Professional Documents
Culture Documents
PROTECCIN DE LA RED.
Presentado a:
Ivan Andrs Polania Blanco
1
Yumary Ospina V.
INDICE
Pg.
1. Introduccin 3
2. Objetivo general 4
2.1. Objetivos especficos 4
3. Temtica 5
3.1 Tecnologas donde puede implementarse seguridad 5
3.1.1 Nivel de aplicacin de pasarela 5
3.1.2 Circuito a nivel de pasarela 5
3.1.3 Cortafuegos de capa de red o de filtrado de paquetes 5
3.1.4 Cortafuegos de capa de aplicacin 6
3.1.5 Cortafuegos personal 6
4. Listas de Control de Acceso (ACL) 6
4.1 Qu es una ACL 7
4.1.1 ACL estndar 7
4.1.2. ACL extendida 7
4.1.3. Dnde se aplican las ACL 8
4.1.4. Normas 8
4.1.5. Otros comandos ACL 8
4.1.6. Borrar una ACL 8
4.1.7. Otros comandos ACL 9
4.1.8. Borrar una ACL 9
4.1.9. Contexto basado en el control de acceso (CBAC). 9
4.1.10. Filtrado de trfico 10
4.1.11. Inspeccin de trfico 10
4.1.12 Deteccin de intrusos 11
4.1.13 Generacin de alertas y auditoras 11
5. Zonas desmilitarizadas (DMZ). 11
5.1 Aplicaciones web 13
5.1.1 Servidores FPT 14
5.1.2 Servidores DNS 14
5.1.3 Correo electrnico 15
5.1.4 Para qu se utiliza 15
5.1.5 Por qu no se recomienda su uso 16
5.1.6 Cmo puedo configurarlo 16
6. Conclusiones 17
7. Bibliografa 18
2
Yumary Ospina V.
1. INTRODUCCIN
3
Yumary Ospina V.
2. OBJETIVO GENERAL
Controlar el flujo del trfico. Las ACL pueden restringir el envo de las
actualizaciones de enrutamiento.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Por
ejemplo, las ACL pueden permitir que un host acceda a una parte de la red
y evitar que otro acceda a la misma rea.
Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir el
trfico de vdeo, por ejemplo, las ACL pueden reducir ampliamente la carga
de la red y en consecuencia mejorar el rendimiento de la misma.
Si no se necesitan actualizaciones debido a las condiciones de la red, se
preserva el ancho de banda.
Es una forma de determinar los permisos de acceso.
4
Yumary Ospina V.
3. Temtica
3.1. Tecnologas donde puede implementarse seguridad.
5
Yumary Ospina V.
Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red
(capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de
paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos
de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este
tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte
(capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel
de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direccin
MAC.
puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa
2 Modelo OSI) como la direccin MAC
6
Yumary Ospina V.
4.1 Qu es una ACL
Ejemplos:
ACL con nombre, permite dar nombres en vez de nmeros a las ACL estndar
o extendidas.
ACL extendida:
Ejemplos:
7
Yumary Ospina V.
4.1.3. Dnde se aplican las ACL:
Ejemplo:
Si se desea bloquear el trfico del origen al destino, mejor
aplicar una ACL entrante a E0 en el router A en vez de una lista saliente
a E1 en el router C
4.1.4. NORMAS:
se puede tener una lista de acceso por protocolo, por direccin y por interfaz
no se puede tener dos listas de acceso a la direccin entrante de una
interfaz se puede tener una lista de acceso de entrada y una de salida aplicada
una interfaz.
Router(config)#access-list 1 permit
10.0.0.0 0.255.255.255 (Siempre hay
8
Yumary Ospina V.
implcito una prohibicin (deny) al resto de trfico al final de la ACL por eso no
necesitamos aadir deny al resto de trfico.
CBAC: tambin puede examinar las conexiones soportadas para ejecutar las
traducciones de direcciones necesarias basndose en la informacin NAT y
PAT contenida en el paquete.
CBAC: puede bloquear conexiones peer- to-peer (P2P), como las utilizadas por
las aplicaciones Gnutella y KaZaA, as como el trfico de mensajera
instantnea como Yahoo!, AOL y MSN.
CBAC: proporciona cuatro funciones principales: filtrado de trfico, inspeccin
de trfico, deteccin de intrusos y generacin de auditoras y alertas.
9
Yumary Ospina V.
4.1.10. Filtrado de trfico:
CBAC puede ser configurado para permitir el paso de trfico de retorno TCP y
UDP especfico a travs del firewall cuando la conexin se inicia dentro de la
red.
Logra esto al crear entradas temporales en una ACL que de otra manera
denegara el trfico.
CBAC puede inspeccionar el trfico para sesiones que se originan dentro o
fuera de la red.
Puede ser usado para los permetros intranet, extranet e Internet de la red.
CBAC examina no slo la informacin de capas de red y de transporte, sino
tambin la informacin de protocolo de capa de aplicacin (como informacin
de conexiones FTP) para conocer el estado de la sesin.
Esto le permite soportar protocolos que involucran a mltiples canales creados
como resultado de negociaciones en el canal de control.
La mayora de los protocolos multimedia y otros tantos protocolos (como FTP,
RPC y SQL*Net) involucran a mltiples canales.
10
Yumary Ospina V.
4.1.12 Deteccin de intrusos:
CBAC proporciona una cantidad limitada de deteccin de intrusos para la
proteccin contra ataques SMTP especficos.
Con la deteccin de intrusos, los mensajes syslog son revisados y monitoreados
en bsqueda de firmas de ataques especficas.
Cuando CBAC detecta un ataque basado en estas caractersticas especficas,
reinicia las conexiones en cuestin y enva informacin al servidor syslog.
4.1.13 Generacin de alertas y auditoras:
CBAC tambin genera registros de auditoras y alertas en tiempo real.
Las funciones de registros de auditora mejoradas usan syslog para monitorear
todas las transacciones de red y grabar las marcas de tiempo, hosts de origen
y destino, puertos utilizados y el nmero total de bytes transmitidos en reportes
avanzados basados en sesin.
La alerta en tiempo real enva mensajes syslog de error a las consolas de
administracin central cuando detectan actividad sospechosa.
Los primeros comandos CBAC fueron introducidos al software IOS de Cisco en
1997.
CBAC es una mejora radical en comparacin de las opciones de firewall TCP
established y ACLs reflexivas en varios aspectos fundamentales:
Monitorea el establecimiento de conexiones TCP
Revisa los nmeros de secuencia TCP
Inspecciona consultas y respuestas DNS
Inspecciona tipos de mensaje ICMP comunes
Soporta aplicaciones que se basan en conexiones mltiples
Inspecciona direcciones incrustadas
Inspecciona informacin de capa de aplicacin
11
Yumary Ospina V.
As, aunque fsicamente los servidores dentro de una DMZ se encuentran en la
misma empresa, no estn conectados directamente con los equipos de la red
local.
La estructura del nivel de proteccin ms alto consiste en un cortafuegos que
separa la zona desmilitarizada, situada entre la red local e Internet, de las redes
vecinas.
Por su parte, en las arquitecturas de red un poco ms econmicas, todas las
redes estn conectadas a un nico firewall con tres terminales separados. En
este caso se habla de una DMZ protegida.
Se asla de una red local que se ubica en una red interna dentro de una
organizacin y una externa.
12
Yumary Ospina V.
5.1 Aplicaciones web
13
Yumary Ospina V.
5.1.1 Servidores FPT
14
Yumary Ospina V.
5.1.3 Correo electrnico
Objetivo:
Son las conexiones desde la red interna y la interna,
Estn permitido, mientras
El objetivo es que las conexiones desde la DMS solo se permitan a la red
externa.
15
Yumary Ospina V.
5.1.5 Por qu no se recomienda su uso
Dejar abiertos todos los puertos en el router implica que cualquier persona
desde Internet podr realizar un rastreo para detectar vulnerabilidades en los
servicios que se estn utilizando (FTP, SSH, TELNET, ). Esto quiere decir
que si el router no es capaz de proteger el dispositivo este deber disponer de
un firewall o de cuentas en los diferentes servicios que estn correctamente
protegidas, sin utilizar contraseas triviales que puedan aparecer en
diccionarios.
16
Yumary Ospina V.
6. CONCLUSIONES
17
Yumary Ospina V.
7.BIBLIOGRAFIA
https://www.redeszone.net/2017/01/17/dmz-routers-descubre-mejor-forma-
utilizacion/
https://es.slideshare.net/titiushko/clase-14-49473488
https://www.1and1.es/digitalguide/servidores/seguridad/en-que-consiste-una-
zona-desmilitarizada-dmz/
http://virtualbook.weebly.com/uploads/2/9/6/2/2962741/ac__list.pdf
http://atc2.aut.uah.es/~rosa/LabRC/Prac_5/Listas%20de%20Control%20de%2
0accesoRev.pdf
http://www.uv.es/fsoriano/AER/pr5_ACL.pdf
18
Yumary Ospina V.