Documente Academic
Documente Profesional
Documente Cultură
Seguridad en Redes
Prctica 3
REDES
Planificacin
VLAN
REDES
Planificacin
NAT
Semana del 18 de febrero (2 horas):
Repaso de los conceptos necesarios para realizar la prctica
Realizacin de un ejemplo
Realizacin de un ejercicio prctico de NAT y resolucin de dudas
Defensa de la prctica:
Semana del 6 de marzo
REDES
Parte I
Diseo y configuracin de seguridad bsica en una LAN
corporativa. Utilizacin de VLANs
REDES
Objetivos
Conocer las caractersticas y ventajas que aportan las VLAN en una red corporativa
REDES
REDES
En una red de rea local, formada por hubs, switches y dispositivos finales, nicamente
existe un dominio de difusin, por lo que todos los equipos estarn adems configurados en
la misma red IP
Inconvenientes:
Saturacin de trfico de difusin en la red
Falta de control interno en las comunicaciones
Qu se puede hacer para segmentar un dominio difusin en varios ms pequeos, con el
trfico de difusin de cada uno aislado?
Utilizacin de routers
Creacin de VLAN
REDES
Qu es una VLAN?
Es una agrupacin lgica de dispositivos que se basa en la configuracin de switches,
de tal modo que se pueden crear en un switch (o conjunto de switches) diferentes
dominios de difusin, asignando los puertos del switch a una VLAN concreta
Los criterios que permiten determinar a que VLAN est asignado un puerto pueden ser
muy diferentes:
Configuracin esttica del puerto (que es la opcin con la que se va a trabajar en
esta prctica)
En funcin de la direccin IP del dispositivo conectado al puerto
En funcin de la direccin MAC del dispositivo conectado al puerto
En funcin del usuario conectado al puerto (IEEE 802.1x)
REDES
Los elementos que se citan a continuacin son muy similares a los vistos para la
configuracin de routers:
Mtodos de acceso al sistema operativo del router: lnea de consola y linea vty
Archivos de configuracin del router: startup-configuration, running-configuration
Modos de trabajo: El switch tiene un conjunto de modos ms limitado.
Usuario, privilegiado, configuracin global, configuracin de interfaces,
Carece de modo de enrutamiento, puesto que el switch no tiene esta capacidad
Configuracin bsica de un switch: Es muy similar a la explicada en la prctica 1 para
el router, excepto en el caso de las interfaces:
Un switch es un dispositivo de capa 2 con lo que (por lo menos en un principio) no
trabaja con direcciones IP y por lo tanto las interfaces del switch no necesitan tener
este tipo de direcciones
Debido a ello, no pueden asignarse direcciones IP a las interfaces los switches
convencionales
REDES
REDES
REDES
Nota: Para aplicar la misma configuracin a varias interfaces puede utilizarse el comando
interface range
Ejemplo: Si se desea que desde el puerto 13 al 24 pertenezcan a la VLAN 20 se podr
utilizar el comando
Comando de Configuracin:
Switch(config)#interface range <Tipo Int> <slot>/<puerto inicial> - <puerto final>
Ejemplo Bsico:
Switch(config)#vlan 20
Switch(config-vlan)#name test
Switch(config)#interface range fastEthernet 0/12 24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
Comandos de diagnstico:
Show vlan
Show interfaces switchport
REDES
REDES
REDES
REDES
REDES
REDES
Ejemplo:
Switch(config)#interface Gigabit1/1
Switch(config-if)#switchport mode trunk
REDES
REDES
Ejemplo:
Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24
Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24
REDES
Al observar el ejemplo anterior se nos plantea una pregunta: cmo se interconectan varias
VLAN a travs de un router?
1. Dado que cada VLAN es una red (virtual) diferente, la primera opcin que parece
evidente es conectar un puerto de acceso de cada VLAN a una interfaz del router
De este modo cada interfaz del router da servicio a una VLAN
La interfaz del router deber tener una direccin IP que pertenezca a la misma
red/subre lgica que tenga asignada la VLAN
Problema qu suceder en un entorno en el que existan 20 VLANs?
Se precisaran 20 interfaces
Pero si se incrementa el nmero de VLANs a 100?
Este modelo no es escalable por lo que no se utiliza prcticamente NUNCA
en entornos reales
REDES
REDES
Problema: cmo una sola interfaz fsica del router puede dar servicio a varias
redes lgicas o VLANs a la vez?
Cada VLAN necesita una pasarela por defecto o puerta de enlace
Por ello, sera necesario asignar una direccin para cada VLAN en una sola
interfaz fsica del router
Adems, cmo sabra el router que direccin IP debera utilizar para dar
servicio a cada paquete que recibe?
Solucin: Subinterfaces, que son una interfaces lgicas que se crean dentro de
una interfaz fsica.
Es necesario indicar a que VLAN va a proporcionar sus servicios
Cada subinterfaz o interaz lgica tendr una direccin IP diferente, que
pertenecer a la red lgica asignada a la VLAN a la que da servicio
REDES
REDES
Configuracin en el switch
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk
REDES
REDES
Objetivo
REDES
Los administradores de red utilizan firewalls para proteger sus redes contra el uso no
autorizado.
Los firewalls son soluciones de hardware o software que hacen cumplir las polticas de
seguridad de la red.
En un router, se puede configurar un firewall simple (firewall de filtrado de paquetes)
que proporciona capacidades bsicas de seguridad utilizando ACLs.
Las Listas de Control de Acceso (Access Control List, ACL) constituyen un mecanismo
que permite filtrar el trfico de red, deteniendo o permitiendo slo trfico especfico
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a
una interfaz de un router en un determinado sentido (de entrada o de salida) para cada
protocolo de red configurado, en la mayora de casos, IPv4.
Criterios de filtrado de paquete:
Campos de la cabecera IP:
Direcciones IP Origen y Destino, Tipo de Protocolo, etc.
Campos de la cabecera del protocolo de capa superior: TCP, UDP,
N de puerto, sealizadores de la cabecera TCP (SYN, ACK, )
REDES
Funcionamiento:
Cuando un paquete llega al router (o va a salir del router) a travs de una interfaz con
una ACL asociada, la ACL se examina de arriba a abajo, lnea a lnea, buscando un
patrn que coincida entre el criterio de filtrado establecido en cada lnea con las
caractersticas del paquete entrante.
Si se produce dicha coincidencia se aplica la accin asociada a la sentencia
(permitir / denegar)
De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto,
no filtra el trfico. El trfico que entra en el router es enrutado segn la tabla de
enrutamiento.
Lugares tpicos de aplicacin de ACLs:
Routers firewall entre la red interna y la red externa (e.g. Internet)
Routers situados entre dos partes de la red para controlar el trfico que entra o
sale de una parte especfica de su red interna.
REDES
REDES
REDES
ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de diferentes valores de las
cabeceras de capa 3 y capa 4: tipo de protocolo, direcciones IP de origen, direcciones IP
de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin
opcional de tipo de protocolo.
Ejemplo:
Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255
193.144.49.10 0.0.0.0 eq 80
Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255
193.144.49.10 0.0.0.0 eq 443
Router(config)#access-list 101 permit tcp 0.0.0.0 255.255.255.255
182.168.1.0 0.0.0.255 established
REDES
Configuracin de ACLs:
1. Creacin de al lista de control de acceso
Cada comando de ACL se introduce de forma individual, por lo que es necesario
indicar en cada sentencia el nmero de ACL al que pertenece dicha sentencia
access-list 10 permit 172.28.0.0 0.0.0.255
access-list 10 permit 172.29.0.0 0.0.0.255
access-list 10 permit 172.30.0.0 0.0.0.255
access-list 10 permit 172.31.0.0 0.0.0.255
Por defecto, todas las ACLs finalizan con un comando de denegacin total del
trfico implcito, por lo que si un paquete no coincide con ninguna sentencia de
permiso, dicho paquete es denegado
ACLs estndar: 1 99 (1300 1999)
ACLs extendidas: 100 199 (2000 2699)
2. Aplicacin de la ACL a la interfaz:
ip access-group 10 in
REDES
REDES
REDES
REDES
REDES
REDES
Sintaxis de las ACL estndar: Aplicar una ACL en una Interfaz. Ejemplo 1.
Router(config)#access-list 1
permit 192.168.3.0 0.0.0.255
Router(config)#access-list 1
permit host 10.1.1.2
Router(config)#interface Serial0/0/0
Router(config-if)#ip access-group 1 in
REDES
Established: Esta opcin solamente est disponible para trfico TCP e indica el paquete
debe pertenecer a una conexin ya establecida (bit ack = 1)
REDES
REDES
REDES
REDES
Ejemplo 2A: Debe evitarse que desde las redes de la Facultad de Informtica pueda
accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el
trfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10
1. Este enunciado es el equivalente a la poltica de la organizacin
2. Descripcin de cmo se va a procesar el trfico en el router Informtica:
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/ 24 hacia el resto
de dispositivos de la red 192.168.3.0 debe ser prohibido
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el resto
de las redes debe ser permitido
3. Ubicacin de la ACL: Interface f1/0. Sentido, saliente.
4. Utilizacin de un editor externo para construir la ACL:
access-list
access-list
access-list
access-list
access-list
100
100
100
100
100
REDES
Ejemplo 2B: Debe evitarse que desde la red 192.168.1.0/24 pueda accederse a las
direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el trfico va dirigido
al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10. Desde la red
192.168.2.0/24, el nico trfico permitido ser el dirigido hacia el servidor Web y el servidor
DNS ubicados en el equipo 192.168.3.10. El trfico entre las redes 192.168.1.0/24 y
192.168.2.0/24 estar permitido.
1. Este enunciado es el equivalente a la poltica de la organizacin
2. Descripcin de cmo se va a procesar el trfico en el router Informtica:
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
El trfico dirigido desde la red 192.168.1.0/24 al resto de dispositivos de la red
192.168.3.0 debe ser prohibido, pero el trfico a las dems redes debe ser
permitido
El trfico dirigido desde la red 192.168.2.0/24 hacia el resto de redes debe ser
prohibido
REDES
100
100
100
100
100
REDES
Edicin de ACLs:
Las ACLs identificadas por nmeros (las que hemos estudiado) no son editables, es
decir, cada vez que se aade una nueva sentencia, sta se coloca a continuacin de
las sentencias ya existentes.
Para introducir sentencias intermedias, debe borrarse la ACL completa y volver a
escribirse (por ese se ha recomendado la utilizacin de editores de texto externos para
crear y mantener las ACLs)
REDES
Traduccin de Direcciones
REDES
Objetivos
Discernir entre los diferentes tipos de configuraciones NAT: Esttico vs. Dinmico
REDES
Base Terica
REDES
Base Terica
Tipos de NAT
NAT Esttico: A cada direccin IP privada se le asigna una IP pblica de forma
administrativa
NAT Dinmico (sin sobrecarga): Existe un pool de direcciones privadas y un pool de
direcciones pblicas. Cuando un dispositivo con una IP privada necesita acceder a una
red pblica, solicita una direccin IP pblica, si hay disponibles.
NAT Dinmico con Sobrecarga (Overloading) / Port Address Translation: En este caso
una sola IP pblica puede ser utilizada por mltiples IPs privadas, debido a que se
traducen, adems de las direcciones IP, los nmeros de puerto de los protocolos de
capa superior como TCP o UDP
Port Mapping / Port Forwarding: Es una asignacin esttica de IP + Puerto privados
con una IP + Puerto pblico, lo que permite acceder desde la red pblica (Internet) a
determinados puertos de la red privada
REDES
Ejemplo
REDES
Mapeo de direcciones IP
Sintaxis:
Router(config)#ip nat inside source static <ip-local> <ip-global>
! Interfaz interna. Direccionamiento Privado
Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat inside
! Interfaz externa. Direccionamiento Pblico
Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat outside
REDES
Mapeo de direcciones IP
Ejemplo:
Router(config)#ip nat inside source static 192.168.1.10 193.147.3.200
! Interfaz interna.
! Direccionamiento Privado
Router(config)#interface f0/0
Router(config-if)#ip nat inside
! Interfaz externa.
! Direccionamiento Pblico
Router(config)#interface f1/0
Router(config-if)#ip nat outside
REDES
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <n> permit <origen> <wildcard-origen>
REDES
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
REDES
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <n> permit <origen> <wildcard-origen>
REDES
Ejemplo
1. Definir el conjunto de direcciones pblicas que van a ser utilizadas:
Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask
255.255.255.0
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
REDES
REDES
REDES
Configuracin de Port-Mapping:
Sintaxis.
1. Relacionar la IP y puerto privado con la IP y puerto pblico:
Router(config)# ip nat inside source static [tcp|udp] <ip-local-interna>
<puerto-local-interno> <ip-global-interna> <puerto-global-interno>
REDES
Configuracin de Port-Mapping:
Ejemplo:
Router(config)# ip nat inside source static tcp 172.28.10.100 80 193.147.41.1
80
REDES
REDES
Comandos de Diagnstico:
Router# show ip nat translations
Router# show ip nat statistics
Router# debug ip nat
REDES
Terminologa NAT
Son direcciones que hacen referencia a equipos de la red privada o interna, pero una
vez que el paquete ha sido procesado por NAT y por lo tanto el paquete est en la red
pblica.
Son las direcciones pblicas asignadas a equipos de la red interna o privada
Direcciones Outside Local:
Son las direcciones de los equipos que estn fuera de la red privada, tal y como se ven
desde la red privada. Suelen ser direcciones pblicas.
Direcciones Outside Global
Son las direcciones de los equipos que estn fuera de la red privada, tal y como se ven
desde la red pblica. Suelen ser direcciones pblicas.
Normalmente, en la mayor parte de configuraciones: Outside Local = Outside Global