- Introducción
- Desarrollo
- Creando ACL
para evitar ataques externos - Router o
firewall - Conclusiones y
recomendaciones - Bibliografía
RESUMEN
El siguiente trabajo
muestra las
posibilidades que posee un router para el
control del
tráfico no deseado y para evitar ataques desde fuera de
la empresa
creando las llamadas ACL (Access Control
List) Listas de Control del Acceso. En el mismo se presentan los
comandos
necesarios para crear las ACL y verificar su existencia
así como se explica detalladamente cada tipo de lista de
acceso, teniendo en cuenta sus posibilidades a la hora de filtrar
la información. Se usan ejemplos
prácticos para dar una idea más acertada de este
tipo de trabajo al lector, así como de gráficos para mejorar su entendimiento.
El trabajo
hace énfasis en la adecuada configuración de los
routers usando estás y otras técnicas
más avanzadas que permitan que estos dispositivos puedan
impedir muchos ataques que se originan fuera y dentro de la
empresa,
mejorando así en gran medida la seguridad de la
red.
INTRODUCCIÓN
Los Llamados router1[8] o encaminadores
(de su traducción al español)
son posiblemente los dispositivos de comunicación más importantes de
una red. Por
ellos pasa, casi siempre todo el tráfico de salida y
entrada de una red LAN2 con conectividad
WAN3, ya sea a Internet, o a otra red LAN de la
misma empresa incluso en muchas ocasiones estos dispositivos
pueden estar solamente conectando a dos o más redes LAN en
un mismo edificio de la empresa. Este hecho hace, que sobre este
dispositivo pese una responsabilidad muy grande y su funcionamiento
constante sea una necesidad más que una opción.
Además su principal funcionamiento como su nombre lo
indica es encaminar (o como comúnmente se le llama
enrutar) (Clare Gough 2003) los paquetes que pasan por
él, hacia la red indicada, permitiendo así la
interconexión de estas y garantizado que cada paquete
llegue siempre a su destino como si fuera una oficina de
correos. Al igual que las cartas y otros
documentos
postales, los
paquetes que viajan por nuestra red tienen una dirección fuente y otra dirección
destino que le permite al router decidir a cual red LAN van
dirigidos los paquetes y partir de esta información y
otras que el posee como parte de su configuración es que
determina por cual de sus puertas conectadas enviar el paquete
que llegó por otra (Clare Gough, 2003). Las puertas de un
router son sus enlaces de comunicación, por ejemplo: un
router CISCO 1841[6], puede tener 2 puertos
ethernet4 y si le compramos una tarjeta
WIC-1T5 tendría entonces un puerto
serie que sería destinado a uno o varios enlaces WAN. En
total estaríamos hablando de 3 puertas físicas 2
ethernet y una serie, con lo que el router podría
encaminar paquetes provenientes de 3 redes diferentes
(básicamente hablando, porque podremos recibir paquetes de
muchas otras redes en caso de conectar esa puerta serie a
Internet o tener configuradas
subinterfaces6 lógicas usando el
protocolo
fame-relay7 o usando un enlace
trunk8 en una de las puertas ethernet, contra
un switch9 de varias
VLAN10). En todos los casos el router
será capaz de enviar el paquete por la interfase que
conecta la LAN donde está ubicada la computadora
a la que va dirigido este paquete. Permitiendo así que
computadoras
de diferentes redes se comuniquen. Sin embargo a pesar de que
esta es la principal labor de un router, en los últimos
tiempos, con el avance de Internet y con este de los ataques a
las redes informáticas. Los router[8] han aumentado
significativamente sus funcionalidades convirtiéndose en
la primera trinchera o línea de defensa frente a un fuego
descomunal proveniente de todos los flancos posibles, por esta
razón hemos decidido escribir este documento para ayudar a
los jóvenes administradores que muchas veces asumen redes
ya en explotación a proteger estas, desde esta primera
trinchera usando estas técnicas que harán disminuir
en gran medida el riesgo de quedar
a meced de los atacantes.
DESARROLLO
Una ACL11 no es más que una regla
que permite al router saber si puede o no permitir
(permit) o denegar (deny) el
tráfico que proviene de una red, de una computadora o
va hacia una red determinada, etc (Wendell Odom, 2002). El router
como explicamos hace un momento, es el encargado de conectar
varias redes y usa sus llamados protocolos de
ruteo12 (Clare Gough, 2003) para realizar
esta acción,
pero antes de realizar esta labor, el router[9] examina su
configuración para saber si es posible encaminar estos
paquetes hacia el destino indicado en el encabezado
IP13 del paquete o si la dirección
desde la que se envía el paquete inspeccionado tiene
permisos para llegar a la red especificada (fig #1).
Entonces si el paquete pasa todas estas inspecciones prosigue
entonces el proceso de
routeo, pero al salir por la interfase seleccionada el paquete
vuelve a ser inspeccionado similarmente. Además estas
reglas no solo pueden especificar la dirección IP fuente o
dirección IP destino, sino que además son capaces
de verificar el puerto fuente y destino, el protocolo que se
está usando para establecer la
comunicación y otros aspectos. Así el router
tiene varias características que puede verificar en cada
paquete que llega a una de sus puertas para definir si lo puede
encaminar (ruterar) o no.
Página siguiente |