UNIDAD 2: IMPLEMENTAR SERVICIOS DE FIREWALL QUE GARANTICEN LA

PROTECCIN DE LA RED.

YUMARY OSPINA V -084800582015

Presentado a:
Ivan Andrs Polania Blanco

UNIVERSIDAD DEL TOLIMA

ADMINISTRACION DE BASES DE DATOS
SEGURIDAD DE REDES
2017

1
Yumary Ospina V.
 INDICE

Pg.
1. Introduccin 3
2. Objetivo general 4
2.1. Objetivos especficos 4
3. Temtica 5
3.1 Tecnologas donde puede implementarse seguridad 5
3.1.1 Nivel de aplicacin de pasarela 5
3.1.2 Circuito a nivel de pasarela 5
3.1.3 Cortafuegos de capa de red o de filtrado de paquetes 5
3.1.4 Cortafuegos de capa de aplicacin 6
3.1.5 Cortafuegos personal 6
4. Listas de Control de Acceso (ACL) 6
4.1 Qu es una ACL 7
4.1.1 ACL estndar 7
4.1.2. ACL extendida 7
4.1.3. Dnde se aplican las ACL 8
4.1.4. Normas 8
4.1.5. Otros comandos ACL 8
4.1.6. Borrar una ACL 8
4.1.7. Otros comandos ACL 9
4.1.8. Borrar una ACL 9
4.1.9. Contexto basado en el control de acceso (CBAC). 9
4.1.10. Filtrado de trfico 10
4.1.11. Inspeccin de trfico 10
4.1.12 Deteccin de intrusos 11
4.1.13 Generacin de alertas y auditoras 11
5. Zonas desmilitarizadas (DMZ). 11
5.1 Aplicaciones web 13
5.1.1 Servidores FPT 14
5.1.2 Servidores DNS 14
5.1.3 Correo electrnico 15
5.1.4 Para qu se utiliza 15
5.1.5 Por qu no se recomienda su uso 16
5.1.6 Cmo puedo configurarlo 16
6. Conclusiones 17
7. Bibliografa 18

2
Yumary Ospina V.
1. INTRODUCCIN

Se procura conocer los conceptos bsicos para la compresin de todo tipo de

firewall, la importancia y el uso de esta, como seguridad de los pcs, servidores y
todo tipo de dispositivo al cual minimizar el impacto de los hackers, crackers y todos
aquellos que atentan contra la seguridad a travs de virus y ataques de toda clase
a la integridad y confidencialidad de los datos.
Los diseadores de red utilizan firewalls para proteger las redes del uso no
autorizado. Los firewalls son soluciones de hardware o de software que aplican las
polticas de seguridad de la red. Un firewall filtra los paquetes no autorizados o
potencialmente peligrosos e impide que ingresen a la red.
En un router Cisco se puede configurar una lista de control de acceso (ACL) que es
una lista secuencial de instrucciones permit (permitir) o deny (denegar) que se
aplican a los protocolos de capa superior o a las direcciones.
Las ACL son una herramienta potente para controlar el trfico hacia y desde la red.
Se pueden configurar ACL para todos los protocolos de red enrutada.
Debido a esto un problema que las afecte, por mnimo que sea, puede llegar a
comprometer la continuidad de las operaciones.
Falta de medidas de seguridad en las redes es un problema que est en
crecimiento.
En medio de esta variedad, han ido aumentando las acciones poco respetuosas de
la privacidad y de la propiedad de recursos y sistemas.
De igual forma es muy importante comprender que es un firewall y su importancia
en el mundo de la seguridad de los sistemas de cmputo, los beneficios que se
obtienen, las limitaciones, las polticas, los costos de los firewalls.

3
Yumary Ospina V.
2. OBJETIVO GENERAL

Conocer las diferentes formas de empleo de las ACL, sus componentes y

funcionamiento en los diferentes campos.

2.1 Objetivos especficos

Controlar el flujo del trfico. Las ACL pueden restringir el envo de las
actualizaciones de enrutamiento.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Por
ejemplo, las ACL pueden permitir que un host acceda a una parte de la red
y evitar que otro acceda a la misma rea.
Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir el
trfico de vdeo, por ejemplo, las ACL pueden reducir ampliamente la carga
de la red y en consecuencia mejorar el rendimiento de la misma.
Si no se necesitan actualizaciones debido a las condiciones de la red, se
preserva el ancho de banda.
Es una forma de determinar los permisos de acceso.

4
Yumary Ospina V.
3. Temtica
3.1. Tecnologas donde puede implementarse seguridad.

Un cortafuego o firewall, es un elemento de software o hardware utilizado en

una red para prevenir algunos tipos de comunicaciones prohibidos segn las
polticas de red que se hayan definido en funcin de las necesidades de la
organizacin responsable de la red. Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre
los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.

La idea principal de un firewall es crear un punto de control de la entrada y salida

de trfico de una red. Un firewall correctamente configurado es un sistema
adecuado para tener una proteccin a una instalacin informtica, pero en
ningn caso debe considerarse como suficiente. La Seguridad informtica
abarca ms mbitos y ms niveles de trabajo y proteccin.

Su modo de funcionar es definido por la recomendacin RFC 2979, la cual

define las caractersticas de comportamiento y requerimientos de
interoperabilidad. Hay diferentes tipos de firewalls en donde se pueden
implementar en el hardware o el software:

3.1.1 Nivel de aplicacin de pasarela

Aplica mecanismos de seguridad para aplicaciones especficas, tales como

servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una
degradacin del rendimiento
3.1.2 Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una conexin TCP o UDP es
establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir
entre los anfitriones sin ms control. Permite el establecimiento de una sesin
que se origine desde una zona de mayor seguridad hacia una zona de menor
seguridad.

3.1.3 Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos
TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn
los distintos campos de los paquetes IP: direccin IP origen, direccin IP
destino. A menudo en este tipo de cortafuegos se permiten filtrados segn
campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el

5
Yumary Ospina V.
Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red
(capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de
paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos
de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este
tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte
(capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel
de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direccin
MAC.

puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa
2 Modelo OSI) como la direccin MAC

3.1.4 Cortafuegos de capa de aplicacin

Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los
filtrados se pueden adaptar a caractersticas propias de los protocolos de este
nivel. Por ejemplo, si trata de trfico HTTP, se pueden realizar filtrados segn la
URL a la que se est intentando 7 Deibi Arias Michael Jimnez Daniel Arroyo
Anderson Len acceder, e incluso puede aplicar reglas en funcin de los propios
valores de los parmetros que aparezcan en un formulario web.
Un cortafuego a nivel 7 de trfico HTTP suele denominarse proxy, y permite que
los ordenadores de una organizacin entren a Internet de una forma controlada.
Un proxy oculta de manera eficaz las verdaderas direcciones de red.

3.1.5 Cortafuegos personal

Es un caso particular de cortafuegos que se instala como software en un
ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la
red. Se usa, por tanto, a nivel personal.

4. Listas de Control de Acceso (ACL):

son filtros que utilizan una numeracin
para identificarse:
1-99 son ACLs estndar
100-199 son ACLs extendidas.

Es una forma de determinar los permisos de acceso. Concepto de seguridad

informtica usado para filtrado de trfico. permiten controlar el flujo del trfico

6
Yumary Ospina V.
4.1 Qu es una ACL

Una ACL es una coleccin secuencial de sentencias de permiso o rechazo que

se aplican a direcciones o protocolos de capa superior. Los routers proporcionan
capacidades de filtrado de trfico a travs de las listas de control de acceso
(ACL)

En esta prctica, conocer las ACL estndar y extendidas como medio de

controlar el trfico de red y de qu manera se usan las ACL como parte de una
solucin de seguridad (cortafuegos).

4.1.1 ACL estndar:

(config)#access-listn {permit | deny} source {source-mask}

Ejemplos:

(config)#access-list 1 deny 10.5.3.0 0.0.0.255(config)#access-

list 1 permit host 10.5.3.37(config)#access-list 1 permit any

4.1.2 ACL extendida:

,
En cuya sintaxis aparece el protocolo y una direccin de origen y de destino.

ACL con nombre, permite dar nombres en vez de nmeros a las ACL estndar
o extendidas.

ACL extendida:

(config)#access-listn {permit | deny} protocol source {source-mask} destination

{destination-mask} [eqdestination-port]

Ejemplos:

(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host

10.5.64.30 eq 80 (config)#access-list 105 permit host 10.5.3.37 10.5.64.0
0.0.63.255 (config)#access-list 105 deny 10.5.3.0 0.0.0.255 any

7
Yumary Ospina V.
4.1.3. Dnde se aplican las ACL:

Las listas de acceso estndar se deben colocar cerca del destino

Las listas de acceso extendidas se deben colocar cerca de la fuente

In: el trfico que llega a la interfaz y luego pasa por el router

Out: el trfico que ya ha pasado por el router y est saliendo de la interfaz.

Ejemplo:
Si se desea bloquear el trfico del origen al destino, mejor
aplicar una ACL entrante a E0 en el router A en vez de una lista saliente
a E1 en el router C

4.1.4. NORMAS:

se puede tener una lista de acceso por protocolo, por direccin y por interfaz
no se puede tener dos listas de acceso a la direccin entrante de una
interfaz se puede tener una lista de acceso de entrada y una de salida aplicada
una interfaz.

4.1.5 Otros comandos ACL:

Mostrar las listas de acceso: Router#showaccess-list

4.1.6 Borrar una ACL:

Router(config)#no access-listn
La modificacin de una ACL requiere especial atencin. Si intenta eliminar
una lnea concreta de una ACL numerada, se eliminar toda la ACL

Ejemplo ACL estndar Primer paso: Definir a quien se le

permite el trfico:

Router(config)#access-list 1 permit
10.0.0.0 0.255.255.255 (Siempre hay

8
Yumary Ospina V.
implcito una prohibicin (deny) al resto de trfico al final de la ACL por eso no
necesitamos aadir deny al resto de trfico.

Ejemplo ACL estndar

Segundo paso: Aplicar la ACL a la

interface: Router(config)#interface Fa0/1Router(config-if)# ipaccess-group 1 out

4.1.7. Otros comandos ACL:

Mostrar las listas de acceso: Router#show access-list

4.1.8. Borrar una ACL:

Router(config)#no access-list n
La modificacin de una ACL requiere especial atencin. Si intenta eliminar una
lnea concreta de una ACL numerada, se eliminar toda la ACL

4.1.9. Contexto basado en el control de acceso (CBAC).

es una solucin disponible dentro del firewall IOS de Cisco.
CBAC filtra inteligentemente los paquetes TCP y UDP en base a informacin
de sesin de protocolo de capa de aplicacin.
Proporciona filtrado de capa de aplicacin con estados, incluyendo protocolos
que son especficos de aplicaciones nicas, as como protocolos y
aplicaciones multimedia que requieren mltiples canales para la comunicacin,
como FTP y H.323.

CBAC: tambin puede examinar las conexiones soportadas para ejecutar las
traducciones de direcciones necesarias basndose en la informacin NAT y
PAT contenida en el paquete.
CBAC: puede bloquear conexiones peer- to-peer (P2P), como las utilizadas por
las aplicaciones Gnutella y KaZaA, as como el trfico de mensajera
instantnea como Yahoo!, AOL y MSN.
CBAC: proporciona cuatro funciones principales: filtrado de trfico, inspeccin
de trfico, deteccin de intrusos y generacin de auditoras y alertas.

9
Yumary Ospina V.
4.1.10. Filtrado de trfico:
CBAC puede ser configurado para permitir el paso de trfico de retorno TCP y
UDP especfico a travs del firewall cuando la conexin se inicia dentro de la
red.
Logra esto al crear entradas temporales en una ACL que de otra manera
denegara el trfico.
CBAC puede inspeccionar el trfico para sesiones que se originan dentro o
fuera de la red.
Puede ser usado para los permetros intranet, extranet e Internet de la red.
CBAC examina no slo la informacin de capas de red y de transporte, sino
tambin la informacin de protocolo de capa de aplicacin (como informacin
de conexiones FTP) para conocer el estado de la sesin.
Esto le permite soportar protocolos que involucran a mltiples canales creados
como resultado de negociaciones en el canal de control.
La mayora de los protocolos multimedia y otros tantos protocolos (como FTP,
RPC y SQL*Net) involucran a mltiples canales.

4.1.11. Inspeccin de trfico:

Como CBAC inspecciona paquetes de capa de aplicacin y mantiene

informacin de sesiones TCP y UDP, puede detectar y prevenir ciertos tipos de
ataques de red como inundacin SYN.
Un ataque de inundacin SYN ocurre cuando un atacante inunda a un servidor
con un aluvin de solicitudes de conexin y no completa la conexin.
El volumen resultante de conexiones "medio abiertas" abruma al servidor y
causa que deniegue el servicio a solicitudes vlidas.
CBAC tambin contribuye a la proteccin contra ataques de DoS de otras
maneras: inspecciona los nmeros de secuencia de los paquetes de las
conexiones TCP para ver si estn dentro de los rangos esperados y los descarta
si le resultan sospechosos.
CBAC tambin puede ser configurado para descartar conexiones medio
abiertas, ya que stas requieren procesamiento extra y recursos de memoria en
el firewall.

10
Yumary Ospina V.
4.1.12 Deteccin de intrusos:
CBAC proporciona una cantidad limitada de deteccin de intrusos para la
proteccin contra ataques SMTP especficos.
Con la deteccin de intrusos, los mensajes syslog son revisados y monitoreados
en bsqueda de firmas de ataques especficas.
Cuando CBAC detecta un ataque basado en estas caractersticas especficas,
reinicia las conexiones en cuestin y enva informacin al servidor syslog.
4.1.13 Generacin de alertas y auditoras:
CBAC tambin genera registros de auditoras y alertas en tiempo real.
Las funciones de registros de auditora mejoradas usan syslog para monitorear
todas las transacciones de red y grabar las marcas de tiempo, hosts de origen
y destino, puertos utilizados y el nmero total de bytes transmitidos en reportes
avanzados basados en sesin.
La alerta en tiempo real enva mensajes syslog de error a las consolas de
administracin central cuando detectan actividad sospechosa.
Los primeros comandos CBAC fueron introducidos al software IOS de Cisco en
1997.
CBAC es una mejora radical en comparacin de las opciones de firewall TCP
established y ACLs reflexivas en varios aspectos fundamentales:
Monitorea el establecimiento de conexiones TCP
Revisa los nmeros de secuencia TCP
Inspecciona consultas y respuestas DNS
Inspecciona tipos de mensaje ICMP comunes
Soporta aplicaciones que se basan en conexiones mltiples
Inspecciona direcciones incrustadas
Inspecciona informacin de capa de aplicacin

5. Zonas desmilitarizadas (DMZ).

en informtica, una zona desmilitarizada (demilitarized zone, DZM) hace
referencia a una red de ordenadores con un rango de direcciones IP privadas
que sirve como franja de seguridad entre dos redes, separndolas mediante
estrictas reglas de acceso.

11
Yumary Ospina V.
As, aunque fsicamente los servidores dentro de una DMZ se encuentran en la
misma empresa, no estn conectados directamente con los equipos de la red
local.
La estructura del nivel de proteccin ms alto consiste en un cortafuegos que
separa la zona desmilitarizada, situada entre la red local e Internet, de las redes
vecinas.
Por su parte, en las arquitecturas de red un poco ms econmicas, todas las
redes estn conectadas a un nico firewall con tres terminales separados. En
este caso se habla de una DMZ protegida.

Se asla de una red local que se ubica en una red interna dentro de una
organizacin y una externa.

Una zona desmilitarizada es un segmento especial de una red donde se

encuentra aplicaciones o servicios que pueden ser accesibles desde internet y
por consiguiente pueden tener ataques de seguridad como son:

12
Yumary Ospina V.
5.1 Aplicaciones web

13
Yumary Ospina V.
5.1.1 Servidores FPT

5.1.2 Servidores DNS

14
Yumary Ospina V.
5.1.3 Correo electrnico

Objetivo:
Son las conexiones desde la red interna y la interna,
Estn permitido, mientras
El objetivo es que las conexiones desde la DMS solo se permitan a la red
externa.

5.1.4 Para qu se utiliza

Sirve sobre todo para evitar problemas existentes para ejecutar programas o
acceder a determinados servicios desde el exterior que se encuentran en el
dispositivo que se encuentra bajo la regla DMZ.

15
Yumary Ospina V.
5.1.5 Por qu no se recomienda su uso
Dejar abiertos todos los puertos en el router implica que cualquier persona
desde Internet podr realizar un rastreo para detectar vulnerabilidades en los
servicios que se estn utilizando (FTP, SSH, TELNET, ). Esto quiere decir
que si el router no es capaz de proteger el dispositivo este deber disponer de
un firewall o de cuentas en los diferentes servicios que estn correctamente
protegidas, sin utilizar contraseas triviales que puedan aparecer en
diccionarios.

5.1.6 Cmo puedo configurarlo

En primer lugar, es recomendable utilizar una IP fija para este equipo. De lo
contrario, con sucesivos reinicios puede perder esa IP y asignarla el router a
otro equipo, con el peligro que esto conlleva si no est correctamente protegido.
Una vez asegurados de este aspecto accedemos al men de configuracin web
de nuestro router. Tendremos que buscar una opcin en el men que sea DMZ
o similar. Ah tendremos que introducir la direccin IP sobre la que queremos
que se retire el firewall.

16
Yumary Ospina V.
 6. CONCLUSIONES

Los medios tecnolgicos que se usan en la actualidad son vulnerables a ser

atacados, desde el sistema ms seguro hasta el ms bsico. Los diferentes medios
o formas que los hackers usan para obtener informacin suelen aprovecharse de la
inocencia de los usuarios, que caen ante trampas para obtener informacin tanto
personal como empresarial, ya que las entidades son las que ms sufren estos
ataques. Por lo que se puede concluir que, si el usuario final no es instruido para
mantener segura la informacin el sistema este caer, por ms seguro que sea.

17
Yumary Ospina V.
 7.BIBLIOGRAFIA

https://www.redeszone.net/2017/01/17/dmz-routers-descubre-mejor-forma-
utilizacion/
https://es.slideshare.net/titiushko/clase-14-49473488
https://www.1and1.es/digitalguide/servidores/seguridad/en-que-consiste-una-
zona-desmilitarizada-dmz/
http://virtualbook.weebly.com/uploads/2/9/6/2/2962741/ac__list.pdf
http://atc2.aut.uah.es/~rosa/LabRC/Prac_5/Listas%20de%20Control%20de%2
0accesoRev.pdf
http://www.uv.es/fsoriano/AER/pr5_ACL.pdf

18
Yumary Ospina V.