UD5_2: Proteccin del router

Como son los routers los que nos dan acceso al exterior o a otras redes, empezaremos por ver cmo poder darle un mnimo de proteccin a los ataques de seguridad

INTE NET

AZC

A tener en cuenta como mnimo

El router en un cuarto cerrado con llave, donde slo pueda entrar personal autorizado" #ic$o cuarto no de%e tener interferencia electrosttica ni magntica & de%e tener controles de temperatura & humedad" Instalar una 'uente de energa ininterrumpi%le (UPS)" Tener siempre una copia de seguridad de una con'iguracin & el I*+ a mano para el caso de que se produzca un 'allo en un router" ,n router tiene muc$os servicios activados de 'orma predeterminada" -a& que desactivar los servicios innecesarios"
AZC !

+eguridad mnima del router/ las contraseas

Es lo lgico, pero no lo $acemos/ ,na contrasea slida es el elemento m0s fundamental para controlar el acceso seguro a un router" Entre las %uenas pr0cticas en materia de contrase1as se inclu&en las siguientes/
o escri!ir las contrase1as ni de2arlas en lugares o%vios, como el escritorio o monitor" "vitar el uso de pala%ras del diccionario, nom!res, n3meros de telfono & fechas" #om!inar letras$ n%meros & s'm!olos" Incluir, por lo menos, una letra min3scula, una letra ma&3scula, un dgito & un car0cter especial" Crear contraseas largas" 4a me2or pr0ctica es tener, como mnimo, oc$o caracteres" (odificar las contraseas con la ma&or 'recuencia AZC posi%le"

+eguridad mnima del router/ las contrase1as

El tema de contrase1as en los routers &a lo $emos visto en unidades anteriores (contrase1a de consola, telnet, etc), aqu vamos a ver cmo restringir el acceso al router, el paso por 6l $acia 'uera o dentro, cmo elegir qu6 tipo de in'ormacin puede o no pasar, & por dnde77

AZC

4istas de acceso/ AC4

4a seguridad de la red es un tema mu& amplio & una %uena parte de 6l va m0s all0 del alcance de este curso" No o%stante, una de las capacidades m0s importantes que un administrador de red necesita es el dominio de las listas de control de acceso (AC4)" 4os administradores utilizan las AC4 para detener el trfico o permitir slo el trfico espec'fico &, al mismo tiempo, para detener el resto del trfico en sus redes)
AZC 8

4istas de acceso/ AC4 (el fire*all %0sico de Cisco)

+e utilizan 'ire:alls para proteger las redes contra el uso no autorizado" 4os 'ire:alls son $ard:are o so't:are que $acen cumplir las pol'ticas de seguridad de la red" Es como la cerradura de la puerta de la $a%itacin de un edi'icio" 4a cerradura slo permite que ingresen los usuarios autorizados con una llave o tar2eta de acceso" #el mismo modo, los 'ire:alls filtran la entrada a la red de los paquetes no autorizados o potencialmente peligrosos" En un router Cisco, se puede con'igurar un simple 'ire:all que proporcione capacidades !sicas de filtrado de trfico a trav6s de lo que se denominan +#,)
AZC 9

AC4 para la proteccin de redes <uede ser tan simple como permitir o denegar los $osts o direcciones de red" <ero, tam%i6n pueden con'igurarse para controlar el tr0'ico de red seg3n el puerto TC< que se utiliza" <ara comprender cmo 'unciona una AC4 con TC<, o%servaremos el di0logo durante una conversacin TC<"

AZC

#i0logo TC< entre ! nodos

4os paquetes TC< tienen seali-adores que indican su o%2etivo" S. inicia (sincroniza) la sesin> +#/ es un acuse de reci%o de que se reci%i el paquete esperado, & ?IN 'inaliza la sesin" S. 0+#/ acuse de reci%o de que la trans'erencia se sincroniz"

AZC

AC4/ 'iltrado de paquetes ,n router para 'iltrar los paquetes utili-a reglas para determinar la autorizacin o denegacin del tr0'ico seg3n/
las direcciones I< de origen & de destino, el puerto origen & el puerto destino, & el protocolo del paquete"

Estas son las reglas que $a& que de'inir mediante las listas de control de acceso o AC4"
AZC @

En %ase a qu6 AC4 'iltra los paquetesB AC4 es una lista de sentencias de permiso o denegacin que se aplican a direcciones I< o protocolos" 4a AC4 puede sacar in'ormacin del enca%ezado del paquete, pro%arla en %ase a reglas de'inidas & decidir si CpermitirC o CdenegarC la entrada seg3n los siguientes criterios/
#ireccin I< de origen #ireccin I< de destino Tipo de mensa2e ICD< (por e2emplo, ping es un mensa2e del tipo ICD<)

4a AC4 tam%i6n puede sacar in'ormacin del tipo/

<uerto TC<E,#< de origen <uerto TC<E,#< de destino AZC
1A

AC4/ 'iltrado de paquetes

<or e2emplo, podemos decir/ CSlo permitir el acceso Web a usuarios de la red A. Denegar el acceso Web a usuario de la red B, pero permitirles los otros accesosC" <ara esta situacin, el 'iltro de paquetes o%serva cada paquete de la siguiente manera/
+i el paquete tiene el se1alizador TC< +FN de la red A & utiliza el puerto =A, est0 autorizado a ingresar" +e deniega todo otro acceso a esos usuarios" +i el paquete tiene el se1alizador TC< +FN de la red G & utiliza el puerto =A, no puede ingresar" +in em%argo, se le permiten todos los dem0s accesos"
AZC 11

AC4/ 'iltrado de paquetes

<or de'ecto, un router no tiene ninguna AC4 con'igurada &, por lo tanto, no 'iltra el tr0'ico" El tr0'ico que entra al router es enrutado seg3n la ta%la de enrutamiento" +i no se utiliza una AC4 en el router, todos los paquetes que pueden enrutarse a trav6s del router lo atraviesan $acia el prximo segmento de la red"
AZC 1!

AC4/ 'iltrado de paquetes

Como regla general, podemos con'igurar una AC4 por protocolo, por direccin & por interfa-" Una +#, por protocolo 12P$ +pple 3al4 e 2P56/ para controlar el 'lu2o de tr0'ico de una inter'az, se de%e de'inir una AC4 para cada protocolo $a%ilitado en la inter'az" Una +#, por direccin 1entrada & salida6/ las AC4 controlan el tr0'ico en una direccin a la vez de una inter'az" #e%en crearse dos AC4 por separado para controlar el tr0'ico entrante & saliente" Una +#, por interfa-/ las AC4 controlan el tr0'ico para una inter'az, por e2emplo, ?ast Et$ernet AEA"
AZC 1.

AC4/ 'iltrado de paquetes

Aunque nosotros lo $aremos de 'orma sencilla, de'inir una AC4 puede ser una tarea comple2a, puesto que cada inter'az puede tener varios protocolos & direcciones de'inidos" <or e2emplo, un router con dos inter'aces con'iguradas para I< con . protocolos di'erentes, por e2emplo I<, AppleTalH e I<I" Es pro%a%le que este router necesite 1! AC4 por separado, una AC4 para cada protocolo, multiplicada por dos por cada direccin & por dos por la cantidad de puertos"
AZC 15

AC4/ 'iltrado de paquetes

AZC

18

Tipos de AC4Js
"stndar: permiten autorizar o denegar el tr0'ico desde las direcciones I< de
origen" No importan el destino del paquete ni los puertos involucrados"

Este e2emplo permite todo el tr0'ico desde la red 1@!"19=".A"AE!5" +e crean en el modo de con'iguracin glo%al"

"7tendida/ 'iltran los paquetes I< en 'uncin de varias cosas, por e2emplo/ tipo de protocolo, direcciones I< de origen, direcciones I< de destino, puertos TC< o ,#< de origen, puertos TC< o ,#< de destino"

En este e2emplo, la AC4 1A. permite el tr0'ico que se crea desde cualquier direccin en la red 1@!"19=".A"AE!5 $acia cualquier puerto =A de $ost de destino (-TT<)" +e crean en el modo de con'iguracin glo%al"

AZC

19

#mo se definen las +#,8

+e pueden de'inir con un n3mero o con un nom%re"

K<or qu6 nos saltamos los n3meros del !AA al 1!@@B, porque esos n3meros son usados por otros protocolos" Aqu solo vamos a ver las AC4 con el protocolo I<" F por e2emplo, los n3meros del 9AA al 9@@ son utilizados por AppleTalH & los n3meros del =AA al =@@ por I<I"
AZC 1;

"9emplo de configuracin +#, estndar: tener en cuenta

-a& que tener en cuenta que el router va procesando las +#, a medida :ue las va le&endo seg%n el orden de las l'neas en las que las $a&amos metido" <or ello, de%emos colocar la AC4 m0s utilizada al principio de la lista" +i no se encuentran coincidencias cuando el router llega al 'inal de la lista, el tr0'ico es denegado porque las AC4 tienen una sentencia de denegacin impl'cita para todo el tr0'ico que no cumple con los criterios de'inidos" -a& que tener cuidado, &a que una +#, de una %nica entrada con slo una entrada de denegacin llega a denegar todo el trfico" #e%emos tener al menos una sentencia de permiso en una +#, o se !lo:uear todo el trfico"
AZC 1=

"9emplo de configuracin +#, estndar: a tener en cuenta

<or e2emplo, las dos AC4 (1A1 & 1A!) de la 'igura tienen el mismo e'ecto" 4a red 1@!"19="1A"A puede acceder a la red 1@!"19=".A mientras que 1@!"19="11"A no puede"

AZC

1@

+ntaxis de la AC4Js estandard

Primero se crean las +#, & luego se pueden asignar a un interfa-) Tienen la con'iguracin siguiente/
outer(con'ig)L access-list numACL permit|deny origen [wild-mask]

El comando de con'iguracin glo%al access-list de'ine la AC4 est0ndar con un n3mero, normalmente entre 1 & @@" +e aplican a los inter'aces con/
outer (con'igMi')L ip access-group numACL in|out
in/ tr0'ico a 'iltrar que ENT A por la inter'az del router out / tr0'ico a 'iltrar que +A4E por la inter'az del router" *ild;mas4/ indica con A el %it a evaluar & con 1 indica que el %it correspondiente se ignora" <or e2emplo, si queremos indicar un 3nico $ost 1@!"19="1"1 especi'ico/ 1@!"19="1"1 con :ildMmasH A"A"A"A & si queremos especi'icar toda la red clase C correspondiente lo $acemos con 1@!"19="1"A & :ildMmasH A"A"A"!88"

<ara la creacin de AC4 est0ndar es importante/

+eleccionar & ordenar lgicamente las AC4" +eleccionar los protocolos I< que se de%en veri'icar" Aplicar AC4 a inter'aces para el tr0'ico entrante & saliente" Asignar un n3mero exclusivo para cada AC4"
AZC !A

,n e2emplo/ E2emplo 1
+upongamos que queremos crear en un outerA una AC4 con el n3mero 1 (numAC4) que deniegue el host <=2)<>?)<)2
outerA(con'ig)L access-list 1 deny 192.16 .1.2 !.!.!.!
+i queremos eliminar todas las AC4/ outerA(con'ig)L no accessMlist <ara mostrar las AC4/ outerAL s"ow access-list Standard IP access list 1 deny host 19 .1!".1. permit any

A$ora $a& que utilizar el comando de con'iguracin de inter'az para seleccionar una inter'az a la que aplicarle la AC4/
outerA(con'ig)L inter#ace $ast%t"ernet !&!

<or 3ltimo utilizamos el comando de con'iguracin de inter'az ip accessgroup para activar la AC4 actual en la inter'az como 'iltro de salida/
outerA(con'igMi')L ip access-group 1 out
AZC !1

,n e2emplo/ E2emplo !

,na AC4 est0ndar que permita el tra'ico de salida de la red 1@!"19="1"AE!5" 4a primera cuestin es Kdnde instalar la AC4B Ken qu6 inter'azB" En este caso no $a%ra pro%lema porque solo tenemos un router, el outerA" <ero la regla siempre es instalar la +#, lo ms cerca posi!le del destino"
outerA(con'ig)Laccess-list 1 permit 192.16 .1.! !.!.!.2'' outerA(con'ig)Linter#ace (!&!&! outerA(con'igMi')Lip access-group 1 out

Gorramos la AC4 anterior & de'inimos una AC4 que deniegue un $ost concreto"
outerA(con'ig)Lno access-list 1 outerA(con'ig)Laccess-list 1 deny 192.16 .1.1! !.!.!.! outerA(con'ig)Laccess-list 1 permit 192.16 .1.! !.!.!.2'' outerA(con'ig)Linter#ace (!&!&! outerA(con'igMi')Lip access-group 1 out
AZC !!

E2emplo del que partiremos

4as direcciones de las 4AN pertenecen a, asign0ndolas en orden de izquierda a derec$a, 1;!"19"A"AE!5, 1;!"1;"A"AE!5, 1;!"1="A"AE!5 (<C5) & 1;!"1@"A"AE!5 (<C8)" El servidor tiene la direccin 1A"1"1"1 con m0scara E!5& los enlaces entre routers son 1A"1."15"AE!5, 1A"1."18"5E!5, 1A"1."19"AE!5, 1A"1."1;"AE!5" El enrutamiento se lleva a ca%o con I<(v!)"
AZC !.

E2emplo del que partiremos

4a poltica (requerimientos) de seguridad de la organizacin son los siguientes/ Est0ndar/ ?iltrar el acceso de la red del <C1 al servidor Extendidas/ ?iltrar el acceso del <C! al servidor

AZC

!5

Cmo empezamos, cmo lo planteamosB

<ara 'iltrar lo que se pida de la red donde est0 el <C1 al servidor con AC4 est0ndar primero tenemos que preguntarnos/ Kdnde con'igurar la AC4B" Es decir, en :u enrutador & en :u interfa- de ese router" Como las +#, estndar slo 'iltran el tr0'ico en %ase a las direcciones I< origen, si la AC4 se instala en outer1, eso 'iltrara todo el tr0'ico de la red $acia todos los destinos, por lo tanto no es via%le esa decisin" ,na alternativa, si no es posi%le instalarla en otro router, sera 'iltrar el tr0'ico que viene del servidor en ese mismo router lo que impedira que las respuestas al tr0'ico que sali de la red de <C1 & <C. regrese, lo cual sera un cumplimiento indirecto de la poltica de impedir conectividad entre esa red & el servidor" 4a %nica alternativa es instalar la +#, estndar en @outerA, con ello se cumple la regla de oro de las acls est0ndar/ instalar lo ms cerca posi!le del destino" En 6ste caso, en el que podemos con'igurar el router m0s cercano al servidor, la instalamos en la inter'az por la que se conecta el servidor en la direccin de salida, 'iltrando el tr0'ico cu&o origen es la red del <C1"

AZC

!8

Nu6 lneas de comandos usaremosB

Es decir, nos quedara la con'iguracin/
access-list 1 deny 1)2.16.!.! !.!.!.2'' access-list 1 permit any inter#ace $ast%t"ernet!&! ip access-group 1 out

,na vez que se con'gura esta acl, los paquetes originados en cualquier pc de la red del <C1 no llegar0n al servidor pero s a cualquier otro pc de la red" 4a conectividad con el resto de las redes de la topologa sigue intacta" Esto en lo que concierne a AC4 est0ndar"
AZC !9

Cmo AC4 extendidas para el !O requerimientoB

Evidentemente no se puede hacer un filtrado as' con una sola acl estndar, por e2emplo, si ponemos una AC4 estandar en routerA que 'iltre el tr0'ico cu&a I< es la de <C! en la 'a AEA de salida, 6ste quedar0 sin conectividad con cualquier <C de la red del servidor, no slo el servidor" +i, por otro lado, la ponemos de entrada la situacin es peor/ el servidor no se podr0 comunicar" *tra alternativa sera instalarla en la inter'az 4AN que pertenece a la red de <C! (en outer1) & 6ste no se podr0 comunicar con ninguna otra red" 4a solucin es una +#, e7tendida, que por norma se instala lo ms cercano al origen posi!le" El razonamiento es que $aci6ndolo de 6sta manera evitamos que tr0'ico innecesario corra por la red ocupando anc$o de %anda & procesamiento en los dispositivos" access-list 1!1 deny ip "ost 1)2.1).!.2 "ost 1!.1.1.1 access-list 1!1 permit ip any any inter#ace $ast%t"ernet!&! ip access-group 1!1 in -a& que veri'icar que otros <Cs no quedan a'ectados por la acl, eso lo veri'icamos enviando & reci%iendo paquetes desde el <C9 al servidor" 4a conectividad del resto de las redes de la topologa sigue inalterada, eso inclu&e la conectividad de otras redes al pc!" AZC

!;