Mecanismos de defensa en redes

[3.1] ¿Cómo estudiar este tema?

[3.2] Introducción

[3.3] Cortafuegos

[3.4] Topologías de defensa y zonas desmilitarizadas

TEMA
 Esquema

TEMA 3 – Esquema
Mecanismos de defensa en redes

IPSec Topologías de defensa y DMZ

Router de filtrado de paquetes Planificación

2
Pasare la a nivel de aplicación Arquitecturas simple s

Pasare la a nivel de circuito Té cnicas de defensa e n profundidad

Otras caracte rísticas

© Universidad Internacional de La Rioja (UNIR)

Seguridad en Redes
 Seguridad en Redes

Ideas clave

3.1. ¿Cómo estudiar este tema?

Para estudiar este tema, además de las Ideas clave, lee el capítulo 3 «Firewall
Gateways» (páginas 51-83) del libro Firewalls and Internet Security: Repelling the Wily
Hacker, de William R. Cheswick, Steven M. Bellovin, y Aviel D. Rubin, disponible en:
http://www.wilyhacker.com/1e/chap03.pdf

El principal objetivo de esta unidad es introducir al alumno el concepto de

cortafuegos, así como los diferentes métodos que existen para el filtrado de paquetes
TCP/IP a través de ellos. Asimismo, se verán las distintas posibilidades de
configuración de cortafuegos para la protección de redes.

Un equipo sin conexión a una red necesita ser accedido físicamente para poder ser
atacado. Sin embargo, un equipo conectado a una red se expone a un mayor
número de amenazas, ya que el número de vías que pueden ser utilizadas para
llevar a cabo un posible ataque se incrementa notablemente.

La necesidad de acceso físico para llevar a cabo cualquier acción en un equipo aislado
supone una primera línea de defensa. Sin embargo, en un equipo conectado a una red
pueden efectuarse acciones de manera remota que pongan en peligro el propio equipo y
los equipos conectados a la misma red. Además, el tráfico que fluye por la red no
puede ser considerado siempre fiable, por lo que es necesario disponer de algún
tipo de mecanismo que permita discriminarlo y solo deje pasar a la red interna el
tráfico legítimo. En este punto aparecen los sistemas cortafuegos cuya tarea es evitar
que los usuarios desautorizados de Internet tengan acceso a las redes privadas
conectadas con Internet, especialmente intranets.

En definitiva, este tema tiene como objetivo introducir al alumno en el mundo de los
cortafuegos y como deben emplearse para crear una red segura que dificulte o evite
intrusiones. Para ello, durante este tema se tratarán tres puntos principales:

Utilidad de los cortafuegos.

Tipos de filtrado de tráfico en cortafuegos.
Planificación de topologías de defensa en redes y zonas desmilitarizadas (DMZ).

TEMA 3 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

3.2. Introducción

Con la expansión de Internet, hoy en día es prácticamente imposible encontrar un

equipo que no cuente con acceso a la red de redes. Esta conexión lleva asociado un alto
riesgo de exposición del equipo conectado y la red en la que se encuentra, ya que
permite al mundo exterior tener acceso a la misma e interactuar con ella.

Suele ser necesario que algunos servicios como HTTP o DNS sean accedidos desde el
exterior y, por tanto, precisen mantenerse abiertos, lo que constituye una grave
amenaza. Para prevenir el acceso no autorizado a redes locales se utilizan los
cortafuegos. Normalmente, un cortafuegos se localiza entre Internet y la red local
con el fin de filtrar el tráfico proveniente del exterior hacía la red interna y el
proveniente de la red interna hacia el exterior.

3.3. Cortafuegos

Un cortafuegos se define habitualmente como un sistema confiable y seguro

situado entre dos redes por el cual pasa todo el tráfico que estas intercambian, y se
considera un mecanismo de prevención de accesos no autorizados a una red local.
Existen también, sin embargo, un tipo de cortafuegos, conocidos como cortafuegos de
host, que se sitúan en un host concreto y tan solo filtran el tráfico saliente o entrante de
ese único host.

Los cortafuegos implementan una política de seguridad que define los servicios y
accesos permitidos en términos de configuración de red, haciendo uso, entre otras, de
las siguientes funcionalidades:

Bloqueo de tráfico no deseado.

Redirección de tráfico a sistemas internos.
Ocultación de sistemas vulnerables.
Control de tráfico hacia y desde una red privada.
Ocultación de información: Nombres de sistemas, topología de red, etc.
Sistema de autenticación más robusto.

TEMA 3 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

En cuanto a los tipos de cortafuegos existentes, la forma más común de clasificarlos es

basándose en los niveles de la pila TCP/IP en los que operan y en la complejidad del
filtrado implementado por el cortafuegos. En base a esta clasificación, podemos
encontrarnos con los siguientes tipos:

» Cortafuegos de filtrado de paquetes: Este tipo de cortafuegos filtra los

paquetes en función de los principales campos de la cabecera de red (IP) y
transporte (TCP, UDP, etc.) ignorando el resto de los campos y datos del paquete
correspondiente. Existen cortafuegos de filtrado de paquetes más avanzados que
incorporan una tabla de estado que le permite hacer un seguimiento de las
conexiones abiertas y manejar así características especiales de ciertos protocolos.

» Pasarelas a nivel de aplicación: Este tipo de cortafuegos actúa de intermediario

(proxy) en todas las transacciones que lo atraviesan, filtrando el campo de datos a
nivel de aplicación según la política de seguridad definida.

» Pasarelas a nivel de circuito: Este tipo de cortafuegos actúa de intermediario

(proxy) redirigiendo las tramas una vez que se ha establecido una conexión con el
mismo. A diferencia de las pasarelas a nivel de aplicación, las pasarelas a nivel de
circuito no llevan a cabo filtrado a nivel de aplicación.

Cortafuegos de filtrado de paquetes

Los cortafuegos de filtrado de paquetes funcionan básicamente descartando o

aceptando paquetes en función de una serie de reglas definidas por el
administrador de la red. Las reglas comprueban cierta información contenida en los
paquetes como dirección IP de origen/destino, número de puerto de origen/destino,
tipo de protocolo de transporte usado (UDP, TCP, etc.), interfaz por la que llega el
paquete, tamaño del paquete, etc. Filtran, por lo tanto, a nivel de la capa de red
ofreciendo, en algunos casos, también ciertas funcionalidades a nivel de enlace y
transporte.

TEMA 3 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Ilustración 1: Cortafuegos de filtrado de paquetes.

Existen dos formas de implementar las reglas de filtrado (Ilustración 1) basadas en las
políticas predeterminadas del cortafuegos:

» Política restrictiva: Todo el tráfico que no esté permitido explícitamente en las

reglas de filtrado será descartado.

» Política permisiva: Todo el tráfico que no esté prohibido explícitamente en las

reglas de filtrado será aceptado.

La elección de la política por defecto depende de varios factores. En función del número
de hosts externos que puedan acceder a la red, el número de servicios abiertos… una
política restrictiva puede llegar a ser complicada de mantener, ya que es necesario
indicar explícitamente en las reglas de filtrado que paquetes deben ser aceptados. No
obstante, esta es la opción más segura. Por otro lado, una política permisiva
facilita el uso de la red a los usuarios, pero el nivel de seguridad proporcionado es
más bajo.

Las principales ventajas de un cortafuegos de filtrado de paquetes son su sencillez, su

facilidad de uso y su velocidad. Sin embargo, también tiene algunas desventajas,
principalmente que no llevan a cabo filtrado a nivel de aplicación.

Dentro de los cortafuegos de filtrado de paquetes existe un tipo más avanzado,

conocido como cortafuegos de estado, que permite hacer un seguimiento de las
conexiones abiertas y manejar así características especiales de ciertos protocolos como
TCP.

TEMA 3 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Pasarela a nivel de aplicación

Una pasarela a nivel de aplicación actúa de intermediario (proxy) en todas las

transacciones que lo atraviesan. Los usuarios contactan con la pasarela que ofrecerá
servicios proxy para unas determinadas aplicaciones (Telnet, HTTP, FTP, IMAP,
POP…). Este proceso es transparente (Ilustración 2) al usuario, ya que tiene la
impresión de comunicarse directamente con la máquina destino.

Ilustración 2: Proxy transparente.

Este tipo de pasarelas suelen ser más seguras que los cortafuegos de filtrado de
paquetes, ya que no hay que incluir reglas a nivel de red indicando todo el tráfico
permitido, solo es necesario indicar las aplicaciones admitidas.

Las pasarelas a nivel de aplicación permiten además la autenticación de los

usuarios que pretenden conectarse a los servicios. También es muy sencillo mantener
un log en el que se registra el tráfico entrante.

La principal debilidad de este tipo de cortafuegos es la posibilidad de una caída del

proxy en entornos con mucha demanda, ya que supone un procesamiento extra en
cada conexión que podría sobrecargar el sistema. Otra desventaja surge de la
necesidad de que el proxy requiera soporte específico para las distintas aplicaciones.
Normalmente existe soporte para las aplicaciones más comunes pero los problemas
surgen a la hora de adoptar nuevas tecnologías.

TEMA 3 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

En la práctica es habitual encontrar topologías de defensa (Ilustración 3) que

incluyen tanto una pasarela a nivel de aplicación como un cortafuegos de filtrado de
paquetes para una mayor seguridad del sistema.

Ilustración 3: Topología de defensa.

Pasarela a nivel de circuito

Las pasarelas a nivel de circuito pueden ser consideradas un híbrido entre los
cortafuegos de filtrado de paquetes y las pasarelas a nivel de aplicación. En primer
lugar, el usuario debe establecer una conexión con la pasarela, al igual que en las
pasarelas a nivel de aplicación. Una vez establecida la conexión, la pasarela se comporta
como un cortafuegos de filtrado de tráfico redirigiendo las tramas entre ambos
extremos sin analizar el contenido de los mismos a nivel de aplicación.

La principal ventaja de este tipo de cortafuegos es que una vez realizada la

autenticación del usuario no hay necesidad de examinar el contenido de los paquetes,
únicamente las cabeceras, lo que reduce la carga del sistema.

3.4. Topologías de defensa y zonas desmilitarizadas

Como ya se comentó en el apartado anterior, la finalidad de un cortafuegos es

bloquear accesos no autorizados tanto desde el exterior a una red privada o
intranet como en el sentido contrario, desde el interior hacia el exterior. Una topología
de defensa puede estar formada por un dispositivo o un conjunto de dispositivos que
estarán configurados de manera que el tráfico que pase a través de ellos pueda ser

TEMA 3 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

limitado, cifrado o descifrado. A estos equipos se les conoce normalmente como

equipos bastión.

Equipo bastión
Es un equipo que cuenta con una fuerte protección ya que estará expuesto a sufrir
ataques desde el exterior. Se sitúa entre la red exterior y la red interna.

Planificación de una arquitectura

La planificación de una arquitectura de seguridad no es trivial, es una tarea delicada

que debe fundamentarse en una política de seguridad definida por la corporación,
determinar los responsables y beneficiarios de los servicios, ubicar el cortafuegos en un
lugar adecuado y controlar y mantener el correcto funcionamiento de estos, así como de
las políticas de seguridad implementadas.

De entre las diversas posibilidades que existen para el despliegue de una arquitectura,
dos suelen ser las más utilizadas: las arquitecturas simples y las arquitecturas de
defensa en profundidad.

Arquitecturas simples

Una arquitectura simple es aquella en la que se sitúa el firewall o el control de

seguridad en la conexión entre la red interna y el medio inseguro al que está conectado
(Internet).

El bastión con interfaz dual es el intermediario entre la red interna y el exterior,

por lo que es el punto crítico de la topología. Si el atacante logra engañar al firewall, la
red interna podrá ser atacada. Un ejemplo de este tipo de arquitectura puede verse en
la Ilustración 4.

TEMA 3 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Ilustración 4: Arquitectura simple.

Arquitecturas de defensa en profundidad

Es frecuente conectar el cortafuegos a una tercera red, llamada Zona

Desmilitarizada (DMZ), en la que se ubican los servidores que deben permanecer
accesibles desde la red exterior. En este tipo de técnicas se pueden diferenciar dos
zonas en la red interna: la DMZ o Perimeter Network y la Internal Network o zona de
red interior. A esta zona los paquetes ya llegan filtrados desde la zona desmilitarizada.

Esta arquitectura permite mantener segura la red interna a pesar de que un atacante
haya logrado infiltrarse en la DMZ.

Ilustración 5: Arquitectura de defensa en profundidad.

TEMA 3 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Otras características de los cortafuegos

Además del filtrado de tráfico los cortafuegos pueden ofrecer otros servicios, algunos de
los cuales detallamos a continuación:

» NAT (Network Address Translation): Mecanismo que permite convertir en

tiempo real las direcciones IP de los paquetes que atraviesen el cortafuegos.

» VPN (Vitual Private Network): Mecanismo que permite la creación de una

canal de comunicaciones seguro entre dos extremos de una red.

» Balanceo de carga y tolerancia a fallos: Si existen varios servidores que

ofrecen el mismo servicio, el cortafuegos permite el reparto de las conexiones de
forma que se evita la sobrecarga de un único servidor. De igual manera, si uno se los
servidores internos falla, el cortafuegos redireccionará las peticiones a los servidores
activos.

» Detección de intrusiones: Hay sistemas que permiten detectar los ataques más
comunes. Un ataque también se puede detectar examinando el log de tráfico
entrante permitido.

TEMA 3 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Lo + recomendado

Lecciones magistrales

Mecanismos de defensa en redes

En esta lección se profundizará en los mecanismos de defensa en redes, unos

mecanismos que buscan proteger la información interna de las organizaciones y, a su
vez, permitir que estas organizaciones se puedan comunicar a través de redes con
niveles de seguridad más bajos.

La clase magistral está disponible en el aula virtual.

No dejes de leer…

Seguridad en redes telemáticas

Carracedo Gallardo, J. (2004). Seguridad en redes telemáticas. Madrid: McGraw-Hill.

Libro que abarca numerosos conceptos relacionados con la

seguridad en redes. El segundo capítulo del mismo posee un repaso
interesante relativo a la ubicación de los servicios de seguridad.

TEMA 3 –Lo + recomendado 12 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Seguridad en redes y sistemas informáticos

Huidobro, J. M. (2004). Seguridad en redes y sistemas informáticos. Madrid:

Paraninfo.

En el séptimo capítulo se tratan los aspectos necesarios para

conocer tanto los tipos de cortafuegos como las arquitecturas
más adecuadas para ellos.

No dejes de ver…

A trip to the DMZ

En este vídeo se explica qué es un

firewall y una DMZ, para qué sirven
y cómo configurar un router para
crear una DMZ.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

http://www.youtube.com/watch?v=d_BHgcarD6I

TEMA 3 –Lo + recomendado 13 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

+ Información

A fondo

Internet Security: Firewalls and Beyond

El artículo está enfocado en explicar las diferentes técnicas de las que disponemos hoy
en día para proteger nuestros equipos frente a ataques provenientes de Internet. El
artículo es de pago.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://dl.acm.org/citation.cfm?id=253802

Building Internet Firewalls

Elizabeth D. Zwicky, Simon Cooper, D. Brent Chapman (2000). Building Internet

Firewalls. California: O'Reilly Media.

Libro muy completo sobre los cortafuegos y las arquitecturas

de red que son utilizadas hoy en día en todo tipo de ámbitos.

Accede al libro desde el aula virtual o a través de la siguiente dirección web:

http://books.google.es/books?id=Q0ErhHGxNWcC&printsec=frontcover&hl=es

TEMA 3 – + Información 14 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Webgrafía

Firewall.com

Web con un gran número de enlaces referentes a cortafuegos y seguridad en redes de

computadores.

Accede a la página desde el aula virtual o a través de la siguiente dirección web

http://www.firewall.com/

TEMA 3 – + Información 15 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Actividades

Trabajo: Mecanismos de defensa en redes

Preparación del entorno

Para facilitar la realización de esta actividad podéis hacer uso de la máquina virtual de
NETinVM a la que podéis acceder a través del escritorio virtual.

NETinVM (https://informatica.uv.es/~carlos/docencia/netinvm/index.html) es una

herramienta creada por Carlos y David Pérez (a los que agradecemos su amabilidad a la
hora de permitirnos utilizarla en esta asignatura) que permite desplegar una topología
de red completa dentro de una única máquina virtual tal y como se muestra en el
gráfico.

Figura 1. Arquitectura NETinVM (fuente: Página Web de NETinVM).

TEMA 3 – Actividades 16 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Se recomienda la lectura de la página de documentación de NETinVM) para una mejor

comprensión de esta topología:
https://informatica.uv.es/~carlos/docencia/netinvm/netinvm.html

De cara a esta actividad lo importante es comprender que tenemos una red exterior
(10.5.0.0/24) que simula ser Internet, una DMZ (10.5.1.0/24) y una red interna
(10.5.0.2/24). Las tres se encuentran unidas por un cortafuegos fw cuya configuración
segura es el objeto de esta práctica. En el gráfico pueden verse los tres interfaces de fw
y sus correspondientes direcciones IP (eth0 con IP 10.5.0.254 interfaz con Internet,
eth1 con IP 10.5.1.254 interfaz con DMZ y eth2 con IP 10.5.2.254 interfaz con Red
Interna).

Además, en cada uno de los segmentos pueden desplegarse diversas máquinas:

» En Internet se pueden desplegar hasta un total de 6 máquinas que tomaran los

nombres desde exta hasta extf y las IPs 10.5.0.10 hasta la 10.5.0.15.
» En DMZ se pueden desplegar hasta un total de 6 máquinas que tomaran los
nombres desde dmza hasta dmzf y las IPs 10.5.1.10 hasta la 10.5.1.15. Siendo la
primera, dmza, un servidor WEB y, la segunda, dmzb, un servidor FTP.
» En Red Interna se pueden desplegar hasta un total de 6 máquinas que tomaran los
nombres desde inta hasta intf y las IPs 10.5.2.10 hasta la 10.5.2.15.

En la topología que utilizaremos para la práctica desplegaremos 4 máquinas:

» fw: Cortafuegos que une todos los segmentos de red.

» exta: Equipo en Internet que nos permite tener una visión desde el exterior de
nuestra arquitectura.
» dmza: Servidor WEB en nuestra DMZ cuyo acceso gestionaremos desde el
cortafuegos.
» inta: Equipo en la Red Interna que nos permite tener una visión desde el interior de
nuestra arquitectura.

Para establecer esta topología, debéis aseguraros de que la configuración de NETinVM

es la adecuada tal y como se os muestra en la siguiente figura. Primero pulsáis en el
icono configure my machines que tenéis en el escritorio de NETinVM. Una vez hayáis
pulsado en el icono, se os mostrará un fichero de configuración. En él, las líneas
relativas a fw, exta, inta y dmza deben estar des-comentadas para estar activadas (si

TEMA 3 – Actividades 17 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

no lo están debéis des-comentarlas). Si fuese necesario realizar algún cambio en el

fichero, pulsáis en Save para salvar los cambios y cerráis el editor.

Figura 2. Configuración de NETinVM.

Una vez configurada la topología correctamente tenéis que pulsar en el icono Run my
machines para crear la red virtual. Tras unos segundos de espera aparecerán diversos
terminales que, al cabo de unos segundos más, os permitirán acceder a cada una de las
máquinas creadas tal y como puede verse en la siguiente figura.

Figura 3. Terminales de acceso a las máquinas.

TEMA 3 – Actividades 18 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Las credenciales necesarias para acceder a las máquinas se encuentran en el fichero

passwords.txt al que podéis acceder desde el escritorio.

Otras herramientas útiles

Con el objetivo de comprobar que las reglas que os pediremos en la actividad son
correctas podéis hacer uso de algunas herramientas dentro del entorno de NETinVM.

La primera es utilizar el logging de iptables. Para todas las reglas que creéis podéis
crear justo antes una regla idéntica, pero cuya acción en vez de ser ACCEPT o DROP
sea LOG. De este modo, antes de aceptar o descartar un paquete, iptables lo logueará.
Por ejemplo, si quisierais loguear y aceptar todas las comunicaciones que atraviesen el
cortafuegos cuyo puerto destino sea el UDP 53 deberías introducir las siguientes reglas
(el orden es importante ya que, si se ejecutase la regla ACCEPT primero, la LOG nunca
llegaría a ejecutarse):

iptables ‐A FORWARD ‐p udp ‐‐dport 53 ‐j LOG 
iptables ‐A FORWARD ‐p udp ‐‐dport 53 ‐j ACCEPT 

Observando el fichero /var/log/kern.log veréis los paquetes logueados.

La segunda es utilizar el comando netcat tanto para crear peticiones como para simular
servicios (cuando estos no estén desplegados en la arquitectura). La sintaxis de netcat
es muy sencilla. Por ejemplo:

» Para crear un servicio que escuche en el puerto 80 TCP: nc -l -p 80

» Para crear un servicio que escuche en el puerto 53 UDP: nc -lu -p 53
» Para comunicarse con un servicio que escucha en el puerto 80 TCP: nc [IP o nombre
del host] 80
» Para comunicarse con un servicio que escucha en el puerto 53 UDP: nc -u [IP o
nombre del host] 53

TEMA 3 – Actividades 19 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

El siguiente gráfico muestra un ejemplo de una comunicación desde inta con el

servidor web en dmza y como ver en fw si las reglas que habéis introducido están
siendo ejecutadas.

Figura 4: Comunicación con servidor web en dmz desde red local

En este caso, el servidor web ya está establecido en dmza por lo cual no es necesario
simularlo. Desde inta lanzamos netcat, escribimos cualquier secuencia de caracteres,
pulsamos Enter y el servidor WEB responderá. Usando el comando tail en fw podemos
ver cómo se van logueando los paquetes.

Para casos en los que sea necesario comunicarse hacia o desde internet podéis utilizar
el equipo exta para recibir o generar tráfico. En el siguiente gráfico se simula un
servicio de DNS (UDP) en dicho host al cual se accede desde un equipo en la red local.

TEMA 3 – Actividades 20 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Figura 5: Comunicación con seridor DNS simulado en Internet desde red local

Una vez tenéis acceso a los 4 equipos y domináis el uso de netcat llega la hora de llevar
a cabo la actividad…

Desarrollo y pautas de la actividad

Suena el teléfono y te despiertas sobresaltado. No son horas para recibir una llamada
todavía, pero, aun así, el teléfono está sonando. Te acercas a mirar y ves una extensión
empresarial. No sabes quién es, pero por la hora parece importante. Respondes…

La empresa Example ha sufrido una brecha de seguridad en su red. Por lo que te

cuentan el ataque ya está bajo control, pero quieren evitar que les vuelva a ocurrir en el
futuro. Para ello quieren contar con los servicios de un experto en seguridad en redes
que les ayude a configurar su red de forma segura. Saben que tú sabes del tema, has
estudiado el Máster en Seguridad Informática de la UNIR, y quieren contratarte. No lo
dudas y aceptas el reto. Te pegas una ducha rápida y pones rumbo a sus oficinas.

Tras una reunión de apenas una hora tienes una idea clara de la arquitectura y dibujas
un gráfico.

TEMA 3 – Actividades 21 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Figura 6. Gráfico de la arquitectura a proteger.

Un cortafuegos FW con tres interfaces interconecta tres segmentos de red: la red

interna de la empresa, la DMZ y el acceso a Internet. Dentro de la DMZ se encuentra un
servidor WEB (DMZA). Además, tienes acceso a uno de los equipos de la red local
(INTA) y a otro en Internet (EXTA) que te permite tener una visión de la red desde el
exterior.

Estudias la topología con calma y te pones manos a la obra:

1. Decides conectarte al cortafuegos como root y listar las reglas de la tabla filter
en modo verbose.
2. El listado te muestra que se permiten demasiadas conexiones. Decides que lo mejor
es empezar desde cero y borrar todas las reglas de la tabla filter.
3. Además, no todas las cadenas de la tabla filter tienen una política restrictiva.
Estableces una política restrictiva en la cadena que falta.
4. Una vez que has establecido una base segura, llega el momento de permitir las
conexiones necesarias para Example. Lo primero es permitir el tráfico de las
conexiones ya establecidas en todas las cadenas de la tabla filter.
5. A continuación, lo primero que necesitas es que la red local tenga capacidad de
resolución de nombres. Desgraciadamente Example no cuenta con DNS propio, así
que seleccionas uno que crees seguro en Internet. Permites las nuevas

TEMA 3 – Actividades 22 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

conexiones salientes desde la red local al servidor DNS (UDP) público de

Google (IP: 8.8.8.8) que se encuentra en Internet.
6. Los usuarios de la red local necesitan acceder al servidor WEB de Example. Creas
una regla que permita las nuevas conexiones HTTP desde la red local al
servidor WEB en la DMZ.
7. También necesitan acceso a servidores WEB en Internet. Creas una regla que
permita las nuevas conexiones desde la red local a servidores WEB en
Internet.
8. Example desea, además, que su servidor WEB sea accesible desde Internet. Creas
una regla que permita las nuevas conexiones HTTP desde Internet al
servidor WEB en la DMZ.
9. Example te pide que se pueda administrar el cortafuegos de forma remota desde la
red local. Creas una regla que permita las nuevas conexiones SSH desde la
red local al cortafuegos.
10. Por último, Example quiere que el cortafuegos pueda descargarse actualizaciones de
seguridad de internet. Permites las nuevas conexiones HTTP desde el
cortafuegos al servidor de actualizaciones de Debian en España (IP:
82.194.78.250) que se encuentra en Internet.

Ya has configurado el cortafuegos de forma segura, has comprobado que todo sea
correcto y crees que has terminado el trabajo…, pero no es así. El responsable de
seguridad de Example es de la vieja escuela y quiere todas las reglas documentadas.

Además, es muy quisquilloso y solo aceptará la documentación si se la entregas en un

formato concreto. Debes rellenar la tabla 1 con las reglas de iptables que deberían
aplicarse en el cortafuegos FW para llevar a cabo las acciones solicitadas, generar un
PDF y hacer entrega de este a través de la plataforma facilitada dentro del plazo
establecido… ¡Suerte!

Notas:

» Las reglas, siempre que sea posible, deben determinar acción, interfaz, protocolo,
dirección IP origen y destino, puerto/s origen y destino y el estado de la conexión.
» A pesar de que las direcciones IP utilizadas en la topología son privadas no debe
utilizarse NAT. Solo se piden las reglas de filtrado.
» Todas las acciones deben llevarse a cabo con una única regla (a excepción de la
acción 4 para la que se requieren tres reglas).

TEMA 3 – Actividades 23 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

» A pesar de que en el cortafuegos bloqueéis todas las conexiones entrantes todavía

podréis acceder a él y al resto de los equipos a través de los terminales provistos ya
que estos simulan acceso local, no por red.
» La evaluación de la práctica se llevará a cabo únicamente evaluando la tabla de
reglas que entreguéis.

Acción Regla
1. Listar las reglas de la tabla filter en modo
detallado

2. Borrar todas las reglas de la tabla filter

3. Establecer una política restrictiva en la

cadena que falta
4. Permitir el tráfico de conexiones ya
establecidas en todas las cadenas de la
tabla filter
5. Permitir las nuevas conexiones salientes
desde la red local al servidor DNS (UDP)
público de Google (IP: 8.8.8.8) que se
encuentra en Internet
6. Permitir las nuevas conexiones HTTP
desde la red local al servidor WEB en la
DMZ
7. Permitir las nuevas conexiones desde la
red local a servidores WEB en Internet
8. Permitir las nuevas conexiones HTTP
desde Internet al servidor Web en la DMZ
9. Permitir las nuevas conexiones SSH
desde la red local al cortafuegos
10. Permitir las nuevas conexiones HTTP
desde el cortafuegos al servidor de
actualizaciones de Debian en España (IP:
82.194.78.250) que se encuentra en
Internet

Tabla 1. Reglas iptables.

TEMA 3 – Actividades 24 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Test

1. El uso del cortafuegos permite:

A. Bloquear la totalidad de las comunicaciones de un sistema de información.
B. Establecer condiciones de interconexión para redes con distintas políticas de
red.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

2. Entre las funciones de un cortafuegos se encuentran:

A. El control de tráfico desde la red local a internet.
B. El control de tráfico desde internet a la red local.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

3. Dependiendo de la capa donde se establezcan los controles del cortafuegos:

A. La seguridad de la red interna podrá ser mejor o peor.
B. Podrán establecerse distintos controles de seguridad.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

4. Un dispositivo cortafuegos basado en filtrado de paquetes…

A. Permite determinar los usuarios que pueden tener acceso a una web.
B. Permite determinar los contenidos a los que se puede tener acceso en una web.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

5. Las pasarelas a nivel de aplicación:

A. Tienen el inconveniente de necesitar gran cantidad de recursos para su
operación.
B. No permiten realizar controles en función de informaciones pertenecientes al
nivel de red (IP).
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores

TEMA 3 – Test 25 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

6. Una política de cortafuegos restrictiva…

A. Impide que cualquier comunicación pueda atravesar el cortafuegos.
B. No permite el acceso a más de un servicio de red.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

7. Los ataques de IP spoofing:

A. Pueden ser utilizados para evadir un filtrado a nivel de red.
B. No pueden ser controlados mediante la utilización de pasarelas a nivel de
aplicación.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

8. Un sistema de defensa basado en un bastión con interfaz dual…

A. Permite establecer de manera sencilla la protección de una red.
B. Uno de los problemas más importantes para este sistema sería que un atacante
consiguiera comprometer el bastión.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

9. El empleo de zonas desmilitarizadas:

A. Exige el empleo de un único tipo de tecnología de cortafuegos.
B. Exige el empleo de distintos tipos de tecnologías de cortafuegos.
C. Exige el establecimiento de distintas políticas de red para cada una de las
zonas definidas.
D. Ninguna de las anteriores.

10. En un sistema de red basado en cortafuegos:

A. Es necesario disponer de un importante número de reglas de comunicación
que permitan discriminar el tráfico peligroso.
B. Es necesario disponer de una política de interconexión bien detallada que
permita discriminar el tráfico peligroso.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

TEMA 3 – Test 26 © Universidad Internacional de La Rioja (UNIR)