Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Seguridad en Las Redes Corporativas Mediante Nat y Pat

    Hochgeladen von

    Marcelo Flores Ch.
    92 Ansichten23 Seiten

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PPTX, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    92 Ansichten23 Seiten

    Seguridad en Las Redes Corporativas Mediante Nat y Pat

    Hochgeladen von

    Marcelo Flores Ch.

    Copyright:

    © All Rights Reserved
    Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 23

    SEGURIDAD EN LAS REDES

    CORPORATIVAS MEDIANTE
    NETWORK ADDRESS
    TRANSLATION (NAT) Y PORT
    ADDRESS TRANSLATION
    (PAT)

    Ing. Marcelo Flores Chacn

    Abril 2011
    INTRODUCCIN Y FUNCIONAMIENTO DEL NAT Y
    PAT
    NAT es un mecanismo para modificar direcciones IP.
    11111111.11111111.11111111.11111111

    8 bits 8 bits 8 bits 8 bits

    Permite a un host con IP privada (inside network),
    comunicarse transparentemente con un host con IP
    pblica (outside network).

    192.168.40.10 TRANSL. 10.17.16.10

    Dir. Origen Dir. Destino
    INTRODUCCIN Y FUNCIONAMIENTO DEL NAT
    Y PAT
    INTRODUCCIN Y FUNCIONAMIENTO DEL NAT
    Y PAT
    Opera sobre un dispositivo de red fronterizo (router), que
    conecta las dos redes: interna y externa (internet).

    PAT traduce/asocia varias direcciones privadas (inside) a
    una nica direccin global pblica (outside).
    192.168.40.10:50 10.17.16.10:50
    Dir. Origen Pto. Origen Dir. Destino Pto. Destino

    Utiliza multiplexacin de puertos permitiendo tener hasta
    6.400 sesiones simultneas.
    Ventaja: Si NAT agota el conjunto de direcciones IP asignadas, PAT
    es utilizado hasta que sea liberada alguna traduccin NAT.


    INTRODUCCIN Y FUNCIONAMIENTO DEL NAT
    Y PAT
    NAT DINMICO PRINCIPALES
    CARACTERSTICAS
    Inicialmente traduce unidireccionalmente la IP inside net,
    hasta que el router reciba trfico de la outside net.

    La traduccin se realiza de un conjunto de direcciones
    privadas previamente asignadas, luego se liberan.

    Las traducciones dinmicas tienen un tiempo de vida en
    inactividad (120 seg.), despus son eliminadas de la tabla
    NAT.


    NAT DINMICO PRINCIPALES
    CARACTERSTICAS
    NAT DINMICO CONFIGURACIN Y
    FUNCIONAMIENTO
    1. Definir las interfaces NAT/PAT como inside/outside.
    2. Definir la funcin que se quiere que realice NAT/PAT.
    a. Permitir a usuarios internos acceder a internet?.
    b. Permitir a internet acceder a dispositivos de la red interna?.
    c. Redireccionar trfico TCP a otro puerto/direccin TCP?.
    d. Utilizar NAT durante una transicin o cambio en la red?.
    e. Utilizar NAT para permitir redes con espacio de direccionamiento
    reducido puedan comunicarse?.
    3. Configurar NAT/PAT acorde a lo que se quiere hacer y que ha
    quedado definido en el paso 2. Entonces utilizar:
    a. NAT esttico.
    b. NAT dinmico.
    c. PAT.
    d. Cualquier combinacin de los anteriores.
    4. Verificar el funcionamiento de NAT/PAT.
    NAT DINMICO CONFIGURACIN Y
    FUNCIONAMIENTO
    Ej. El rango de IPs Pblicas que nos da nuestro ISP es
    194.194.194.0/29, con lo que tenemos el siguiente rango
    disponible 194.194.194.1 - 194.194.194.6.

    Router_NAT(config)# ip nat pool RANGO 194.194.194.1 194.194.194.6
    netmask 255.255.255.248
    (creamos un pool con direcciones pblicas).
    Router_NAT(config)# access-list 1 permit 192.168.1.0 0.0.0.255
    (hacemos un filtro de las IPs privadas que podrn asignarse a las pblicas).
    Router_NAT(config)# ip nat inside source list 1 pool RANGO overload
    (asignamos el rango de IPs privadas que filtramos con la lista de acceso, con
    el rango de IPs pblicas del pool RANGO).
    NAT DINMICO CONFIGURACIN Y
    FUNCIONAMIENTO

    Router_NAT(config)# interface fa0/0
    (vamos a la interfaz de la LAN)
    Router_NAT(config-if)# ip nat inside
    (interfaz conectada a la red interna)
    Router_NAT(config)# interface s0/0
    (vamos a la interfaz serial)
    Router_NAT(config-if)# ip nat outside
    (interfaz conectada a la red externa)
    Router_NAT(config)# ip nat translation timeout 120
    (asignacin de IPs en un tiempo definido, en este caso 120 segundos).
    Router_NAT(config)# clear ip nat translation *
    (borra la tabla NAT, as el anterior comando se ejecuta realmente).
    NAT DINMICO CONFIGURACIN Y
    FUNCIONAMIENTO
    ENRUTAMIENTO

    Router_NAT(config)# ip route 0.0.0.0 0.0.0.0 s0/0
    (cambiamos nuestra interfaz local s0/0 por la IP del siguiente salto
    194.194.194.2).
    Router_ISP(config)# ip route 194.194.194.0 255.255.255.0 s0/1
    (cambiamos la interfaz s0/1 por la IP del siguiente salto 194.194.194.1).

    OBSERVACIN

    Router_NAT# show ip nat statistics
    (muestra cuantas traducciones NAT estn siendo usadas, as como cuales son
    las interfaces inside y outside).
    Router_NAT# show ip nat translations
    Router_NAT# show ip nat translations verbose
    (muestran las IPs traducidas por NAT, as como las IPs de inside y outside).


    PROTOCOLOS QUE REQUIEREN ATENCIN
    TCNICA: H.323
    Familia de estndares ITU para comunicaciones multimedia
    sobre LAN.

    Aplicacin ms conocida es Microsoft Netmeeting (Sesiones
    Video Conferencia). Puertos TCP 1503 y TCP 1720

    Posee protocolos que cubren distintos aspectos de la
    comunicacin.

    H.225 Control (sealizacin, registro/admisin, sincronizacin voz).
    H.245 Sealizacin Canales Lgicos (tipo codif., apertura, cierre).
    RSVP (Resource reSerVation Protocol) (especif. Trfico, peticin
    reserva, disponibilidad recursos).




    PROTOCOLOS QUE REQUIEREN ATENCIN
    TCNICA: FTP
    Transferencia de ficheros entre equipos Servidor y Cliente.

    Crea una conexin virtual.
    Puerto TCP 21 (control) y TCP 20 (datos)

    Parmetro que especifica la IP Addr. Cliente como el puerto
    TCP.

    32 bits IP Addr. + 16 bits puerto TCP


    F
    i
    l
    e

    T
    r
    a
    n
    s
    f
    e
    r

    P
    r
    o
    t
    o
    c
    o
    l

    PROTOCOLOS QUE REQUIEREN ATENCIN
    TCNICA: FTP PASIVO

    Similar a una sesin FTP normal.

    El propio Cliente se encarga de abrir el canal de datos.

    Servidor asigna el nmero de puerto.

    Navegadores Microsoft Explorer inferiores a la Ver.5.0.
    PROTOCOLOS QUE REQUIEREN ATENCIN
    TCNICA: IRC Y SOPORTE DE DCC
    Ofrece el intercambio de mensajes de texto (chat).

    Cliente IRC ms utilizado mIRC.
    Puerto TCP 1080 (IRC) y TCP 113 (mIRC)

    Intercambio archivos/sesiones privadas a travs del DCC.

    Importante: Configurar Local Info con el Lookup Method
    en modo Server (saber direccin Pblica correspondiente).
    I
    n
    t
    e
    r
    n
    e
    t

    R
    e
    l
    a
    y

    C
    h
    a
    t

    PUERTOS VULNERABLES A INTRUSIONES
    MALICIOSAS
    Mensajera y Conferencias
    Active Worlds (IN TCP 3000 - 5670 - 7777 - 7000 a 7100)

    Calista IP phone (IN TCP 5190, IN UDP 3000)

    Internet Phone (OUT UDP 22555)

    mIRC Chat (OUT TCP 100) (IN TCP 101)

    mIRC Fserve (OUT TCP 110) (IN TCP 111)

    mIRC IDENT (IN UDP 113)

    mIRC Send (OUT TCP 120) (IN TCP 121)




    Fuente: http://practicallynetworked.com/sharing /app_port_list.htm
    PUERTOS VULNERABLES A INTRUSIONES
    MALICIOSAS
    MSN Messenger (IN TCP 6891 a 6900 - 1863) File Send
    (IN UDP 1863 - 5190 - 6901) Voice Communications

    PhoneFree (IN TCP 1035) Voice in/out
    (2644 - 8000) Personal Communication Center - Server Access
    (IN UDP 1034) Voice in/out (9900 - 9901) Pc-To-Phone Calls

    Polycom ViaVideo (IN TCP 3230 - 3235) dial out
    (IN UDP 3230 - 3235) dial out

    Yahoo Messenger Chat (IN TCP 5000 - 5001)

    Yahoo Messenger Phone (IN UDP 5055)
    Fuente: http://practicallynetworked.com/sharing /app_port_list.htm
    PUERTOS VULNERABLES A INTRUSIONES
    MALICIOSAS
    Audio y Video
    GNUtella (IN TCP/UDP 6346)

    Napster (IN/OUT TCP 6699)

    Quick Time Server (IN TCP/UDP 6970 - 7000)

    Quick Time Client & RealAudio (OUT TCP 554) (IN UDP 6970 - 32000)

    RealAudio (OUT TCP 7070) (IN UDP 6970 - 7170)

    ShoutCast Server (IN TCP 8000 - 8005)


    Fuente: http://practicallynetworked.com/sharing /app_port_list.htm
    PUERTOS VULNERABLES A INTRUSIONES
    MALICIOSAS
    Juegos
    Alien vs. Predator (IN UDP 80 - 2300 - 2400 - 8000 - 8999)

    Myth, Myth II Server(IN TCP 3453)

    Delta Force Client&Server (IN/OUT TCP/UDP 3100 - 3999)
    (OUT UDP 3568)

    Elite Force (IN UDP 26000 - 27500 - 27910 - 27960)

    Half Life Server (IN TCP 27015)

    Heretic II Server (IN TCP 28910)
    Fuente: http://practicallynetworked.com/sharing /app_port_list.htm
    PUERTOS VULNERABLES A INTRUSIONES
    MALICIOSAS
    MSN Game Zone (IN TCP 6667 - 28800 - 29000)
    DX support (IN TCP/UDP 47624 - 2300 - 2400)

    Need for Speed - Porche (IN UDP 9442)

    Quake2 & QuakeIII (IN UDP 27910) & (IN UDP 27660,27661,27662)

    Rainbow Six (IN/OUT TCP 2346)

    Starcraft (IN UDP 6112)
    Fuente: http://practicallynetworked.com/sharing /app_port_list.htm
    PUERTOS VULNERABLES A INTRUSIONES
    MALICIOSAS
    Otros puertos comunes
    FTP Server (IN TCP 21)

    POP3 Mail Server (IN TCP 110)

    SMTP (IN TCP 25)

    Telnet (IN TCP 23)

    Web (IN TCP 80)

    BayVPN (OUT UDP 500)



    Fuente: http://practicallynetworked.com/sharing /app_port_list.htm
    PUERTOS VULNERABLES A INTRUSIONES
    MALICIOSAS
    CITRIX Metaframe (IN TCP 1494)

    Lotus Note Server (IN TCP 1352)

    Network Time Protocol (NTP) (IN/OUT UDP 123)

    Virtual Network Computing (VNC) (IN TCP 5500 5800 - 5900)

    Windows 2000 Terminal Server (IN TCP/UDP 3389)

    VPN Windows (IN TCP 1723)




    Fuente: http://practicallynetworked.com/sharing /app_port_list.htm



    GRACIAS

    Das könnte Ihnen auch gefallen