Implementacin de Tecnologas de Firewall

Hidalgo Sergio1, Herrera Carlos2, Martnez Carina3, Pazmio Byron4, Tupiza Miguel5
sehidalgo@udlanet.ec, 2calherrera@udlanet.ec, 3mcmartinez@udlanet.ec, 4bpazmino@udlanet.ec, 5matupiza@udlanet.ec,
Universidad de las Amricas
Quito- Ecuador

Resumen_ En el siguiente documento se desarrollar una sntesis

acerca de la implementacin de firewall, adems se definir los
contenidos principales del tema, el desarrollo de la prctica y se
finaliza con las conclusiones y recomendaciones tanto del
contenido como de la prctica realizada en clase.
Palabras Claves_ Firewall, Proxi, ACL.
I.

INTRODUCCION

El principio de los mecanismos de seguridad de los sistemas es

mantener a los intrusos fuera de la red de una empresa,
permitiendo as realizar su trabajo, es importante conocer la
tecnologa fundamental utilizada en estos casos llamada como la
Implementacin de Tecnologas Firewall o cortafuegos, por esta
razn se desarrolla el tema, para evidenciar las ventajas y posibles
desventajas que tiene al utilizarlo.
En el informe tambin se desea alcanzar el aprendizaje terico y
prctico de los estudiantes, mediante el desarrollo y la
implementacin del taller propuesto en la materia de Seguridad de
Redes acerca del tema en mencin con la configuracin de ACL,
DHCP, VLAN, EIGRP de forma organizada con las aportaciones
de cada compaero de grupo, abarcando todos los contenidos
estudiados de la materia hasta el da de hoy.
A continuacin se presenta el desarrollo del tema Implementacin
de Tecnologas de Firewall con las caractersticas consideradas
como las ms importantes, aplicacin mediante el ejercicio
propuesto por el profesor y el anlisis o conclusin final.

II.
A.

Figure 1: Topologa ACL

Ilustracin 1: NMERO EXCLUSIVO PARA CADA ACL

B.

TIPOS DE ACL

ACL Estndar (ACL del 1 al 99 y 1300 al 1999)

Una ACL estndar puede servir para bloquear todo el trfico de

una red o de un host especfico, permitir todo el trfico de una red
especfica o denegar paquetes por protocolos.

DESARROLLO DE CONTENIDOS

Configuracin ACLs IP estndar y extendidas con CLI

Los administradores usan las ACLs para definir y controlar las

clases de trfico en los dispositivos de networking tomando como
base varios parmetros. Estos parmetros son especficos de las
capas 2, 3, 4 y 7 del modelo OSI.
Cualquier tipo de trfico puede ser definido explcitamente usando
apropiadamente una ACL numerada.
Como Las ACLs numeradas dentro del rango 200-299 eran usadas
para controlar el trfico de acuerdo con el tipo Ethernet.

Ilustracin 2: Proceso de ACL Estndar

Configuracin
PASO1: Creacin de la ACL

Figure 2: Estructura de la ACL

Una ACL numerada dentro del rango 700-799 indica que el trfico
es clasificado y controlado con la direccin MAC como base.
Los tipos de parmetros ms comnmente utilizados en las ACLs
relacionadas con la seguridad tienen que ver con las direcciones
IPv4 e IPv6 y con los nmeros de puerto TCP y UDP.

El primer valor especifica el nmero de la ACL. Para las

ACLs estndar, el nmero deber estar en el rango 1-99. El
segundo valor especifica si lo que debe hacer es permitir o
denegar el trfico de la direccin IP origen configurada. El
tercer valor es la direccin IP de origen que debe buscarse. El
cuarto valor es la mscara wildcard que debe aplicarse a la
direccin IP previamente configurada para indicar el rango.

Eliminar de una ACL

PASO 2: Asociar una ACL a una interfaz especifica.

PASO2: Asociar ACL a interfaz
Ejemplos:

PASO 3: Aplicar la ACL a una line vty

Router(config-line)# access-class num-acl

{in | out}
C.

Wildcard

Ejemplo: Denegar FTP entre dos redes y permitir todo lo dems

Se denomina como una mscara inversa o una mscara comodn.

ACL Nombradas

Permiten que las ACL IP estndar y extendidas se identifiquen

con una cadena alfanumrica (nombre) en lugar de la
representacin numrica actual (1 a 199).

Ilustracin 3: EJEMPLOS DE WILDCARD

ACL extendida (ACL del 100 al 199 O 2000 a 2699)

Las ACLs extendidas filtran los paquetes basndose en la

informacin de origen y destino de las capas 3 y 4.
La informacin de capa 4 puede incluir informacin de puertos
TCP y UDP.
Las ACLs extendidas otorgan mayor flexibilidad y control sobre
el acceso a la red que las ACLs estndar.

Figure 3: Ejemplo de ACL Nombradas

Estructura ACL Nombradas

Al final de la sentencia de la ACL extendida, se puede especificar

opcionalmente el nmero de puerto de protocolo TCP o UDP para
el que se aplica la sentencia:
- 20 y 21: datos y programa FTP
- 23: Telnet
- 25: SMTP
- 53: DNS
- 69: TFTP
PASO1: Definir ACL extendida

Figure 4: Estructura de configuracin de una ACL Nombrada

ACL Extendida nombrada

Router(config-ext-nacl)# {permit | deny} protocolo dir-origen

[wildcard-origen] [operador operando] dir-destino [wildcarddestino] [operador operando] [established]
Una vez que las sentencias han sido generadas en la ACL, el
administrador debe activar la ACL en una interfaz con el comando.
Router(config-if)# ip access-group nombre-ACL {in | out}
El parmetro log debe ser usado solamente si la red est bajo
ataque y el administrador est intentando determinar quin es el
atacante.
D.

Uso de ACLs IP estndar y extendidas

En comparacin con las ACLs estndar, las

ACLs extendidas permiten que tipos
especficos de trfico sean denegados o
permitidos.

Figure 5: Ubicacin de ACLs Estndar y Extendida

ACL ESTANDAR
Se ubican lo ms cerca posible del destino (no especifican
direcciones de destino).

ACL EXTENDIDA
Se ubican lo ms cerca posible del destino (no especifican
direcciones destino).

E.
o
o
o

Topologa y Flujo De Las Listas De Control De Acceso

La direccin del trfico a travs de un dispositivo de red es

definida por las interfaces de entrada y salida del trfico.
El trfico de entrada es aqul que ingresa al router, antes de
acceder a la tabla de enrutamiento.
El trfico de salida es todo aqul que ingres al router y fue
procesado por l para determinar a dnde deber reenviar los
datos.
Dependiendo del tipo de dispositivo y el tipo de ACL
configurada, el trfico de retorno puede ser monitoreado
dinmicamente.
F.

ACLs y Protocolos

El
El protocolo
protocolo al
al que
que tiene
tiene que
que aplicarse
aplicarse la
la ACL
ACL se
se indica
indica
como
como un
un nmero
nmero en
en el
el intervalo
intervalo de
de nmeros
nmeros de
de protocolo.
protocolo.
Slo
Slo se
se puede
puede especificar
especificar una
una ACL
ACL por
por protocolo
protocolo y
y por
por
interfaz.
interfaz.
Para
Para algunos
algunos protocolos,
protocolos, se
se pueden
pueden agrupar
agrupar hasta
hasta 2
2 ACL
ACL a
a
una
una interfaz
interfaz (entrante
(entrante y
y saliente).
saliente). Con
Con otros
otros protocolos,
protocolos, se
se
agrupa
slo
1
ACL.
agrupa slo 1 ACL.
Si
Si ACL
ACL es
es entrante,
entrante, se
se comprueba
comprueba al
al recibir
recibir el
el paquete.
paquete.

Si
Si ACL
ACL es
es saliente,
saliente, se
se comprueba
comprueba despus
despus de
de recibir
recibir y
y
enrutar
enrutar un
un paquete
paquete a
a la
la interfaz
interfaz saliente.
saliente.

Ejecucin de un ACL

El orden de las sentencias es importante.

El enviar o bloquear
un sipaquete.
Verifica
cumplen las sentencias

El IOs prueba el paquete

de condicin en el orden que se

crearon.

Si existe una coincidencia se deja de verificar otras

sentencias de condicin.

Cuando se desea agregar una sentencia.

Se debe primero eliminar la ACL completa y crear con las sentencias

nuevas de condiciones.

G.

H.

Ubicacin de las ACLs

I.

Comandos de Verificacin de ACL

Table 1: Comandos de Verificacin

Comandos
Descripcin
show ip interface
Muestra informacin de
interfaz IP e indica si hay
alguna ACL asociada a dicho
interfaz.
show access-lists
Muestra el contenido de todas
las ACLs definidas en el
router.
show access-lists
Muestra contenido de ACL
num_o_nombre_ACL
especfica indicada como
parmetro.
debug ip packet
Es til para analizar los
mensajes que viajan entre los
hosts locales y remotos.

J.

Configuracin de ACLs estndar y extendidas con SDM

Se pueden configurar, desde la CLI o usando el

Administrador de Routers y Dispositivos de Seguridad
de Cisco (SDM).

El SDM de Cisco proporciona reglas por defecto que el

administrador puede utilizar al crear reglas de acceso.

Figure 6: ACL Reflexiva

El SDM de Cisco se refiere a las ACLs como reglas de
acceso. Al usar el SDM de Cisco, el administrador puede
crear y aplicar reglas estndar (ACLs Estndar) y reglas
extendidas (ACLs Extendidas).

Las ACLs Reflexivas

Proporcionan una forma ms real de filtrado de

sesiones que el que ofrece la opcin TCP
established.
Son ms difciles de falsificar ya que deben coincidir
muchos ms criterios de filtrado antes de que se
permita acceso a un paquete.

K.

Configuracin de ACLs Dinmicas o Conocidas como

"Lock And Key"

La configuracin de una
ACL dinmica comienza con
la aplicacin de una ACL
extendida para bloquear el
trfico en el router.

Las ACLs dinmicas pueden

ser utilizadas para trfico IP.

Dependen de la
conectividad Telnet,
autenticacin (local o
remota) y ACLs extendidas.

La configuracin de una
ACL dinmica comienza con
la aplicacin de una ACL
extendida para bloquear el
trfico en el router.

Los usuarios deben utilizar

Telnet para conectarse al
router y lograr autenticarse.

La conexin Telnet es
entonces descartada y se
agrega una ACL dinmica
de una sola entrada a la
ACL extendida existente.
Esto permite trfico por un
perodo de tiempo
particular. El vencimiento
puede ser tanto absoluto o
por inactividad.

Trabajan utilizando entradas de control de acceso

(ACEs) temporales insertadas en una ACL extendida,
y se aplica en la interfaz externa del router.
Una vez finalizada la sesin, es eliminada de la
configuracin de la ACL en la interfaz externa. Esto
reduce la exposicin de la red a ataques de DoS.

La configuracin de un router para que use ACLs reflexivas

requiere lo siguiente:

Paso 1. Crear una ACL interna que busque nuevas

sesiones de salida y cree ACEs reflexivas temporales.

Paso 2. Cree una ACL externa que use las ACLs

reflexivas para examinar el trfico de retorno.

Paso 3. Active la ACL nombrada en las interfaces

apropiadas.

ACLs dinmicas se utilizan

para proporcionar a un
usuario remoto especfico o
un grupo de usuarios
remotos acceso a un host
dentro de la red, tambien
se utiliza cuando un
subgrupo de hosts de una
red local necesita acceder a
un host en una red remota
que est protegido con un
firewall.

Paso 1. Cree una ACL extendida.

Sintaxis de una ACL interna.

Router(config)# ip access-list extended nombre_ACL_interna

Router(config-ext-nacl)# permit protocolo dir-origen [mscaraorigen][operador operando] dir-destino [mscara-destino]

[operador operando][established] reflect nombre_ACL_reflexiva
[timeout segundos]

La ACL dinmica soporta ACLs extendidas tanto numeradas

como nombradas.
Se crea una entrada de reserva de lugar en la ACL, que, una
vez que un usuario se autentica exitosamente, toma valores
dinmicos concretos. La autenticacin exitosa del usuario
crea esta entrada dinmica.

Paso 2. Defina la autenticacin.

o

Las ACLs dinmicas soportan los siguientes mtodos de

autenticacin: local (base de datos de nombres de usuario),
por servidor AAA externo y la contrasea de lnea, la

contrasea de lnea no se utiliza porque con este mtodo

todos los usuarios deben emplear la misma contrasea.
Paso 3. Habilite el mtodo de autenticacin dinmico.
o

Un firewall se considera un filtro que controla todas las

comunicaciones que pasan de una red a la otra y en funcin de lo
que sean permite o deniega su paso. Para permitir o denegar una
comunicacin el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web, el correo o el IRC.

Esto toma lugar en las lneas vty del router. Una vez que se
habilita, el usuario puede crear entradas para la ACL
dinmica en la ACL de la interfaz que hace referencia a la
ACL dinmica.

Comando para crear la entrada de ACL dinmica.

Router(config)#
access-list
{100-199}
dynamic
nombre_ACL_dinmica [timeout minutos] {permit | deny}
protocolo
dir-origen
[wildcard-origen]
[operador
operando] dir-destino [wildcard-destino] [operador
operando] [established]
Se recomienda configurar un tiempo de vencimiento, sea absoluto
o por inactividad, ya que si no se especifica los tiempos la entrada.
L.

Configuracion de ACLs basadas en tiempo (Time-Based

ACL)

Restringen el trfico en base a la hora del da, el da de la

semana o el da del mes.

Las entradas ACL pueden registrar el trfico en ciertos

momentos del da, pero no constantemente.

Ilustracin 5: REPRESENTACION DE FIREWALL

Los cortafuegos pueden ser implementados en hardware o
software, o en una combinacin de ambos, se utilizan con
frecuencia para evitar que los usuarios de Internet no autorizados
tengan acceso a redes privadas conectadas a Internet,
especialmente intranets.
Tambin es frecuente conectar el cortafuegos a una tercera red,
llamada zona desmilitarizada o DMZ, en la que se ubican los
servidores de la organizacin que deben permanecer accesibles
desde la red exterior.
N.

DMZ

Es una zona segura que se ubica entre la red interna de una

organizacin y una red externa, generalmente en Internet. El
objetivo de una DMZ es que las conexiones desde la red interna y
la externa a la DMZ estn permitidas, mientras que en general las
conexiones desde la DMZ solo se permitan a la red externa - los
equipos (hosts) en la DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan dar
servicios a la red externa a la vez que protegen la red interna en el
caso de que intrusos comprometan la seguridad de los equipos
(host) situados en la zona desmilitarizada.
Ilustracin 4:ACLs basadas en Tiempo
o

o
o

O.

Tipos de Firewall

Al crear un rango de tiempo con el comando time-range, ste debe

tener un nombre nico para asociar una sentencia ACL, el nombre
debe comenzar con una letra y no puede contener espacios.
La ejecucin del comando time-range ubica al router en el modo
de subconfiguracin de ACL.
En este modo, se pueden especificar dos tipos de rangos: de una
sola vez (absoluto) y recurrente (peridico).
Comandos para la creacin de un rango de tiempo.
Router(config)# time-range nombre_rango
Router(config-time-range)# absolute [hora_inicio fecha_inicio]
[hora_fin
fecha_fin]
Router(config-time-range)#
periodic
da_de_la_semana hh:mm to [da_de_la_semana] hh:mm

M. FIREWALL

Ilustracin 6: DMZ o Zona Desmilitarizada

P.

Mitigacin de ataques con ACLs

o
o
o

Falsificacin de direcciones IP de entrada y

de salida
Ataques de DOS SYN TCP
Ataques de DOS smurf

Puede prevenir la exposicin de hosts y

aplicaciones sensibles a usuarios no
confiables. Puede sanitizar el flujo de
protocolos, previniendo la explotacin de
fallas en los protocolos.

Puede bloquearse el acceso de datos

maliciosos a servidores y clientes.
Puede hacer que la aplicacin de la poltica
de seguridad se torne simple, escalable y
robusta.

Las ACLs filtran el siguiente trfico:

o
o

Mensajes ICMP de entrada y de salida

traceroute

Puede crearse una ACL que permita slo aquellos

paquetes que contengan direcciones de origen de la
red interna y deniegue los restantes.

Puede reducir la complejidad de la

administracin de la seguridad de la red al
reducir la mayora del control de acceso a la
red a algunos puntos.

R.

Los Tipos Diferentes de Firewalls y sus

Capacidades

DNS, SMTP y FTP son servicios comunes a los que

generalmente debe permitirse pasar por un firewall.
Se recomiendan varios mensajes ICMP para la
correcta operacin de la red y debe permitrseles la
entrada:

Source quench - (Disminucin del trfico

desde el origen) Solicita al remitente que
disminuya la cantidad de trfico de
mensajes.

Unreachable - (Destino inalcanzable) Los

mensajes unreachable se generan cuando un
paquete es denegado administrativamente
por una ACL.

Firewall de filtrado de paquetes

Se recomiendan varios mensajes ICMP para la correcta

operacin de la red y debe permitrseles la salida:
o

Echo - (Eco) Permite a los usuarios hacer

ping a hosts externos.

Parameter
problem
(Problema
de
parmetro) Informa al host sobre problemas
en el encabezado del paquete.

Packet too big - (Paquete demasiado grande)

Requerido para el descubrimiento de la
unidad de transmisin mxima (MTU) de
paquetes.

Source quench - (Disminucin del trfico

desde el origen) Ahoga el flujo de trfico si
es necesario

Ilustracin 7: Firewall de Filtrado

Consiste en un router con la capacidad de filtrar
paquetes con algn tipo de contenido, como
informacin de capa 3 y, en ocasiones, de capa 4.

Firewall con estados - (Stateful firewall)

Q. Proteccin de Redes con Firewalls

El firewall es un sistema o grupo de sistemas que
aplica una poltica de control de acceso entre las
redes.
Ventajas

Ilustracin 8: Firewall con Estados

Monitorea el estado de las conexiones, si estn en

estado de iniciacin, transferencia de datos o
terminacin.

Firewall gateway de aplicacin (proxy)

Ilustracin 10: Ventajas y Desventajas de Firewall

T.

Buenas Prcticas de Firewalls

Ubique los firewalls en las fronteras de

seguridad claves.
Deniegue todo el trfico por defecto y
permita slo los servicios necesarios.
Asegrese de que el acceso fsico al firewall
est controlado.
Monitoree regularmente los registros del
firewall. El Sistema de Respuesta, Anlisis y
Monitoreo de Seguridad de Cisco (MARS) es
especialmente til para este propsito.

o
o
Ilustracin 9: Firewall Gateway de Aplicacin
Filtra segn informacin de las capas 3, 4, 5 y 7 del
modelo de referencia OSI. La mayora del control y
filtrado del firewall se hace por software.

Firewall de traduccin de direcciones - (Address

translation firewall)
Expande el nmero de direcciones IP disponibles y
esconde el diseo del direccionamiento de la red.

Firewall basado en hosts (servidor y personal) (Host-based firewall)

U. Control de Acceso basado en el Contexto

Caractersticas de CBAC
o

CBAC filtra inteligentemente los paquetes

TCP y UDP en base a informacin de sesin
de protocolo de capa de aplicacin con
estados.

Examinar las conexiones soportadas para

ejecutar las traducciones de direcciones
necesarias bsandose en la informacin NAT
y PAT contenida en el paquete.

V.

Funciones

Una PC o Servidor que ejecuta software de firewall.

Firewall transparente - (Transparent firewall)

Filtra trfico IP entre un par de interfaces
conmutadas.
Firewall hbrido - (Hybrid firewall)
Es una combinacin de varios tipos de firewalls
diferentes.
S.

Ventajas Y Desventajas

Proporciona cuatro funciones principales: filtrado de

trfico, inspeccin de trfico, deteccin de intrusos y
generacin de auditoras y alerta.

Ilustracin 11: Funciones de CBAC

W. Operacin de CBAC
o

CBAC usa un filtro de paquetes con estados

que es sensible a las aplicaciones. Esto
significa que el filtro es capaz de reconocer
todas las sesiones de una aplicacin
dinmica.
Examina no slo la informacin de capas de
red y de transporte, tambin la informacin
de protocolo de capa de aplicacin.
Crea entradas en las ACLs de las interfaces
del firewall agregando una entrada ACL
temporal para una sesin especfica. Estas
entradas son creadas cuando trfico
especfico sale de la red interna protegida a
travs del firewall.

Paso 2. Defina clases de trfico con el

comando class-map type inspect.
Paso 3. Especifique polticas de firewall con
el comando policy-map type inspect.
Paso 4. Aplique polticas de firewall a los
pares de zonas de origen y destino usando el
comando zone-pair security.
Paso 5. Asigne interfaces de router a las
zonas usando el comando de interfaz
zonemember security.

Z. Configuracin del Firewall de poltica basada

en zonas con SDM
La configuracin del firewall de poltica basada en
zonas es mucho ms fcil con el Administrador de
Routers y Dispositivos de Seguridad de Cisco (SDM).
Paso 1. Defina zonas.
Paso 2. Configure mapas de clases para describir el
trfico entre las zonas.
Paso 3. Cree mapas de polticas para aplicar
acciones al trfico de los mapas de clases.
Paso 4. Defina pares de zonas y asigne mapas de
polticas a los pares de zonas.
Una zona de seguridad es un grupo de interfaces en
las cuales puede aplicarse una poltica de seguridad.
Definicin de Proxi
Los servidores proxy son una especie de punto
medio a travs del cual la informacin se enruta a
travs de una red, como Internet.
Un usuario de la computadora utiliza un logs del
servidor proxy en el servidor y luego accede a otros
recursos de la red a travs de l.

Ilustracin 12: Operacin de CBAC

El propsito principal de un firewall es para evitar

que personas no autorizadas puedan establecer una
conexin y el acceso a la red. En contraste, el
propsito principal de un servidor proxy es actuar
como un rel, a fin de facilitar la conexin entre dos
puntos.

X. Configuracin de CBAC

Paso 1. Elegir una interfaz - interna o

externa.
Paso 2. Configurar ACLs IP en la interfaz.
Paso 3. Definir reglas de inspeccin.
Paso 4. Aplicar una regla de inspeccin a
una interfaz.

Figure 7: Representacin de Proxy

III.

Y.

Configuracin del Firewall de poltica basada

en zonas con CLI

Paso 1. Cree las zonas para el firewall con el

comando zone security.

A.

DESARROLLO DE LA PRCTICA

PROCEDIMIENTO
TOPOLOGA DE LA RED

CONFIGURACIN
RESULTADOS

IV.

CONCLUSIONES Y
RECOMENDACIONES

_Se recomienda utilizar varias herramientas de

SmartArt, para desarrollar un buen resumen con los
puntos principales.
_Se recomienda investigar ms a fondo con otras
referencias bibliogrficas y compartir ideas con los
compaeros de grupo.

Se realizan las siguientes conclusiones:

IV. REFERENCIAS BIBLIOGRFICAS

_ Se ha podido conocer a cerca de las tecnologas

que se relacionan con las seguridades en una Red
como es Firewall que permite a un administrador
filtrar la informacin segn el tipo de comunicacin
que quiere llevar frente a los dems.

[1] Navarro, J. M. M. (2001). Diseo e

implementacin en Routers Cisco de una red de
datos IP sobre Frame Relay, Ethernet y Token Ring
con los protocolos de encaminamiento Rip y BGP.

_ Se ha podido verificar la materia aprendida en

Seguridad de
Redes mediante la elaboracin del informe,
mediante un pequeo resumen acerca de Firewall
como medida de seguridad.
_ Se ha establecido que gracias a las ACL, desde
tiempos atrs han aportado al control de paquetes,
mediante una lista o un conjunto de lista que dan
acceso o deniegan el trfico que se introduce en una
red.

[2] Ioannidis, S., Keromytis, A. D., Bellovin, S. M., &

Smith, J. M. (2000, November). Implementing a
distributed firewall. In Proceedings of the 7th ACM
conference on Computer and communications
security (pp. 190-199). ACM.

[3] Brcena Borja, N. E. F. F. I., Daz Espndola, M. I.

G. U. E. L., Gmez Hinojosa, C. O., & Gonzlez
Hernndez, C. A. (2014). Diseo E Implementacin
De Un Firewall Asa 5520.