Instituto Tecnológico Superior Del Occidente del Estado de Hidalgo

Tópicos Avanzados de Redes

Investigación de Seguridad en Acl

José Juan García Hernández

 Seguridad en Acl

Las redes de computadora han avanzado hasta tal punto en la información se

hace accesible a todas las personas. Esto es un beneficio para las personas
debido a que se puede recopilar la información de todo el mundo desde la
comodidad el hogar. Anteriormente las redes de computadora eran solo de uso
militar o científico, pero con el paso del tiempo se hizo accesible a todas las
personas y así haciendo al planeta una “aldea virtual”. Así como hay personas que
buscan información, existen personas que quieren corromperla o destruir esta
información para sus beneficios personales. Por eso a partir de la creación de las
redes de computadora se implementaron medidas de seguridad para protegerla de
personas extrañas o ajenas a la información. Por lo presente se está redactando
este trabajo con el fin de mostrar cómo funciona la seguridad en redes y sobre
todo el tipo de seguridad denominado seguridad en ACL.

Por lo que en el siguiente trabajo empezaremos hablando de la definición de

redes, protocolos, y seguridad en redes; después se definirá que son las ACL y
por ultimo veremos la conclusión.

DEFINICIÓN DE RED:

Conjunto de ordenadores conectados entre sí, que pueden comunicarse

compartiendo datos y recursos sin importar la localización física de los
dispositivos. (Michael Gallo, William M. Hancock “Comunicación entre
computadoras y tecnologías de redes”2002).

Los ordenadores suelen estar conectados entre sí por cables. Pero si la red
abarca una región extensa, las conexiones pueden realizarse a través de líneas
telefónicas, microondas, líneas de fibra óptica e incluso satélites.

Cada dispositivo activo conectado a la red se denomina nodo. Un dispositivo

activo es aquel que interviene en la comunicación de forma autónoma, sin estar
controlado por otro dispositivo.

Características de las redes:

• Servicio de archivos: las redes trabajan con archivos, el administrador

controla los accesos a archivos y directorios.
 • Sistema de tolerancia a fallas: permite que exista un cierto grado de
supervivencia de la red.

• Sistema de control de transacciones

• Seguridad

• Acceso remoto

• Conectividad entre redes

• Comunicaciones entre usuarios

Dispositivos:

• Servidor: elemento principal de procesamiento

• Estaciones de trabajo: conocidos como nodos, pueden ser computadoras

personales o cualquier Terminal conectada a la red.

• Sistema operativo de red: es el programa que permite el control de la red y

reside en el servidor.

• los protocolos de comunicación: son un conjunto de normas que regulan la

transmisión y recepción de datos dentro de la red.

• la tarjeta de interface de red: proporciona la conectividad de la Terminal o

usuario de la red física

• LAN (Local Area Network): Constituida por un conjunto de ordenadores

independientes interconectados entre sí.

Pueden comunicarse y compartir recursos. Abarcan una zona no demasiado

grande, un edificio o un campus.

• WAN (Wide Area Network): Comprenden regiones más extensas que las LAN
e incluso pueden abarcar varios países.

• MAN (Redes de Área Metropolitana): Sistema de interconexión de equipos

informáticos distribuidos en una zona que abarca diversos edificios, por medios
pertenecientes a la misma organización propietaria de los equipos. Este tipo de
redes se utiliza normalmente para interconectar redes de área local.

SEGURIDAD EN REDES:
 • Se define seguridad como un estado de cualquier sistema que nos indica que
este está libre de cualquier daño, peligro o riesgo. También se indica como un
peligro o daño a todo aquello que pueda afectar su funcionamiento o resultados
que se obtienen del mismo.

Tipos de ataques

Ping de la muerte

Tipo de ataque enviado a una computadora que mandar numerosos paquetes

ICMP muy pesados (mayores a 65.535 bytes) con el fin de colapsar el sistema
atacado. Los atacantes comenzaron a aprovecharse de esta vulnerabilidad en los
sistemas operativos en 1996, vulnerabilidad que en 1997 sería corregida. No tiene
efecto sobre los sistemas operativos actuales.

Tipo de ataque a computadoras que implica enviar un ping deformado a una

computadora. Un ping normalmente tiene un tamaño de 64 bytes; algunas
computadoras no pueden manejar pings mayores al máximo de un paquete IP
común, que es de 65.535 bytes.

Ataques de intromisión:

• Tipo de ataque que se da cuando se abren archivos ajenos por parte de un

tercero con la finalidad de encontrar algo que sea de interés para el intruso.

• Puede ser dada por alguien interno o externo a la red. Este es el caso de la
mayoría de ataques registrados a nivel mundial que se dan internamente de la
organización.

Ataque de espionaje en líneas:

• Es un tipo de ataque muy común en redes inalámbricas y no requiere un

equipo o dispositivo físico conectado a la máquina que se quiere interceptar.

• Para lograr conectarse con otra red solo basta con estar en un rango donde la
señal de la red inalámbrica legue.

• Es un tipo de ataque muy común que se da actualmente.

Ataque de intercepción:

Desvía la información a otro punto que no sea la del destinatario con el fin de
registrar archivos, información y contenidos de flujos de redes.

Ataque de modificación:
 • Altera la información en computadoras y bases de datos.

• Este tipo de ataques es común en bancos y casas de bolsa.

• Principalmente los intrusos se dedican a cambiar, insertar, o eliminar

información y/o archivos, utilizando la vulnerabilidad del los sistemas operativos y
sistemas de seguridad.

Ataque de denegación de servicio:

Niegan el uso de los recursos a los usuarios legítimos del sistema, de la

información o inclusive de algunas capacidades del sistema.

La información es escondida, destruida o ilegible, las aplicaciones no se pueden

usar los sistemas que llevan el control de la empresa detienen su administración o
su producción, causando demoras pérdidas.

Los sistemas son inutilizados.

En las comunicaciones, se puede inutilizar dispositivos de comunicación, como

saturar e inundar con tráfico excesivo las redes para que estas colisionen.

Ataque de suplantación:

Da información falsa, niega una transacción y/o a hacerse pasar por un usuario
conocido. Este tipo de ataques está siendo utilizado con frecuencia, se está
poniendo de “moda”, y es un nuevo sistema de robar como por ejemplo en los
bancos en la que las personas van a los cajeros o hacen transacciones y los
“nuevos ladrones” entran a la red y consiguen hackear sus cuentas hasta
vaciarlas.

Medidas de seguridad:

Seguridad administrativa:

• Se basa en políticas y normas que se deben de implantar y seguir.

• Proporcionan reglas que indican cómo deberían ser configurados los sistemas
y cómo deberían actuar los empleados de una organización en circunstancias
normales y cómo deberían reaccionar si se presentan circunstancias inusuales.

• Define lo que debería de ser la seguridad dentro de la organización y pone a

todos en la misma situación, de modo que todo el mundo entienda lo que se
espera de ellos.

• Las políticas de información:

 • definen qué información es confidencial y cual es de dominio público dentro
de la organización, y cómo debe estar protegida esta misma. Esta política está
construida para cubrir toda la información de la organización.

• Las políticas de seguridad definen los requerimientos técnicos para la

seguridad en un sistema de cómputo y de redes. Define la manera en que un
administrador de redes o sistema debe de configurar un sistema respecto a la
seguridad que requiere la empresa o el momento. Esta configuración también
afecta a los usuarios y alguno de los requerimiento establecidos en la política y
debe de comunicarse a la comunidad de usuarios en general de una forma pronta,
oportuna y explícita.

• Las políticas de uso de Internet y correo electrónico se incluyen con frecuencia

en la política más general del uso de las computadoras. Las organizaciones
conceden conectividad a Internet a sus empleados para que éstos puedan realizar
sus labores con mayor eficacia y de este modo beneficia a las organizaciones.
Desgraciadamente, Internet proporciona un mecanismo para que los empleados
hagan uso de los recursos de cómputo.

La seguridad lógica:

• Cada empresa debe de desarrollar un procedimiento para identificar la

vulnerabilidad en sus sistemas de cómputo;

• Son realizadas por el departamento de seguridad y los ajustes son realizados

por los administradores del sistema canalizando a los programadores y/o
proveedores del sistema mediante pruebas de desempeño y análisis de código.

Seguridad técnica:

• Se ocupan de la implementación de los controles de seguridad sobre los

sistemas de cómputo y de red.

• Estos controles son manifestaciones de las políticas y los procedimientos de la

organización.

• Las conexiones de acceso remoto pueden ser intervenidas para obtener

acceso no autorizado hacia las organizaciones por consecuencia deben de estar
protegidas. Este tipo de conexiones pueden ser por marcación telefónica o atreves
de Internet.

La seguridad física:

• debe ser empleada junto con la seguridad administrativa y técnica para brindar
una protección completa.
 • Ninguna cantidad de seguridad técnica puede proteger la información
confidencial si no se controla el acceso físico a los servidores, equipos y
computadoras.

• Las condiciones climáticas y de suministro de energía pueden afectar la

disponibilidad de los sistemas de información.

PROTOCOLOS DE RED:

Es el conjunto de reglas que especifican el intercambio de datos u órdenes

durante la comunicación entre las entidades que forman parte de una red.

1. TCP(Transmission Control Protocol):

• Es uno de los protocolos fundamentales en Internet, garantiza que los datos

serán entregados en su destino sin errores y en el mismo orden en que se
transmitieron.

• Trabaja con los puertos 20,21.

2. FTP(File Transfer Protocol):

• Se utiliza para intercambiar archivos en Internet, principalmente para

descargar un archivo de un servidor o para subir un archivo a un servidor a través
de Internet.

• Trabaja con los puertos 20,21.

3. HTTP(HyperText Transfer Protocol):

• Se encarga de procesar y dar respuestas a las peticiones para visualizar

una página web. Además sirve para el envío de información adicional como el
envío de formularios con mensajes, etc.

• Trabaja con los puertos 80.

4. UDP(User Datagram Protocol):

• Permite el envío de datagramas a través de la red sin que se haya establecido

previamente una conexión, ya que el propio datagrama incorpora suficiente
información de direccionamiento en su cabecera.

• Trabaja con los puertos 53.

5. DNS(Domain Name System):

• Un sistema para asignar nombres a equipos y servicios de red que se organiza
en una jerarquía de dominios.

• Trabaja con los puertos 53.

6. SMTP(Simple Mail Transfer Protocol):

• Basado en texto utilizado para el intercambio de mensajes de correo

electrónico entre computadoras o distintos dispositivos.

• Trabaja con los puertos 25.

7. DHCP(Dynamíc Host Confíguration Protocol):

• Permite asignar una dirección IP a una computadora.

• Trabaja con los puertos 67,68.

8. TELNET:

• Es un programa que permite acceder a ordenadores distantes en Internet a

los cuales se tiene acceso.

• Trabaja con los puertos 23.

9. TFTP(Trivial File Transfer Protocol - Protocolo):

• Se utiliza para transferir pequeños archivos entre ordenadores en una red,

como cuando un terminal X Window o cualquier otro cliente ligero arranca desde
un servidor de red.

• Trabaja con los puertos 69.

Mascara de wildcard:

Una definición muy sencilla es que se compara con una dirección IP (32-bits).

Identifica los bits del campo de la dirección que serán comprobados.

La máscara predeterminada es 0.0.0.0 (coincidencia de todos los bits).

Una forma práctica de saber la máscara de wildcard:

|La máscara |se transforma en la máscara inversa |

| |(wildcard) |
|255 |0 |

|254 |1 |

|252 |3 |

|248 |7 |

|240 |15 |

|224 |31 |

|192 |63 |

|128 |127 |

|0 |255 |

Razones para utilizar ACL:

✓ Nos ayuda a reducir el tráfico de red y mejorar el rendimiento de la red.

✓ Brinda control de flujo de tráfico.

✓ Proporcionar un nivel básico de seguridad para el acceso a la red.

✓ Se puede decidir qué tipos de paquetes se envían o bloquean en las

interfaces del router.

✓ Puede permitir que un administrador controle a cuáles partes de la red

puede tener acceso un cliente.

✓ Puede analizar algunos hosts para permitir o denegar acceso a partes de

una red.

Definición de ACL (Access Control List):

Las Listas de Control de Acceso, corresponden a un conjunto de permisos

complementarios a los tradicionales UGO (Usuario/Propietario, Grupo, Otros)
dentro del sistema de archivos ext2, ext3, nfs. Básicamente es un parche
(complemento) al núcleo (kernel) del sistema operativo que está disponible desde
la versión 2.4 (la versión 2.6 del kernel incluye soporte para: jfs, xfs) (TORO,J .
2007).
ACL (Listas de Control de Acceso), son listas de condiciones que se aplican al
tráfico que viaja a través de la interfaz del router, son estas quienes informan al
router cuáles son los tipos de paquetes que debe aceptar o rechazar.

Las ACL filtran el tráfico de red: controlan si los paquetes enrutados se envían o
se bloquean en las interfaces del router.

El router examina que cada paquete tenga las condiciones especificadas en la

ACL y de acuerdo a eso lo enviara o descartara.

Existen puntos de decisión en ACL:

- origen.

- destino.

- protocolo.

- numero de puerto de capa superior.

Para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para
cada protocolo habilitado en la interfaz.

Las ACL controlan el tráfico en una dirección por vez, en una interfaz. Se necesita
crear una ACL por separado para cada dirección, una para el tráfico entrante y
otra para el saliente.

Finalmente, cada interfaz puede contar con varios protocolos y direcciones

definidas.

Si las ACL no están configuradas en el router, todos los paquetes que pasen a
través del router tendrán acceso a todas las partes de la red.

Funcionamiento de ACL:

El funcionamiento de la ACL se basa en la aceptación o denegación de paquetes

que son enviados atreves de la red. Es el router quien tiene grabado los permisos
(paquetes que debe aceptar) cada permiso puede darse en diferentes puertos
como en uno solo.

Las listas de control de acceso funcionan como un filtro, nos ayudan a denegar o
permitir el acceso de una red a otra red. Pero esta lista casi no se utiliza ya que
crea mucho tráfico en la red, más que deniega los paquetes al finalizar su
recorrido.
La forma en la que el router verifica los paquetes es de arriba hacia abajo, es decir
el router va a ir verificando que los paquetes cumplan cada sentencia de
condición, una vez que se encuentra en la verificación el router decide si aceptar o
rechazar el paquete (según como este dada la sentencia de la ACL). Si se acepta
el paquete en la interfaz, se lo compara con las entradas de la tabla de
enrutamiento para determinar la interfaz destino y cambiarlo a aquella interfaz. A
continuación, el router verifica si la interfaz destino tiene una ACL. Si existe una
ACL, se compara el paquete con las sentencias de la lista y si el paquete
concuerda con una sentencia, se lleva a cabo la aceptación o el rechazo del
paquete. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el
nuevo protocolo de Capa 2 y se envía por la interfaz hacia el dispositivo siguiente.

Cuando ya se ha creado una ACL y se desea aumentar la cantidad de sentencias

de condición en una lista de acceso, se deber borrar y volver a crear toda la ACL
con las nuevas sentencias de condición.

Ubicación de las ACL:

Este punto es muy importante ya que depende de la correcta ubicación de las ACL
el mejoramiento del tráfico de la red, al reducir el tráfico de la red esta se hace
más eficiente y un mejor sistema de seguridad.

Para la implementación de ACL en router se tiene que seguir unas reglas:

-Para ACL extendida se debe colocar lo más cerca posible del origen del
tráfico denegado.

-Para ACL estándar no especifican las direcciones destino, es por eso que
deben colocar lo más cerca posible del destino.

Dirección del tráfico:

Esta es una de las partes más difíciles y confusas de la implementación de ACL

en los router.Se tiene que tener mucho cuidado ya que una mala configuración de
esta podría ocasionar varios problemas, el tema "in" vs. "out" tiene que tratarse
con mucho cuidado.

Tipos de ACL:

ACL estarndar:

Estas ACL verifican de donde vienen los paquetes (la dirección origen) IP
que se deben enrutar. Ejemplo:

access-list 1 permit 192.168.2.0 0.0.0.255

 1-> Es el nombre de la ACL(1-99 y 1300-1999) .

Permit -> Se le indica que va a permitir el acceso.

192.168.2.0 -> Es el IP de la maquina o red a la que se le permite el acceso

entrante.

ACL extendida:

Son las que utilizan con mayor frecuencia, este tipo de ACL nos brinda nuevas
cosas ya que no solo verifica las direcciones de origen sino que también verifica
las direcciones de destino y también los protocolos y los números de puertos.

Una de las ventajas de este tipo de ACL es que uno puede tener un gran número
de sentencias que el router verificara cuando sea necesario, teniendo como única
limitación la poca memoria que tiene los router.

ACL nombradas:

Gracias a esta forma de implementar ACL se ha hecho más fácil y con una mejora
increíble la administración de ACL, ya que ahora no se pondrán numero de ACL
sino nombres específicos a las ACL.

Gracias a esta forma de implementación se puede modificar las ACL sin la

necesidad de eliminarlas como lo mencionamos anteriormente.

Las ventajas que ofrece una lista de acceso nombrada son las siguientes:

Para poder implementar este tipo de ACL es que los router tienen que tener
versiones de Cisco IOS 11.2 o superiores.

Control de Acceso y Filtro:

Esto permite controlar la transferencia de datos basado principalmente en la

dirección de donde provienen los datos, la dirección hacia donde se dirige y los
protocolos de transporte y aplicación utilizados. Con unas ACL necesarias se
podría crear un firewall pero se tiene que analizar los permisos y rechazos que
hará el router, con la finalidad de lograra hacer un firewall eficiente.
CONCLUSION:

• ACL es importante para mantener la seguridad en una red de área local

(generalmente) ya que esta puede evitar el filtro de información no deseada que
pueda deteriorar la red.

• El funcionamiento de la ACL se basa en la aceptación o denegación de

paquetes que son enviados atreves de la red.