Ingeniería en Telemática

Programa de la asignatura:
Optimización de redes

Unidad 3. Seguridad de la Red

Clave:
21143529

Universidad Abierta y a Distancia de México

Optimización de redes
Unidad 3. Seguridad de la red

índice

Unidad 3. Seguridad de la red ........................................................................................... 2

Presentación de la unidad .............................................................................................. 2
Propósitos ...................................................................................................................... 5
Competencia específica ................................................................................................. 5
3.1. Seguridad de la Red ................................................................................................ 6
3.1.1. Conceptos de Seguridad de la red .................................................................... 8
3.1.2. Tipos de amenazas ........................................................................................... 9
Actividad 1. Seguridad en la red ................................................................................... 12
3.2. Seguridad para routers .......................................................................................... 12
3.2.1. Aspectos de seguridad para ruteadores .......................................................... 13
3.2.1. Servicios de red y administración .................................................................... 18
Actividad 2. Configuración de router seguro ................................................................. 20
3.3. Listas de Acceso Controlado (ACL) ....................................................................... 20
3.3.1. Qué son las ACL ............................................................................................. 20
3.3.2. Configuración estándar ACL ........................................................................... 24
3.3.3. Configuraciones extendidas y complejas ........................................................ 29
Actividad 3. ACL ........................................................................................................... 35
Evidencia de aprendizaje. Seguridad y diseño de una WAN ........................................ 35
Cierre de la unidad ....................................................................................................... 36
Para saber más… ........................................................................................................ 36
Fuentes de consulta ..................................................................................................... 36
Optimización de redes
Unidad 3. Seguridad de la red

Unidad 3. Seguridad de la red

Presentación de la unidad

En las unidades anteriores pudiste conocer cómo se estructuran y diseñan las WAN,
incluso aprendiste a configurar los enlaces PPP, ISDN y Frame Relay, sin embargo para
que el diseño de toda red este completo es necesario proveer a la misma de los
esquemas básicos de seguridad, ya que este es un aspecto fundamental en la instalación
y la administración de las WAN.

El reto de la seguridad es proveer un equilibrio entre la necesidad de poseer redes

abiertas a el intercambio de información entre organizaciones distintas y el proteger los
datos privados de la organización y de las personas.

La definición de una política de seguridad es de suma importancia pues permite a las

organizaciones proteger sus redes, brindando pautas que permiten que las actividades se
realicen de forma segura y fiable, además de brindar los recursos necesarios que deben
usarse para proporcionar seguridad en la red de cualquier organización.

En esta unidad analizarás los esquemas de seguridad de la red en la capa 2 de OSI, lo

que te permitirá identificar las amenazas que existen en las redes, así como describir
cuáles métodos se pueden utilizar para evitar amenazas de seguridad en las WAN.

También aprenderás a configurar esquemas de seguridad basados en listas de acceso

controlado en los routers, permitiendo así enlaces con seguridad en las interfaces de
conexión de éstos. En esta unidad encontrarás el término de routers que se usará
indistintamente para hacer referencia a los ruteadores.

En la siguiente infografía podrás visualizar diferentes elementos de seguridad como son

las variantes de ACL que permiten o deniegan el acceso; con dichos elementos se
permite filtrar los diversos paquetes que viajan en la red y que a su vez infieren en el
tráfico de la misma.
Optimización de redes
Unidad 3. Seguridad de la red
Optimización de redes
Unidad 3. Seguridad de la red
Optimización de redes
Unidad 3. Seguridad de la red

Propósitos

En esta unidad lograrás:

 Analizarás los esquemas de seguridad de la

red en la capa 2 de OSI, lo que te permitirá
identificar las amenazas que existen en las
redes
 Además describirás los métodos utilizados
para evitar amenazas de seguridad en las
WAN. También se utilizarán un conjunto de
actividades para confirmar y reforzar tu
aprendizaje.

 Al finalizar esta unidad podrás aplicar las

diversas técnicas de seguridad apropiadas
para habilitar servicios WAN confiables y
seguros.

Competencia específica

 Aplicar las distintas técnicas de las listas de acceso

controlado para configurar los dominios de
broadcast de una WAN simulando un diseño de
redes de área amplia segura.
Optimización de redes
Unidad 3. Seguridad de la red

3.1. Seguridad de la Red

La seguridad de la red ha sido una cuestión de importancia desde hace mucho tiempo, y
aunque cuando las LAN conectaban a las computadoras personales en los años ochenta,
la seguridad no era el objetivo número uno, ya que en ese tiempo las redes eran cerradas,
con lo cual las medidas de seguridad solo se centraban en cuestiones de seguridad de
infraestructura físicas (amenazas al hardware, amenazas ambientales, amenazas
eléctricas y amenazas al mantenimiento). En la actualidad, sin embargo, la seguridad en
las redes se encuentra en la parte superior de la lista de prioridades, ya que las redes han
crecido, evolucionado y proveen comercio electrónico o servicios en línea, esto a
consecuencia que las redes ahora son abiertas (Stallings, 2009).

La seguridad de las redes parte de que una red sea abierta o cerrada, ya que de eso
dependerá el tipo de amenazas a las que pueda estar sujeta la red, estas amenazas
pueden ser:
 Amenazas Internas
 Amenazas externas

A continuación se muestra un esquema que ejemplifica de cada una de este tipo de

redes

Red cerrada sin problemas de amenazas Red Abierta con problemas de amenazas internas y
externas pero sí internas (Cisco, Guía del externas. (Cisco, Guía del segundo año CCNA 3 y 4,
segundo año CCNA 3 y 4, 2008) 2008)

Uno de los desafíos a la seguridad de la red es que las amenazas a la red cambian
constantemente, y tú debes de poder hacer frente a éstas, diseñando redes con las
mejores prácticas en seguridad que permitan monitorear constantemente el tráfico en la
red.
Optimización de redes
Unidad 3. Seguridad de la red

Además que casi todo esquema de seguridad es único y muy particular ya que puede ir
desde una red completamente abierta, donde se permite acceso a cualquier servicio,
hasta una red completamente cerrada y restrictiva, en la cual se deniegan permiso de
manera predeterminada, a menos que se considere necesario el acceso.

En las redes abiertas, los riesgos son evidentes, pues el acceso no está restringido, sin
embargo las redes cerradas, las reglas de acceso se definen por medio de políticas,
denominadas políticas de seguridad, las cuales pueden reglamentar servicios de red
como se crea pertinente por la organización, un ejemplo podría ser el prohibir el uso de
las redes sociales.

La política de seguridad define qué tan abierta o cerrada es una red, por lo que podría
proponerse una red completamente cerrada al exterior, proporcionando solo conectividad
al interior de la organización y a las personas y sitios de confianza. Estas redes se
consideran seguras contra los ataques externos, pero aun así siguen existiendo
amenazas internas. (Baker, 2012)

Las amenazas se incrementarán en base al tipo de red tengamos si es abierta o

cerrada, a continuación se muestra un comparativo, siendo la mejor opción un
modelo equilibrado que permita combinar permisos específicos con restricciones
determinadas.

Una red cerrada es una red donde todo lo
que no está explícitamente permitido se
niega, lo que da como consecuencia una
red de difícil configuración y
administración, el acceso de los usuarios
a los recursos es complicado y difícil, y
tiene un costo muy elevado en seguridad.
Una red abierta es una red donde se
permite todo aquello que no está
explícitamente denegado y que es fácil de
configurar y administrar, el acceso a los
recursos por parte de los usuarios es
sencillo y el costo de seguridad es muy
bajo

Red Cerrada (Baker, 2012) Red Abierta (Baker, 2012)

De acuerdo con el tipo de red que desees tener, deberá ser necesario desarrollar una
política de seguridad, la cual definirá el que está permitido y que no en ésta.

A manera de recordatorio en lo visto en las asignaturas de seguridad. Cisco

considera que una política de seguridad es una declaración formal de las normas
por las que se deben regir las personas que obtienen acceso a los bienes de
tecnología e información de una organización. Una política de seguridad puede ser
tan simple como una breve Política de uso aceptable para recursos de red, o puede
Optimización de redes
Unidad 3. Seguridad de la red

contener varios cientos de páginas y detallar cada aspecto de conectividad y las

políticas asociadas. (Cisco, Guía del segundo año CCNA 3 y 4, 2008)

3.1.1. Conceptos de Seguridad de la red

Como ha mencionado, los desafíos de la seguridad evolucionan, con base en el tipo de

vulnerabilidad, de amenaza, y/o ataque se configure en su contra.

Una vulnerabilidad es una debilidad de una red y cada uno de los dispositivos que en ella
actúan, como pueden ser routers, switches, computadoras personales, servidores y
dispositivos de seguridad.

Existen 3 tipos de vulnerabilidades:

 Debilidades tecnológicas: Son debilidades propias de las TIC como podrían ser, las
debilidades propias de los protocolos de comunicaciones, de los dispositivos y del
software.
 Debilidades en la configuración: Son definidas por la mala configuración de los
dispositivos y de red.
 Debilidades en la política de seguridad: Si los usuarios no respetan la política de
seguridad esto acarreará riesgos de seguridad.

Debilidades tecnológicas

Estas debilidades pueden dividirse en: debilidades derivadas del protocolo TCP/IP,
debilidades dependientes de los sistemas operativos y debilidades basadas en los
equipos de red.

Las debilidades debidas al protocolo TCP/IP, se refieren a aquellas fallas de seguridad

que algunos protocolos tienen y que sirven para ser utilizadas por algún tipo de amenaza,
los protocolos con mayor riesgo de ataques son: el protocolo de transferencia de
hipertexto (HTTP, Hypertext Transfer Protocol), el protocolo de transferencia de archivos
(FTP, File Transfer Protocol) y el protocolo de mensajes de control de Internet (ICMP,
Internet Control Message Protocol). Estos protocolos son utilizados por los hackers para
crear backdoors y acceder a los sistemas.

Las debilidades en seguridad debidas a los sistemas operativos son aquellas atribuidas a
cada uno de los problemas de seguridad que tienen los sistema operativo .Todas estas
debilidades que son utilizadas para vulnerar los sistemas se encuentran documentadas
por un grupo de especialistas de cada sistema operativo que se encuentran reunidos en lo
que se denomina el equipo de respuesta para emergencias computacionales o
Optimización de redes
Unidad 3. Seguridad de la red

(CERT, Computer Emergency Response Team). Las debilidades de los equipos de red
hacen referencia a cómo los routers, los firewalls y los switches tienen debilidades de
seguridad que deben ser conocidas y combatidas para evitar ataques; las debilidades
más comunes de este tipo son: la falta de protección de contraseñas, la nula
autenticación, los ataques a protocolos de enrutamiento y los agujeros de firewall.

Debilidades de configuración

Estas debilidades hacen referencia a cuentas de acceso de los usuarios inseguras, o

servicios o equipos mal configurados, donde en el primer caso la información de una
cuenta se puede transmitir de manera insegura a través de la red, exponiendo nombres
de usuario y contraseñas a terceros o cuando las cuentas del sistema tienen contraseñas
fáciles de adivinar.

Para el caso de una mala configuración de los equipos o de los servicios podemos
encontrar servicios de Internet mal configurados lo que permite ataques mediante scripts
hostiles cuando se accede a sitios no confiables, o malas configuraciones en los equipos
que pueden causar problemas de seguridad importantes.

Debilidades en las políticas de seguridad

Como podrás ver en el tercer tema de esta unidad, las políticas coadyuvan a definir el
uso de ciertos protocolos y accesos a servicios que se proporcionan dentro de una red. Es
importante destacar que el uso de listas de acceso (ACL), permiten al administrador tener
un mayor grado de control y seguridad en el tráfico de la red.

3.1.2. Tipos de amenazas

Las amenazas son por lo regular individuos calificados e interesados en aprovechar cada
una de las debilidades de la red. Dichas personas buscan continuamente nuevas
debilidades en la red para explotarlas.

Los términos más comunes utilizados en el tópico de seguridad de la red, haciendo

referencia al atacante son de acuerdo a Baker, (2012):
 Hacker: es el término utilizado para definir a un individuo que es experto en el área de
sistemas de información. Aunque recientemente este vocablo se ha venido usando
para describir a personas logran tener acceso no autorizado a las redes con
intenciones maliciosas.

 Hacker de sombrero blanco: Es un individuo que está constantemente buscando las

vulnerabilidades en sistemas informáticos o en redes, y que al encontrarlas las
Optimización de redes
Unidad 3. Seguridad de la red

reportan a los responsables de los sistemas para que las resuelvan. Nunca realizan
abusos en los sistemas.

 Hacker de sombrero negro: individuo que aplica sus conocimientos en sistemas de

información o en redes para obtener beneficios personales.

Por lo general, un hacker de sombrero blanco se concentra en proporcionar

seguridad a los sistemas informáticos, mientras que a un hacker de sombrero
negro (el opuesto) le gustaría entrar por la fuerza en ellos. (Cisco, Guía del
segundo año CCNA 3 y 4, 2008)

 Cracker: es una persona que obtiene acceso no autorizado a los recursos de la red
con intenciones maliciosas.

 Phreaker: Es un individuo que manipula la red de telefonía para llamadas de larga

distancia gratuitas.

 Spammer: Individuo que envía mensajes de correo electrónico no solicitados y que

utilizan virus para tomar el control de las computadoras y usarlas para enviar sus e-
mails.

 Estafador: Persona que usa las TIC para engañar a otros individuos para que le den
su información personal, como pueden ser los números de tarjetas de crédito o
passwords.

El objetivo de cualquiera de estos tipos de agresores es afectar una red o una aplicación
que se ejecuta dentro de una red, siendo los ataques informáticos más frecuentes (Baker,
2012):
 Virus
 Suplantación de identidad
 Denegación de servicio
 Acceso no autorizado a la información
 Utilización de Bots
 Robo de información
 Penetración en el sistema
 Fraude
 Detección de contraseñas
 Registro de claves
 Ataque a sitios Web
Optimización de redes
Unidad 3. Seguridad de la red

La mayoría de los atacantes no quieren ser descubiertos cuando realizan un ataque,

razón por la cual utilizarán diversas técnicas para no ser descubiertos cuando realizan sus
fechorías.

Métodos de Ataque

Las técnicas de ataque más utilizadas por los atacantes de acuerdo a Stallings, (2009)
son:
 Reconocimiento: Este es el proceso de detección que se utiliza para encontrar
información acerca de la red, como podría ser la exploraciones de la red para
averiguar direcciones IP, escanear la red para conocer qué puertos están
abiertos. Por lo general este es el primer paso para descubrir que hay en la red y
ver cómo está configurada, y así poder determinar que vulnerabilidades
potenciales existen.
 Ingeniería social: Este tipo de ataque se centra en la debilidad número uno de la
red, el usuario. Aquí el atacante utiliza al usuario para que este le revele
información sensible por medio de un correo electrónico o páginas web, en el cual
el usuario hará clic en algún link que lleva al atacante obtener información. La
ingeniería social también puede hacerse en persona o por teléfono. Ejemplos de
este tipo de amenaza son el phishing y el pharming; el primero presenta un
enlace que parece un recurso de confianza válido para un usuario, cuando el
usuario hace clic en él, se solicita al usuario a revelar información confidencial
como nombres de usuario / contraseñas. Para el caso del pharming se utiliza una
URL para dirigir a un cliente de un recurso válido a uno malicioso que pudiera
aparecer como el sitio que valida al usuario.
 Escalamiento de privilegios: Este es el proceso de tomar un cierto nivel de
acceso (ya sea autorizado o no). Un ejemplo es cuando un atacante logra acceder
al modo de usuario a un router y luego utiliza un ataque de fuerza bruta atentado
contra el router, para determinar cuál es el password del modo protegido del router
para realizar modificaciones en la configuración de este.
 Back doors o puertas traseras: Por lo regular cuando un atacante logra tener
acceso a un sistema, este desea poder seguir entrando sin ser detectado, por esa
razón los atacantes instalan aplicaciones que ya sea permitían el acceso futuro o
que recopilen información para su uso en nuevos ataques.

Los ataques informáticos más

comunes son los referentes a:
 Reconocimiento: Es el
descubrimiento y la
asignación no autorizados de
sistemas, servicios o
vulnerabilidades. También se
Optimización de redes
Unidad 3. Seguridad de la red

conoce como recopilación de

información y en la mayoría
de los casos, precede a otro
tipo de ataque.
 Acceso: El acceso a los
sistemas es la capacidad de
un intruso de obtener acceso
a un dispositivo respecto del
cual no tiene cuenta ni
contraseña.
 Denegación de servicios
(DoS): Se lleva a cabo
cuando un agresor desactiva
o daña redes, sistemas o
servicios, con el propósito de
denegar servicios a los
usuarios a quienes están
Tipos de ataques informáticos más comunes dirigidos. Los ataques de
(Stallings, 2009) DoS incluyen colapsar el
sistema o desacelerarlo hasta
el punto en que queda
inutilizable.
 Códigos maliciosos: Las
principales vulnerabilidades
de los usuarios finales son los
ataques de gusanos, virus y
caballos de Troya.

Actividad 1. Seguridad en la red

¡Bienvenido(a) a la primer actividad de la tercera unidad!

Consulta el documento de actividades.

*Revisa los criterios de evaluación de la actividad.

3.2. Seguridad para routers

Los esquemas de seguridad en los routers son un elemento básico y que además sirven
para el diseño de toda red, ya que sin éstos no se tendrá una red segura.
Optimización de redes
Unidad 3. Seguridad de la red

Comúnmente los routers son objetos de ataques por parte de los agresores de la red, ya
que tratan de obtener acceso al router, para convertirlo en una ayuda potencial para sus
ataques, por lo que conocer las funciones que cumplen los routers en la red ayudará a
determinar cuáles pueden ser las vulnerabilidades que los routers pueden tener y así
evitarlas.

De acuerdo a Baker (2012), los routers cumplen las siguientes funciones:

 Publicar las redes y filtrar a quienes pueden utilizarlas.
 Proporcionar acceso a los segmentos de las redes y a las subredes.

Debido a que los routers son la pasarela a otras redes, están sujetos a una diversidad de
ataques como pueden ser:
 Comprometer el control de acceso al router, esto permite exponer los detalles de
configuración de la red y así se facilitan los ataques contra otros componentes de la
red.
 Si las tablas de enrutamiento son comprometidas, se puede afectar el rendimiento de
la red, realizar ataques de DoS y exponer información confidencial.
 Una mala configuración de una lista de acceso controlado (ACL) puede exponer los
componentes internos de la red a escaneos y ataques, lo que ayuda a los agresores a
evitar su detección.

Los agresores pueden comprometer a los routers de diferentes maneras, de modo que no
hay un enfoque que los administradores puedan utilizar para combatirlos.

3.2.1. Aspectos de seguridad para ruteadores

El primer paso para proteger una red, se basa en la protección de los routers que se
encuentran dentro de la red. Dicha seguridad de los routers se basa en:
 Seguridad física
 Seguridad y actualización del IOS de los routers
 Configuración y respaldo del IOS de los routers
 Administración de los puertos y servicios no utilizados

Una forma de proporcionar seguridad física a los routers es ubicarlos en un cuarto

cerrado con llave, al que solo el personal autorizado tenga acceso. Asimismo, dicho
cuarto no debe tener interferencia electrostática, ni magnética y debe tener controles de
temperatura y humedad. Para disminuir la posibilidad de denegación de servicio a causa
de una falla de alimentación eléctrica se debe de instalar una fuente de energía
ininterrumpible. Con base en lo anterior los dispositivos físicos deben permanecer en
poder (resguardo) de una persona de confianza para que no se vean comprometidos. Un
Optimización de redes
Unidad 3. Seguridad de la red

dispositivo que se deja al aire libre podría tener troyanos o algún otro tipo de archivo
ejecutable almacenado en él (Baker, 2012).

Es necesario proveer al router de la máxima cantidad de memoria posible. La

disponibilidad de memoria puede servir como protección contra algunos ataques DoS,
mientras que admite la gama más amplia de servicios de seguridad.

Las características de seguridad de un sistema operativo evolucionan con el tiempo. Sin

embargo, la última versión de un sistema operativo puede no ser la versión más estable
disponible. Para obtener el mejor rendimiento de la seguridad de su sistema operativo,
utilice la versión estable más reciente que cumpla los requisitos de las características de
su red.

Es de vital importancia tener siempre una copia de seguridad de una configuración y el

IOS a mano para el caso de que se produzca una falla en un router. También hay que
mantener una copia segura de la imagen del sistema operativo del router y del archivo de
configuración del router en un servidor TFTP como respaldo (Baker, 2012).

De tal manera que hay que asegurar el router para hacerlo tan seguro como sea posible.
Un router tiene muchos servicios activados de forma predeterminada. Muchos de estos
servicios son innecesarios y pueden ser utilizados por un agresor para compilar o explotar
información. Así que asegura la configuración del router mediante la desactivación de los
servicios innecesarios.

Seguridad Física
 Ubicación de router
en un “Site” seguro
 Instalación de
U.P.S.

Operación de
Seguridad de
Sistemas
 Utiliza las última
versión estable que
reune los requisitos
de la red
Seguridad en los routers (Baker, 2012)
 Mantiene una copia
del Sistema
Operativo y sus
respectivos archivos
Optimización de redes
Unidad 3. Seguridad de la red

de configuración

Fortalecimiento del
Router
 Administración
segura de Accesos
 Deshabilitar puertos
e interfaces sin uso
Deshabilitar
servicios
innecesarios.

Pasos para proteger un router

 Realizar una buena administración en la seguridad del router (claves de usuario,

passwords, puertos, etc.)
 Limitar el acceso remoto a la administración del router
 Realizar y supervisar las actividades del router
 Generar esquemas de protección para las interfaces y puertos del router, para que no
se puedan realizar conexiones a estos no permitidas
 Medidas de seguridad en el uso de protocolos de enrutamiento
 Control y filtrado de accesos por medio de ACL
(Cisco, Guía del segundo año CCNA 3 y 4, 2008)

Seguridad básica del router

La seguridad básica de los routers se basa en la configuración de contraseñas sólidas

como un elemento fundamental para controlar los accesos seguros al router.

Las buenas prácticas definen que las contraseñas solidas deben de basarse en los
siguientes puntos (Baker, 2012):
 No escribir las contraseñas ni dejarlas en lugares obvios
 Evitar el uso de palabras del diccionario que provocan que las contraseñas sean
vulnerables a los ataques
 Combinar letras, números y símbolos. Incluir, por lo menos, una letra minúscula, una
letra mayúscula, un dígito y un carácter especial
 Crear contraseñas largas. La mejor práctica es tener, como mínimo, ocho caracteres
Optimización de redes
Unidad 3. Seguridad de la red

Las contraseñas en todos los routers no son cifradas por el sistema operativo o IOS, por
lo cual si se usa el comando enable password o el comando username username
password password estas contraseñas se mostrarían al observar la configuración en
ejecución.

Por esta razón, debes encriptar las contraseñas para lo cual el sistema operativo o IOS
tiene dos opciones para proteger las contraseñas (Baker, 2012):
 Encriptación simple o de tipo 7. La cual usa un algoritmo de encriptación que
oculta la contraseña mediante encriptación simple.
 Encriptación compleja, o de tipo 5. El cual usa un hash MD5 que provee más
seguridad.

Encriptación simple o de tipo 7

La encriptación tipo 7 puede ser utilizada por los comandos enable password, username
y line password, sin embargo no ofrece gran protección, ya que sólo oculta la contraseña
utilizando un algoritmo de encriptación simple.

Para encriptar con este método se debe de utilizar el comando service password-
encryption como se lo muestra en la siguiente tabla y así evitar que las contraseñas
aparezcan en la pantalla.
Optimización de redes
Unidad 3. Seguridad de la red

Encriptación compleja, o de tipo 5

La encriptación del tipo 5 se configura al reemplazando la palabra password por secret,

lo cual permitirá proteger el nivel privilegiado en el router (EXEC), en este método
debemos asegurarnos que la contraseña secreta sea única y no coincida con ninguna
otra.

Un router siempre utiliza la contraseña secreta antes que la contraseña de enable, por lo
que nunca se debe de configurar el comando enable password nunca se debe
configurar, ya que puede revelar la contraseña del sistema.

Ejemplo de Seguridad en los routers: encriptación de claves de

usuario

Sin Encriptación

El utilizar los comandos enable

password o username
username password password
las contraseñas se despliegan al
desplegar la configuración del
router.
Esto ocurre porque el indicador
0 denota que la contraseña no
será ocultada.
UnADM1(config)# username Student password
unadm123
UnADM1 (config)# do show run | include
username
username Student password 0 unadm123
UnADM1 (config)#

UnADM1 (config)# service password-

Con Encriptación tipo 7 encryption
Para encriptar contraseñas UnADM1 (config)# do show run | include
mediante la encriptación se username
utiliza el comando service username Student password 7 03075218050061
UnADM1 (config)#
password-encryption con el
cual las contraseñas que
aparecen en la pantalla no son
legibles.

UnADM1 (config)# username Student secret

unadm
Con Encriptación tipo 5
UnADM1 (config)# do show run | include
La encriptación tipo 5 se username
configura reemplazando la username Student secret 5
Optimización de redes
Unidad 3. Seguridad de la red

palabra password por secret. $1$z245$lVSTJzuYgdQDJiacwP2Tv/

UnADM1 (config)#

3.2.1. Servicios de red y administración

Cuando se administra una red es necesario conectarse a un router de manera ya sea

local o remota. Si se realiza de manera local, esto se hará a través del puerto de la
consola, porque es seguro. Sin embargo, cuando la red comienza a crecer aumenta la
cantidad de routers y switches en la red, y la administración de manera local deja de ser
una opción por lo que el acceso administrativo remoto se convierte en la opción de
administración más común. Pero si la administración remota no se realiza con un modelo
de seguridad, un agresor podría recopilar información confidencial valiosa.

Por lo cual si se desea tener un acceso remoto, las opciones son las siguientes:
 Crear una red de administración dedicada que incluya sólo hosts de administración
identificados y conexiones a dispositivos de infraestructura. Esto se logra si se utilizan
VLAN de administración u otras redes físicas a la cual se deben conectar los
dispositivos.
 Encriptar todo el tráfico entre la computadora del administrador y el router
configurando un filtro de paquetes que permita que solamente el protocolo y los hosts
de administración tengan acceso al router.

Administración remota usando Telnet

El implementar el acceso remoto mediante Telnet es muy inseguro porque Telnet envía
todo el tráfico de la red en forma de texto sin cifrar y alguien podría capturar el tráfico de la
red y descubrir las contraseñas del administrador o la información de configuración del
router. Por lo cual el acceso debe ser configurado con mayores precauciones de
seguridad, protegiendo las líneas administrativas (VTY, AUX), y posteriormente configurar
el dispositivo de red para que encripte el tráfico en un túnel SSH.

El acceso remoto se aplica a las líneas VTY, TTY y al puerto auxiliar (AUX) del router, y
aunque las líneas de TTY proporcionan acceso al router por medio de un módem y son
menos comunes, aun existen en algunas instalaciones que los utilizan, razón por la cual
es importante proteger estos enlaces más que los puertos de la terminal local.

Esto se logra mediante la configuración del router con los comandos login y no
password que es la configuración predeterminada de los VTY, pero no de los TTY ni del
puerto AUX. Por lo tanto, si estas líneas no son exigidas, debes de asegurarte de que
estén configuradas con la combinación de comandos login y no password.
Optimización de redes
Unidad 3. Seguridad de la red

Todas las líneas de VTY están configuradas de manera predeterminada para aceptar
cualquier tipo de conexión remota. Por lo cual se deben configurar para aceptar
conexiones sólo con los protocolos realmente necesarios. Esto se realiza con el comando
transport input.

Otra táctica útil es configurar los tiempos de espera de los VTY mediante el comando
exec-timeout. Esto impide que una sesión inactiva consuma el VTY en forma indefinida.
Esto proporciona protección contra las sesiones inactivas. Otra opción es la activación de
los mensajes de actividad de TCP en las conexiones entrantes mediante el comando
service tcp-keepalives-in para resguardarse de los ataques maliciosos y de las
sesiones pérdidas provocadas por colapsos del sistema remoto.

Ejemplo de Seguridad en los routers: administración remota usando

Telnet y configurando las conexiones y VTY

Sin Conexión UnADM1(config)# line aux 0

Las conexiones se pueden evitar
por completo en cualquier línea
mediante la configuración del
router con los comandos login y
no password
UnADM1 (config-line)# no password
UnADM1 (config-line)# password
% login disable in line 65, until password
set
UnADM1 (config-line)# exit
UnADM1 (config)#

Control de acceso con VTY

Todas las líneas de VTY se
deben configurar para aceptar
conexiones sólo con los
protocolos necesarios utilizando
el comando transport input.
En este ejemplo, un VTY debe
recibir sólo sesiones de Telnet
usando transport input telnet
UnADM1(config)# line vty 0 4
UnADM1 (config-line)# no transport input
UnADM1 (config-line)# transport input
telnet
UnADM1 (config-line)# exit
UnADM1 (config)#

Control con VTY seguro

El comando exec-timeout. UnADM1(config)# line vty 0 4
impide que una sesión inactiva UnADM1 (config-line)# exec-timeout 3
consuma el VTY en forma UnADM1 (config-line)# exit
Optimización de redes
Unidad 3. Seguridad de la red

indefinida. Y el comando service UnADM1 (config)# service tcp-keepalives-in

tcp-keepalives-in permite
resguardarse de los ataques
maliciosos y de sesiones
perdidas

Actividad 2. Configuración de router seguro

Consulta el documento de actividades.

*Revisa los criterios de evaluación para la actividad.

3.3. Listas de Acceso Controlado (ACL)

Una de las capacidades más importantes que un administrador de red necesita es el

dominio de las listas de control de acceso (ACL). Los administradores utilizan las ACL
para detener el tráfico o permitir sólo el tráfico específico y, al mismo tiempo, para detener
el resto del tráfico en sus redes.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a
direcciones o protocolos de capa superior que brindan una manera poderosa de controlar
el tráfico de entrada o de salida de la red. Y la razón más importante para configurar las
ACL es brindar seguridad a la red. En esta unidad se explica cómo utilizar las ACL como
medida de seguridad.

3.3.1. Qué son las ACL

Las ACL permiten controlar el tráfico de entrada y de salida de la red. Este control puede
ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las
ACL también pueden configurarse para controlar el tráfico de red según el puerto TCP
que se utiliza.

Al realizar esta función las ACL realizan la acción de filtrado de paquetes, que es el
controlar el acceso a la red, al analizar los paquetes de entrada y de salida, y permitiendo
o bloqueando su ingreso según un criterio establecido.
Optimización de redes
Unidad 3. Seguridad de la red

Los routers actúan como filtro de paquetes cuando las ACL permiten el reenvío o
deniegan paquetes según las reglas de filtrado. Cuando un paquete llega al router, la ACL
obliga a extraer determinada información del encabezado del paquete y toma decisiones
según las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El
filtrado de paquetes actúa en la capa de red del modelo de interconexión de sistema
abierto (OSI, Open Systems Interconnection) o en la capa Internet de TCP/IP.

El filtrado de paquetes,
a veces denominado
filtrado estático de
paquetes, controla el
acceso a la red, analiza
los paquetes de
entrada y de salida, y
permite o bloquea su
ingreso según un
criterio establecido.

Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration

Companion Guide, 2008)

Como dispositivo de Capa 3, un router utiliza las direcciones IP de origen y de destino; el

puerto origen y el puerto destino; y el protocolo del paquete para determinar la
autorización o denegación del tráfico. Estas reglas se definen mediante las listas de
control de acceso o ACL.

Las ACL extraen la siguiente información del encabezado del paquete, y la evalúa con las
reglas y decidir si "permitir" o "denegar" el ingreso según los siguientes criterios
(Accessing the WAN, CCNA Exploration Companion Guide, 2008):
 Dirección IP de origen
 Dirección IP de destino
 Tipo de mensaje ICMP

La ACL también puede extraer información de las capas superiores y probarla respecto de
las reglas. La información de las capas superiores incluye:
 Puerto TCP/UDP de origen
 Puerto TCP/UDP de destino
Optimización de redes
Unidad 3. Seguridad de la red

De manera predeterminada, un router no tiene ninguna ACL y, por lo tanto, no filtra el

tráfico. El tráfico que ingresa al router es enrutado según la tabla de enrutamiento. Si no
utiliza una ACL en el router, todos los paquetes que pueden enrutarse a través del router
lo atraviesan hacia el próximo segmento de la red.

Ejemplo de Filtrado de paquetes. Tomado de (Accessing the WAN, CCNA Exploration

Companion Guide, 2008)

A continuación, te presento las pautas para el uso de las:

 Utiliza las ACL en routers firewall entre su red interna y su red externa, como
Internet
 Utiliza las ACL en un router situado entre dos partes de la red a fin de controlar el
tráfico que entra o sale de una parte específica de su red interna
 Configura las ACL en routers de borde situados en los extremos de la red. Esto
proporciona un búfer muy básico desde la red externa, o entre un área menos
controlada y un área más sensible de su red.
 Configura las ACL para cada protocolo de red configurado en las interfaces del
router de borde. Puede configurar las ACL en una interfaz para filtrar el tráfico.
Optimización de redes
Unidad 3. Seguridad de la red

Existe una regla que permite determinar cómo configurar una ACL por protocolo, por
dirección y por interfaz
 ACL por protocolo: Controla el flujo de tráfico de una interfaz, se debe definir una
ACL para cada protocolo habilitado en la interfaz.
 ACL por dirección: Controlan el tráfico en una dirección a la vez de una interfaz.
Deben crearse dos ACL por separado para controlar el tráfico entrante y saliente.
 ACL por interfaz: Controlan el tráfico para una interfaz.

Las ACL realizan las siguientes tareas (Accessing the WAN, CCNA Exploration
Companion Guide, 2008):
 Limitan el tráfico de red para mejorar el rendimiento de ésta
 Brindan control de flujo de tráfico. Las ACL pueden restringir el envío de las
actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las
condiciones de la red, se preserva el ancho de banda
 Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL
pueden permitir que un host acceda a una parte de la red y evitar que otro acceda
a la misma área
 Deciden qué tipos de tráfico enviar o bloquear en las interfaces del router
 Controlan las áreas de la red a las que puede acceder un cliente
 Analizan los hosts para permitir o denegar su acceso a los servicios de red. Las
ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como
FTP o HTTP

ACL de entrada. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)
Optimización de redes
Unidad 3. Seguridad de la red

ACL de salida. Tomado de (Accessing the WAN, CCNA Exploration Companion Guide, 2008)

Existen 2 tipos de ACL, las estándar y las extendidas.

 Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones
IP de origen. No importan el destino del paquete ni los puertos involucrados.
Utilizan la sentencia "deny any" (denegar todo) al final, todo el otro tráfico se
bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración
global.

 Las ACL extendidas filtran los paquetes IP en función de varios atributos. Las ACL
extendidas se crean en el modo de configuración global.

3.3.2. Configuración estándar ACL

La ACL estándar es una colección secuencial de condiciones de permiso o denegación

que aplican a las direcciones IP. No se incluyen el destino del paquete ni los puertos
involucrados.

Las tareas principales involucradas al utilizar las ACL son (Accessing the WAN, CCNA
Exploration Companion Guide, 2008):
 Crear una lista de acceso que especifique un número o nombre de lista de acceso
y las condiciones de acceso
 Aplicar la ACL a las interfaces o líneas de terminal
Optimización de redes
Unidad 3. Seguridad de la red

Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas
básicas son:
 Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado.
De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de
red
 Como las ACL estándar no especifican las direcciones de destino, colócalas lo
más cerca del destino posible

ACL numeradas

Utilizar ACL numeradas es un método eficaz para determinar el tipo de ACL en redes más
pequeñas con más tráfico definido de manera homogénea. Sin embargo, un número no
informa el propósito de la ACL.

Una ACL estándar filtra tráfico con base en la dirección IP origen de los paquetes. Estas
ACL se crean en modo de configuración global con el comando access-list seguido de
un número de 1 a 99 o de 1300 a 1999, éstos rangos identifican que tipo de ACL es si
estándar o extendida. Las ACL pueden nombrarse. (Accessing the WAN, CCNA
Exploration Companion Guide, 2008)

ACL Denominada

ACL numeradas Se le asigna un nombre a la ACL que

Se asigna un número en función del
protocolo que se desea filtrar.
 Para ACL IP estándar del 1 al 99 y
del 1300 al 1999
 Para ACL IP extendidas del 100 al
199 y del 2000 al 2699
debe cumplir con los siguientes
requisitos:
 El nombre puede tener caracteres
alfanuméricos
 Se debe de escribir con
mayúsculas
 No deben contener signos, ni
espacios, y deben comenzar con
una letra

Como puedes ver en la tabla anterior los números de las ACL pasan del 200 al 1299,
porque esos números son utilizados por otros protocolos que no son parte de IP.

Configuración de las ACL estándar

Para configurar las ACL estándar numeradas en un router se debe crear la ACL estándar
y, luego, activarla en una interfaz.
Optimización de redes
Unidad 3. Seguridad de la red

El comando de configuración global access-list define una ACL estándar con un número
entre 1 y 99.

La sintaxis completa del comando ACL estándar es:

Router(config)#access-list número-de-lista-de-acceso deny permit remark

origen [wildcard origen] [log]

Por ejemplo, para crear una ACL numerada nombrada 20 que permita la red
192.168.100.0 /24 se debe de configurar el router de la siguiente manera:

Unadm1(config)# access-list 20 permit 192.168.100.0

Si deseas eliminar una ACL utiliza el comando no access-list, y el comando show

access-list confirma que la lista de acceso ha sido eliminada.

Máscaras wildcard

Las sentencias de las ACL incluyen máscaras, también denominadas wildcard que es
una secuencia de dígitos binarios que le indican al router qué partes del número de
subred observar.

Las máscaras wildcard tienen una longitud de 32 bits y utilizan unos y ceros binarios para
filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos
según la dirección IP. Al configurar cuidadosamente las máscaras wildcard, puede
permitir o denegar una o varias direcciones IP.

Las máscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros
binarios:
 Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la
dirección
 Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección

Trabajar con representaciones de bits binarios puede ser una tarea muy tediosa. Para
simplificarla, las palabras clave host y any ayudan a identificar los usos más comunes de
las máscaras wildcard. Con estas palabras clave no necesitas ingresar las máscaras
wildcard al identificar un host o red específicos.
Optimización de redes
Unidad 3. Seguridad de la red

La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de
direcciones IP deben coincidir o que sólo un host coincide.

La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara

indica que debe ignorarse toda la dirección IP o que deben aceptarse todas las
direcciones.

En el ejemplo, en lugar de ingresar 192.168.10.10 0.0.0.0, puedes utilizar host

192.168.10.10. Y en lugar de ingresar 0.0.0.0 255.255.255.255, puedes usar la palabra
any.

R1(config)# access-
list 1 permit
192.168.10.0 0.0.0.255
R1 (config)#interface
S0/0/0
R1 (config-if)#ip
access-group 1 out

Ejemplo de ACL estándar que permite solo el tráfico de mi

red. Tomado de (Accessing the WAN, CCNA Exploration
Companion Guide, 2008)

R1(config)# no access-
list 1
R1(config)# access-
list 1
deny 192.168.10.10
0.0.0.0
R1(config)# access-
list 1 permit
192.168.10.0 0.0.0.255
R1 (config)#interface
S0/0/0
R1 (config-if)#ip
Ejemplo de ACL estándar que deniega solo el tráfico de un access-group 1 out
Optimización de redes
Unidad 3. Seguridad de la red

host especifico. Tomado de (Accessing the WAN, CCNA

Exploration Companion Guide, 2008)

Vinculación y configuración de las ACL estandar

Luego de configurar una ACL estándar, se la vincula a una interfaz con el comando ip
access-group

Router(config-if)#ip access-group {número de lista de acceso | nombre de

lista de acceso} {in | out}

Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group
en la interfaz y luego el comando global no access-list para eliminar toda la ACL.

Los pasos para nombrar una ACL son:

 Desde el modo de configuración global, usa el comando ip access-list para crear una
ACL nombrada. Los nombres de las ACL son alfanuméricos, deben ser únicos y no
deben comenzar con un número.
 Desde el modo de configuración de una ACL nombrada, usa las sentencias permit o
deny para especificar una o más condiciones que determinen si se envía o descarta
un paquete.
 Regresa al modo EXEC privilegiado con el comando end.

Ejemplo configuración de ACL estándar

ACL Estándar numerada

Para configurar las ACL estándar
numerada, primero debe crearse
la ACL estándar y, luego,
activarla en una interfaz.
El comando de configuración
global access-list define una
ACL estándar con un número
entre 1 y 99.
UnADM1(config)# access-list 10 permit
192.168.10.0
UnADM1 (config)#interface serial 0/0/1
UnADM1 (config-if)#ip access-group 10 in
UnADM1 (config-if)#end
UnADM1#copy run start

ACL Estándar denominada

En el modo de configuración
global, se crea una ACL
nombrada estándar denominada
Optimización de redes
Unidad 3. Seguridad de la red

STND-1, En el modo de UnADM1(config)# ip access-list standard

configuración de ACL estándar,
agrega una sentencia que
deniegue cualquier paquete con
una dirección de origen de
192.168.11.0 /24 e imprime un
mensaje a la consola por cada
paquete coincidente con el
comando log. Permitamos todo
el tráfico restante con la opción
permit any
STND-1
UnADM1(config-std-nacl)#deny 192.168.11.0
0.0.0.255 log
UnADM1(config-std-nacl)#permit any
UnADM1 (config)#interface serial 0/0/1
UnADM1 (config-if)#ip access-group STND-1
in
UnADM1 (config-if)#end
UnADM1#copy run start

Da de alta la ACL STND-1 como

filtro en los paquetes que
ingresan a UnADM1 a través de
la interfaz serial 0/0/1.

3.3.3. Configuraciones extendidas y complejas

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque
proporcionan un mayor control y, por lo tanto, complementan su solución de seguridad. Al
igual que las ACL estándar, las extendidas verifican la dirección de origen del paquete,
pero también verifican la dirección de destino, los protocolos y los números de puerto (o
servicios). Esto ofrece un criterio más amplio sobre el cual fundamentar la ACL. Por
ejemplo, una ACL extendida puede permitir de manera simultánea el tráfico de correo
electrónico de una red a un destino específico y, a la vez, denegar la transferencia de
archivos y la navegación Web. Su numeración va del 100 al 199 y del 2000 al 2699, lo
que ofrece un total de 799 ACL extendidas posibles. (Accessing the WAN, CCNA
Exploration Companion Guide, 2008).

Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL
estándar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la
sintaxis y los parámetros del comando tienen más complejidades para admitir las
funciones adicionales de las ACL extendidas.

Puede crear ACL extendidas nombradas básicamente de la misma manera que crea las
ACL estándar nombradas. Los comandos para crear una ACL nombrada son diferentes
según si es estándar o extendida.

 Desde el modo EXEC privilegiado, sigue estos pasos para crear una ACL extendida
con nombres.
Optimización de redes
Unidad 3. Seguridad de la red

 Desde el modo de configuración global, usa el comando ip access-list extended

nombre para definir una ACL extendida nombrada.
 En el modo de configuración de ACL nombrada, especifique las condiciones que
desea permitir o denegar.
 Regrese al modo EXEC privilegiado y verifique su ACL con el comando show access-
lists [número | nombre].
 Como opción y paso recomendado, guarde sus entradas en el archivo de
configuración con el comando copy running-config startup-config.

Para eliminar una ACL extendida nombrada, use el comando de configuración global no
ip access-list extended nombre.

R1(config)# access-
list 103 permit tcp
192.168.10.0
0.0.0.255
Any eq 80

R1(config)# access-
list 103 permit tcp
192.168.10.0
0.0.0.255
Ejemplo de ACL extendida que restringir el acceso a Internet Any eq 443
para permitir sólo la navegación Web, donde la ACL 103
permite acceso a los puertos 80 y 443, (Accessing the WAN,
CCNA Exploration Companion Guide, 2008)

Ejemplo configuración de ACL extendida

Se desea permitir El tráfico HTTP UnADM1(config)# access-list 103 permit tcp

entrante a la interfaz S0/0/0. 192.168.10.0 0.0.0.255 any eq 80

UnADM1 (config)#interface serial 0/0/1

UnADM1 (config-if)#ip access-group 103 in
UnADM1 (config-if)#end
UnADM1#copy run start

Ahora se desea denegar el UnADM1(config)# access-list 101 deny tcp

Optimización de redes
Unidad 3. Seguridad de la red

tráfico FTP desde una subred 192.168.11.0 0.0.0.255 192.168.10.0

hacia otra subred pero permitir
todo el otro tráfico. Se usara
"deny all" y como FTP requiere
los puertos 20 y 21, se
especificara eq 20 y eq 21 para
denegar FTP.
0.0.0.255 any eq 20
UnADM1(config)# access-list 101 deny tcp
192.168.11.0 0.0.0.255 192.168.10.0
0.0.0.255 any eq 21
UnADM1(config)# access-list 101 permit ip
any any

UnADM1 (config)#interface Fa0/1

UnADM1 (config-if)#ip access-group 101 in
UnADM1 (config-if)#end
UnADM1#copy run start

ACL Dinámicas

El bloqueo es una característica de seguridad de filtrado de tráfico que utiliza ACL

dinámicas, a veces denominadas ACL de bloqueo. Está disponible sólo para tráfico IP.
Las ACL dinámicas dependen de la conectividad Telnet, de la autenticación (local o
remota) y de las ACL extendidas.

La configuración de las ACL dinámicas comienza con la aplicación de una ACL extendida
para bloquear tráfico que atraviesa de router. Los usuarios que deseen atravesar el router
son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y
ser autenticados. En ese momento, se interrumpe la conexión a Telnet, y se agrega una
ACL dinámica de única entrada a la ACL extendida existente. Esta entrada permite el
tráfico por un período determinado; es posible que se produzcan errores por inactividad y
superación del tiempo de espera.

Las siguientes son algunas razones comunes para utilizar ACL dinámicas:
 Cuando desea un usuario remoto o grupo de usuarios remotos específico para
acceder al host dentro de la red, conectándose desde sus hosts remotos a través de
Internet. El bloqueo autentica al usuario y luego permite el acceso limitado a través de
su router firewall para un host o subred por un período limitado.
 Cuando desea que un subconjunto de hosts de una red local acceda a un host de una
red remota protegida por un firewall. Con el bloqueo, puede permitir el acceso al host
remoto sólo a los conjuntos de hosts locales que desee. El bloqueo requiere que los
usuarios se autentiquen a través de AAA, servidor TACACS+ u otro servidor de
seguridad, antes de que permita a sus hosts el acceso a los hosts remotos.
Optimización de redes
Unidad 3. Seguridad de la red

Las ACL dinámicas tienen los siguientes beneficios de seguridad comparadas con las
ACL estándar y estáticas extendidas:
 Uso de un mecanismo de desafío para autenticar los usuarios individuales
 Administración simplificada en internetworks más grandes
 En muchos casos, reducción de la cantidad de procesamiento de un router necesario
para las ACL
 Reducción de la oportunidad de intromisiones a la red por parte de piratas informáticos
 Creación de acceso dinámico al usuario a través de un firewall, sin comprometer otras
restricciones de seguridad configuradas

Ejemplo de ACL dinámica. Tomado de (Accessing the WAN, CCNA Exploration Companion
Guide, 2008)
R3(config)# username Unadm password
1. Permitir establecer una conexión Unadm123
Telnet con el router con una ACL R3(config)# access-list 101 permit any
dinámica que permite la conexión
host 10.2.2.2 eq telnet
durante 15 minutos y después se
cierra automáticamente sin R3(config)# access-list 101 dynamic
importar si está en uso o no. testlist timeout 15 permit ip
192.168.10.0 0.0.0.255 192.168.30.0
2. Se da de alta la ACL en la 0.0.0.255
interface

3. Cuando se realice la R3(config)# interface serial 0/0/1

autentificación con telnet, se
ejecutara el comando
autocommand y si se detectan 5
minutos de inactividad se cerrará
la sesión
R3(config-if)# ip access-group 101 in
R3(config)# line vty 0 4
R3(config-line)# login local
R3(config-line)#autocommand access-
enable host timeout 5
Optimización de redes
Unidad 3. Seguridad de la red

ACL reflexivas

Las ACL reflexivas obligan al tráfico de respuesta del destino, de un reciente paquete
saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor
control del tráfico que se permite ingresar a la red e incrementa las capacidades de las
listas de acceso extendidas.

Los administradores de red utilizan las ACL reflexivas para permitir el tráfico IP en
sesiones que se originan en su red y, al mismo tiempo, denegar el tráfico IP en sesiones
que se originan fuera de la red. Estas ACL permiten que el router administre el tráfico de
sesión en forma dinámica. El router examina el tráfico saliente y, cuando ve una conexión,
agrega una entrada a una ACL temporal para permitir la devolución de respuestas. Las
ACL reflexivas contienen sólo entradas temporales. Estas entradas se crean
automáticamente cuando se inicia una nueva sesión IP (con un paquete saliente, por
ejemplo) y las entradas se eliminan automáticamente cuando finaliza la sesión.

Las ACL reflexivas proporcionan una forma más exacta de filtrado de sesión que una ACL
extendida que utiliza el parámetro established presentado anteriormente. Si bien son
similares en cuanto al concepto del parámetro established, las ACL reflexivas también
funcionan para UDP e ICMP, que no tienen bits ACK ni RST. La opción established
tampoco funciona con aplicaciones que alteran de forma dinámica el puerto de origen
para el tráfico de sesión. La sentencia permite established sólo verifica los bits ACK y
RST, no la dirección de origen ni la de destino.

Las ACL reflexivas no se aplican directamente a una interfaz, están "anidadas" dentro de
una ACL IP extendida nombrada que se aplica a la interfaz.

Las ACL reflexivas sólo pueden definirse con ACL IP extendidas nombradas. No pueden
definirse con ACL numeradas ni estándar nombradas ni con otras ACL protocolo. Las ACL
reflexivas pueden utilizarse con otras ACL estándar y extendidas estáticas.

Las ACL reflexivas tienen los siguientes beneficios:

 Ayudan a proteger la red de piratas informáticos y pueden incluirse en un firewall.

 Proporcionan un nivel de seguridad contra ataques de suplantación de identidad y de
denegación de servicios. Las ACL reflexivas son mucho más resistentes a los ataques
de suplantación de identidad porque deben coincidir más criterios de filtro antes de
dejar ingresar un paquete. Por ejemplo, se verifican las direcciones de origen y de
destino y los números de puerto, no solamente los bits ACK y RST.
 Son fáciles de utilizar y, comparadas con las ACL básicas, proporcionan un mayor
control de los paquetes que ingresan a la red.
Optimización de redes
Unidad 3. Seguridad de la red

Las ACL reflexivas

obligan al tráfico de
respuesta del destino,
de un reciente paquete
saliente conocido, a
dirigirse al origen de
ese paquete saliente.
Esto aporta un mayor
control del tráfico que
se permite ingresar a la
red e incrementa las
capacidades de las
listas de acceso
extendidas.

ACL reflexive. Tomado de (Accessing the WAN, CCNA Exploration

Companion Guide, 2008)

ACL basadas en el tiempo

La ACL basada en el tiempo es similar en función a la ACL extendida, pero admite control
de acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe
crear un rango horario que defina la hora específica del día y la semana. Debe identificar
el rango de tiempo con un nombre y, luego, remitirse a él mediante una función. Las
restricciones temporales son impuestas en la misma función.

Las ACL basadas en el tiempo tienen muchos beneficios:

 Ofrecen al administrador de red más control de los permisos y denegaciones de
acceso a los recursos.
 Permiten a los administradores de red controlar los mensajes de registro. Las entradas
de las ACL pueden registrar el tráfico en determinados momentos del día, pero no de
forma permanente. De esta manera, los administradores pueden simplemente
denegar el acceso, sin tener que analizar los diferentes registros que se generan
durante las horas pico.
Optimización de redes
Unidad 3. Seguridad de la red

La ACL basada en el
tiempo es similar en
función a la ACL
extendida, pero admite
control de acceso
basado en el tiempo.
Para implementar las
ACL basadas en el
tiempo, debe crear un
rango horario que
defina la hora
específica del día y la
semana. Debe
identificar el rango de
tiempo con un nombre
y, luego, remitirse a él
mediante una función.
Las restricciones
temporales son
ACL basada en el tiempo. Tomado de (Accessing the WAN, CCNA impuestas en la misma
Exploration Companion Guide, 2008) función.

Actividad 3. ACL

Consulta el documento de actividades.

*Revisa los criterios de evaluación de la actividad.

Evidencia de aprendizaje. Seguridad y diseño de una WAN

Consulta el documento de actividades.

*Revisa los criterios de evaluación para esta Evidencia.

Optimización de redes
Unidad 3. Seguridad de la red

Cierre de la unidad

En esta unidad has analizado las amenazas que pueden atacar a nuestra red, tanto
internas como del externas, y como protegerse de estas amenazas.

Los ataques a las contraseñas son fáciles de iniciar, pero también fáciles de defender. Las
tácticas de la ingeniería social requieren que los usuarios desarrollen un grado de
desconfianza y de cuidado, ya que cuando un agresor obtiene acceso a una red, puede
tener acceso a casi toda la información y servicios que ésta proporcione.
Los agresores pueden lanzar ataques de DoS que inutilicen a la red. Los gusanos, virus y
caballos de Troya pueden infectar a los dispositivos.

Un punto clave en la protección de una red es el proteger los routers, que son la puerta de
entrada hacia el interior de la red y son objetivos obvios. Las tareas administrativas
básicas como buena seguridad física, que abarque mantener el IOS actualizado y realizar
una copia de seguridad de los archivos de configuración son un comienzo en el esquema
de seguridad.

También en esta unidad se aprendiste que las ACL ayudan en el filtrado de paquetes
para controlar si un router permite o deniega el ingreso de paquetes, según el criterio
ubicado en el encabezado del paquete. Las ACL también se utilizan para seleccionar los
tipos de tráfico por analizar, reenviar o procesar de otras maneras, se presentaron los
distintos tipos de ACL: estándar, extendidas, nombradas y numeradas.

Para saber más…

 Te invito a visitar el sitio que está en el enlace al final del párrafo, donde podrás
consultar más sobre las ACL.
http://cesarcabrera.info/blog/leccion-sobre-listas-de-acceso-acls/

Fuentes de consulta

Bibliografía básica
 Cisco (2008). Accessing the WAN, CCNA Exploration Companion Guide. 1ª Edición.
Estados Unidos: Cisco Press.
 Cisco (2008). Guía del segundo año CCNA 3 y 4. 3ª Edición. España: CISCO Press.
 Baker, K.; Morris, S. (2012). CCNA Security 640-554 Official Cert Guide. 1ª Edición.
Estados Unidos: Cisco Press.
Optimización de redes
Unidad 3. Seguridad de la red

Bibliografía complementaria

 Santos, O. (2007). End-to-End Network Security: Defense-in-Depth. 1ª Edición.

Estados Unidos: Cisco Press.
 Stallings, W. (2009). Network Security Essentials. 4ª Edición. Estados Unidos:
Prentice Hall.
 Tanembaum, A. (2010). Redes de Computadoras. 5ª Edición. México: Prentice Hall.

Fuentes electrónicas

 Cisco (2012). Introduction to WAN Technologies. Consultado en:

http://docwiki.cisco.com/wiki/Introduction_to_WAN_Technologies.
ISBN 978-1587204463