq 53
access-list 100 deny ip any 192.168.3.0 0.0.0.255
access-list 100 permit ip any any
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Ejemplo: Debe evitarse que desde la red 192.168.1.0/24 pueda accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el tráfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10. Desde la red 192.168.2.0/24, el único tráfico permitido será el dirigido hacia el servidor Web y el servidor DNS ubicados en el equipo 192.168.3.10. El tráfico entre las redes 192.168.1.0/24 y 192.168.2.0/24 estará permitido.
1. Este enunciado es el equivalente a la “política de la organización”2. Descripción de cómo se va a procesar el tráfico en el router Informática:
• El tráfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
• El tráfico dirigido desde la red 192.168.1.0/24 al resto de dispositivos de la red 192.168.3.0 debe ser prohibido, pero el tráfico a las demás redes debe ser permitido
• El tráfico dirigido desde la red 192.168.2.0/24 hacia el resto de redes debe ser prohibido
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
3. Ubicación de la ACL: Interface f1/0. Sentido, saliente.4. Utilización de un editor externo para construir la ACL:
access-list 100 permit tcp any host 192.168.3.10 eq 80
access-list 100 permit udp any host 192.168.3.10 eq 53
access-list 100 permit tcp any host 192.168.3.10 eq 53
access-list 100 deny ip any 192.168.3.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Seguridad Perimetral
Filtrado de Paquetes: Listas de Control de Acceso
• Edición de ACLs:
– Las ACLs identificadas por números (las que hemos estudiado) no son editables, es decir, cada vez que se añade una nueva sentencia, ésta se coloca a continuación de las sentencias ya existentes.
– Para introducir sentencias intermedias, debe borrarse la ACL completa y volver a escribirse (por ese se ha recomendado la utilización de editores de texto externos para crear y mantener las ACLs)
• Eliminación de la configuración de una ACL:
– Debe realizarse de manera especialmente cuidadosa:1. Eliminarse la asignación de la ACL a la interfaz:
Router(config-if)# no ip access-group 101 out2. Borrar la ACL:
Router(config)# no access-list 101
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (sin sobrecarga) estático:
– Mapeo de direcciones IP– Sintaxis:
Router(config)#ip nat inside source static <ip-local> <ip-global>
! Interfaz interna. Direccionamiento Privado
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat inside
! Interfaz externa. Direccionamiento Público
Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat outside
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (sin sobrecarga) estático:
– Mapeo de direcciones IP– Ejemplo:
Router(config)#ip nat inside source static 192.168.1.10 193.147.3.200
! Interfaz interna.
! Direccionamiento Privado
Router(config)#interface f0/0
Router(config-if)#ip nat inside
! Interfaz externa.
! Direccionamiento Público
Router(config)#interface f1/0
Router(config-if)#ip nat outside
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (sin sobrecarga) dinámico: Sintaxis
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask <máscara>|prefix-length <longitud-prefijo>}
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list <nº> permit <origen> <wildcard-origen>
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas> pool <nombre del pool de direcciones IP públicas>
4. Identificar la interfaz interna:Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat outside
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (sin sobrecarga) dinámico: Ejemplo
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (sin sobrecarga) dinámico: Ejemplo
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask 255.255.255.0
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list 1 pool Infor1
4. Identificar la interfaz interna:Router(config)#interface f0/0
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:Router(config)#interface f0/1
Router(config-if)#ip nat outside
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis. Opción 1: Sobrecargar un conjunto de direcciones IP públicas (grandes organizaciones)
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask
<máscara>|prefix-length <longitud-prefijo>}
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list <nº> permit <origen> <wildcard-origen>
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas>
pool <nombre del pool de direcciones IP públicas> OVERLOAD
4. Identificar la interfaz interna:Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat outside
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (con sobrecarga) dinámico: Ejemplo
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo
1. Definir el conjunto de direcciones públicas que van a ser utilizadas:Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask 255.255.255.0
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list 1 pool Infor1 OVERLOAD
4. Identificar la interfaz interna:Router(config)#interface f0/0
Router(config-if)#ip nat inside
5. Identificar la interfaz externa:Router(config)#interface f0/1
Router(config-if)#ip nat outside
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (con sobrecarga) dinámico o PAT: Sintaxis. Opción 2: Sobrecargar la dirección IP de la Interfaz Pública (PYME - Doméstica)
1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list <nº> permit <origen> <wildcard-origen>
2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list <nº de ACL que define las Ips privadas>
interface <tipo número> OVERLOAD
3. Identificar la interfaz interna:Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat inside
4. Identificar la interfaz externa:Router(config)#interface <tipo-int nº-int>
Router(config-if)#ip nat outside
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (con sobrecarga) dinámico: Ejemplo
Seguridad Perimetral
Traducción de Direcciones: Configuración
• Configuración de NAT (con sobrecarga) dinámico o PAT: Ejemplo
1. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACLRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255
2. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP públicas:Router(config)#ip nat inside source list 1 interface f1/0 overload
3. Identificar la interfaz interna:Router(config)#interface f0/0
Router(config-if)#ip nat inside
4. Identificar la interfaz externa:Router(config)#interface f0/1
Router(config-if)#ip nat outside
Seguridad Perimetral
Contacto
• Francisco Javier Nóvoa
PEN Consultoría y Formación
Grupo Academia Postal
Responsable Técnico del Programa “Cisco Networking Academy”
E-mail: [email protected]://cisconetworkingspain.blogspot.com
Departamento de Tecnología de la Información y las Comunicaciones
Universidade da Coruña
Materias:
Redes (5º de Ingeniería Informática)
Seguridad en Sistemas de la Información (Máster en Ingeniería Informática)
E-mail: [email protected]