Acl seguridad-ip

  • Published on
    19-Jun-2015

  • View
    235

  • Download
    3

Embed Size (px)

DESCRIPTION

Seguridad en redes y protocolos asociados

Transcript

  • 1. Seguridad en redesyprotocolos asociadosIngeniera de ProtocolosCurso 2003/2004MariCarmen Romero Terneromcromero@dte.us.es

2. Atribucin-NoComercial-LicenciarIgual 2.5Tu eres libre de:copiar, distribuir, comunicar y ejecutar pblicamente la obrahacer obras derivadasBajo las siguientes condiciones:Atribucin. Debes reconocer y citar la obra de la forma especificada porel autor o el licenciante.No Comercial. No puedes utilizar esta obra para fines comerciales.Licenciar Igual. Si alteras o transformas esta obra, o generas una obraderivada, slo puedes distribuir la obra generada bajo una licenciaidntica a sta.Al reutilizar o distribuir la obra, tienes que dejar bien claro los trminos de lalicencia de esta obra.Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titularde los derechos de autorLos derechos derivados del uso legtimo, del agotamiento u otras limitaciones oexcepciones reconocidas por la ley no se ven afectados por lo anterior.Esto es un resumen simple del texto legal. La licencia completa est disponible en:http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode 3. Attribution-NonCommercial-ShareAlike 2.5You are free:to copy, distribute, display, and perform the workto make derivative worksUnder the following conditions:Attribution. You must attribute the work in the manner specified by theauthor or licensor.Noncommercial. You may not use this work for commercial purposes.Share Alike. If you alter, transform, or build upon this work, you maydistribute the resulting work only under a license identical to this one.For any reuse or distribution, you must make clear to others the license terms ofthis work.Any of these conditions can be waived if you get permission from the copyrightholder.Your fair use and other rights are in no way affected by the above.This is a human-readable summary of the Legal Code. Read the full license at:http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode 4. Sumario Introduccin ACLs (Access Control Lists) VLAN (Virtual LAN) Criptografa en redes Protocolos seguros VPN (Virtual Private Network) Cortafuegos 5. Sumario Introduccin ACLs (Access Control Lists) VLAN (Virtual LAN) Criptografa en redes Protocolos seguros VPN (Virtual Private Network) Cortafuegos 6. Ventajas del uso de redes Permite la comparticin de gran cantidad derecursos (hardware y software) e informacin Aumenta la fiabilidad de los recursos porquepermite su replicacin (servidores) Permite que las aplicaciones que necesitenmuchos recursos se ejecuten de forma distribuida La red de Internet puede crecer de formatransparente al usuario, lo cual facilita laexpansin de las redes empresariales 7. Seguridad informtica, para qu? Comparticin muchos usuarios involucrados,ms atacantes potenciales Complejidad del sistema complejidad de loscontroles de seguridad Lmite desconocido identidad incierta deusuarios Mltiples puntos de ataque mecanismos deproteccin en todo el camino de la informacin En cuanto a la informacin, se compromete: su privacidad su integridad su autenticidad su disponibilidad 8. Ataques ms comunesSEGURIDAD EN UNIX Y REDES,v2Antonio Villaln Huerta 9. Ataques ms comunes (II) Rastreadores o sniffers Suplantaciones de IP o spoofing Ataques de contraseas Control de salida ilegal de informacin sensible desde unafuente interna Ataques de hombre en el medio (o man-in-the-middleattacks) Ataques de denegacin de servicio, Denial of Service oataques DoS. Ataques a nivel de aplicacin para explotarvulnerabilidades conocidas Caballos de Troya (Trojan Horses), virus y otros cdigosmaliciosos 10. Mecanismos de seguridad De prevencin: mecanismos de autenticacin e identificacin mecanismos de control de acceso mecanismos de separacin (fsica, temporal, lgica,criptogrfica y fragmentacin) mecanismos de seguridad en las comunicaciones(cifrado de la informacin) De deteccin: IDS (Intruder Detected System) De recuperacin: copias de seguridad (backup) mecanismos de anlisis forense: averiguar alcance, lasactividades del intruso en el sistema y cmo entr 11. Sumario Introduccin ACLs (Access Control Lists) VLAN (Virtual LAN) Criptografa en redes Protocolos seguros VPN (Virtual Private Network) Cortafuegos 12. ACL. Sumario Definicin ACLs estndares Ejemplos ACLs extendidas Ejemplos ACLs nombradas Ejemplos ACLs y protocolos Ubicacin de las ACLs Por qu usar las ACLs? 13. ACL (Access Control List) Listas de sentencias que se aplican a una interfaz del router Indican al router qu tipos de paquetes se deben aceptar y qutipos de paquetes se deben denegar La aceptacin y rechazo se pueden basar en direccin origen,direccin destino, protocolo de capa superior y nmero depuerto Se pueden crear para todos los protocolos enrutados de red (IP,IPX) (1 ACL por cada protocolo enrutado) Se pueden configurar en el router para controlar el acceso auna red o subred Filtrado de trfico entrante y saliente de interfaces 14. ACLs Una ACL es un grupo de sentencias que define cmose procesan los paquetes: Entran a las interfaces de entrada Se reenvan a travs del router Salen de las interfaces de salida del router 15. Ejecucin de las ACLs El orden de las sentencias de la ACL es importante Cuando el router est decidiendo si desea enviar o bloquear unpaquete, el IOS prueba el paquete, verificando si cumple o no cadasentencia de condicin, en el orden en que se crearon lassentencias Una vez que se verifica que existe una coincidencia, no se siguenverificando otras sentencias de condicin Para aadir sentencias enuna ACL hay que eliminarla ACL completa y volvera crearla con las nuevassentencias de condiciones 16. Creacin de las ACLs Desde el modo de configuracin global: (config)# 2 tipos de ACL: ACL estndar ACL del 1 al 99 ACL extendida ACL del 100 al 199 Es importante seleccionar y ordenar lgicamente las ACL de formacuidadosa Se deben seleccionar los protocolos IP que se deben verificar;todos los dems protocolos no se verifican Aplicar ACL a interfaces oportunos (trfico entrante y saliente) seprefiere ACL para saliente (+ eficiente) Hay que asignar un nmero exclusivo para cada ACL: 17. Creacin de las ACLs (II)Paso 1: Definir ACLRouter(config)# access-list num_ACL {permit|deny}{condicin}Paso 2: Asociar ACL a un interfaz especficoRouter(config-if)# {protocolo} access-group num_ACL {in|out} Generalmente, usaremos el protocolo IP:Router(config-if)# ip access-group num_ACL {in | out} asocia ACL existente a una interfaz (slo se permite unaACL por puerto por protocolo por direccin). Por defecto out 18. ACLs estndar Una ACL estndar puede servir para bloquear todo el trfico de una red ode un host especfico, permitir todo el trfico de una red especfica o denegarpaquetes por protocolos Definir sentencias para una ACL:Router(config)# access-list num_ACL {deny | permit}fuente [wildcard_fuente] [log] Eliminar una ACL:1. Router(config-if)# no ip access-group num_ACL2. Router(config)# no access-list num_ACL 19. Bits de la mscara de wildcard0 verificar valor del bit1 ignorar valor del bit0 verificar valor del bit1 ignorar valor del bitigignnoorarar r ppeermrmitiitri rs sinin c coommpprorobbaarr 20. ACLs estndar. Ejemplos Ejemplo (permite acceso a todos los hosts de las 3 redes especificadas):Router(config)# access-list 1 permit 192.5.34.0 0.0.0.255Router(config)# access-list 1 permit 128.88.0.0 0.0.255.255Router(config)# access-list 1 permit 36.0.0.0 0.255.255.255!(Nota: cualquier otro acceso est implcitamente denegado)(access-list 1 deny any) Son equivalentes:Router(config)# access-list 2 permit 36.48.0.3 0.0.0.0Router(config)# access-list 2 permit host 36.48.0.3Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255Router(config)# access-list 2 permit any 21. ACLs estndar. Ejemplos (II)red 194.23.145.0Crear una lista de acceso IP estndar que deniegue paquetes provenientes del host192.5.5.2 hacia cualquier host en la red 210.93.105.0 y que permita el trfico desdetodas las dems redes. Dnde colocamos la ACL y por qu? 22. ACLs extendidas Ofrecen una mayor cantidad de opciones de control que las ACLsestndares, son ms verstiles Verifican direcciones origen y destino de los paquetes, protocolos,nmeros de puerto y otros parmetros especficos Las ACLs extendidas usan un nmero dentro del intervalo del 100 al199 Al final de la sentencia de la ACL extendida, se puede especificaropcionalmente el nmero de puerto de protocolo TCP o UDP para el quese aplica la sentencia:- 20 y 21: datos y programa FTP- 23: Telnet- 25: SMTP- 53: DNS- 69: TFTP... 23. ACLs extendidas Definir ACL extendida:Router(config)# access-list num_ACL {permit | deny} protocolo fuente[mascara-fuente destino mascara-destino operador operando][established]num_ACL Identifica nmero de lista de acceso utilizando un nmerodentro del intervalo 100-199protocolo IP, TCP, UDP, ICMP, GRE, IGRPfuente | destino Identificadores de direcciones origen y destinomascara-fuente | mascara-destino Mscaras de wildcardoperador lt, gt, eq, neqoperando un nmero de puertoestablished permite que pase el trfico TCP si el paquete utilizauna conexin establecida (p.e. tiene bits de ACK establecidos) Asociar ACL a interfaz:Router(config-if)# ip access-group num_ACL {in | out} 24. ACLs extendidas. Ejemplos Ejemplo 1 (denegar FTP entre dos redes y permitir todo lo dems):Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255172.16.3.0 0.0.0.255 eq 21Router(config)# access-list 101 permit ip 172.16.4.0 0.0.0.2550.0.0.0 255.255.255.255Router(config)# access-list 101 deny ip 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255 (implcito) Ejemplo 2 (denegar Telnet a hosts de una red y permitir todo lo dems):Router(config)# access-list 102 deny tcp 172.16.4.0 0.0.0.255any eq 23Router(config)# access-list 102 permit ip any anyRouter(config)# access-list 102 deny ip 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255 (implcito) 25. ACLs extendidas. Ejemplos (II)Crear una ACL que bloquee todo el trfico desde la red 221.23.123.0 alservidor 198.150