• No se han encontrado resultados

Prácticas de laboratorio virtual sobre la implementación en enrutadores Cisco de filtrado de tráfico IPv6 y Cortafuegos IPv6 basados en zonas

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Prácticas de laboratorio virtual sobre la implementación en enrutadores Cisco de filtrado de tráfico IPv6 y Cortafuegos IPv6 basados en zonas"

Copied!
58
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 58 página )

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Electrónica y Telecomunicaciones. TRABAJO DE DIPLOMA “Prácticas de laboratorio virtual sobre la implementación en enrutadores Cisco de filtrado de tráfico IPv6 y Cortafuegos IPv6 basados en zonas”. Autor: Zaily Fariñas Vega. Tutor: Ing. Jorge Luis Obregón Hernández. Santa Clara 2015 "Año 57 de la Revolución".

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Electrónica y Telecomunicaciones. TRABAJO DE DIPLOMA “Prácticas de laboratorio virtual sobre la implementación en enrutadores Cisco de filtrado de tráfico IPv6 y Cortafuegos IPv6 basados en zonas”. Autor: Zaily Fariñas Vega [email protected]. Tutor: Ing. Jorge Luis Obregón Hernández [email protected]. Santa Clara 2015 "Año 57 de la Revolución".

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Automática, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Tutor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) i. PENSAMIENTO. “…un hombre que oculta lo que piensa, o no se atreve a decir lo que piensa, no es un hombre honrado…” José Martí.

(5) ii. DEDICATORIA. A mi maravillosa madre, con todo el amor del mundo, por ser la persona que durante todos estos años de la carrera estuvo motivándome para que hoy pueda ser una profesional..

(6) iii. AGRADECIMIENTOS. A mis padres Luisa e Yrdelio por servirme de guía y ejemplo. A mí adorado hermano Yoanny por todo su amor y apoyo. A mi maravilloso esposo Jorge Luis Obregón por todo el apoyo incondicional y dedicación que me brindó. A toda mi familia por su cariño y ayuda. A los profesores que tuve durante todo este tiempo que han hecho de mí una profesional..

(7) iv. TAREA TÉCNICA. Con el propósito de dar cumplimiento a los objetivos trazados para la realización de este trabajo, se tomaron en cuenta una serie de tareas técnicas para la confección del informe final, ellas fueron: 1. La. realización. de. una. revisión. bibliográfica. sobre. los. aspectos. fundamentales que describen el filtrado de tráfico IPv6 y la configuración de cortafuegos IPv6 basados en zonas en enrutadores Cisco. 2. La determinación de los rasgos o características que intervienen en el filtrado de tráfico IPv6 y la configuración de cortafuegos IPv6 basados en zonas en enrutadores Cisco. 3. La realización de un análisis detallado de los elementos fundamentales que se deben tener en cuenta para el desarrollo de las prácticas de laboratorio virtual. 4. La implementación en GNS3 del escenario a utilizar en las prácticas de laboratorio virtual. 5. La elaboración de los documentos guías para las prácticas de laboratorio virtual. 6. La elaboración del informe final.. Firma del Autor. Firma del Tutor.

(8) v. RESUMEN. La seguridad de los servicios y la información es un aspecto importante en la redes IPv6, el filtrado de tráfico IPv6 y los cortafuegos IPv6 basados en zonas se desarrollan para apoyar la seguridad en estas redes, garantizando un acceso controlado a los servicios y a la información. En el presente trabajo se desarrollan prácticas de laboratorio virtual relacionadas con el filtrado de tráfico IPv6 y los cortafuegos IPv6 basados en zonas utilizando como herramienta de simulación GNS3. Primeramente se fundamentan los principios básicos acerca del filtrado de tráfico IPv6 y los cortafuegos IPv6 basados en zonas, seguidamente se describen las prácticas a desarrollar y las herramientas virtuales a utilizar, y por último se explica la estructura utilizada en los documentos guías referentes a cada una de las prácticas de laboratorio virtual, así como los materiales complementarios para el desarrollo de las prácticas. Los resultados obtenidos en este trabajo muestran la importancia de emplear el filtrado de tráfico IPv6 y los cortafuegos IPv6 basados en zonas para garantizar un acceso controlado a los servicios y a la información, así como lo eficaz que resulta la utilización de una herramienta de simulación para el desarrollo de prácticas de laboratorio virtual..

(9) vi. TABLA DE CONTENIDOS. PENSAMIENTO ....................................................................................................................i DEDICATORIA .................................................................................................................... ii AGRADECIMIENTOS ....................................................................................................... iii TAREA TÉCNICA ...............................................................................................................iv RESUMEN ............................................................................................................................ v INTRODUCCIÓN ................................................................................................................. 1 CAPÍTULO 1. 1.1. Seguridad en las Redes ....................................................................................... 5. 1.1.1 1.2. SEGURIDAD EN REDES IPv6 ............................................................. 5. Vulneravilidades en IPv6 .............................................................................. 6. Filtrado de Tráfico IPv6 ........................................................................................ 8. 1.2.1. ACL ................................................................................................................... 8. 1.2.2. ACL en IPv6 .................................................................................................... 9. 1.3. Cortafuegos .......................................................................................................... 10. 1.3.1. Ventajas y Desventajas de los Cortafuegos ............................................ 11. 1.3.2. Políticas de Seguridad ................................................................................ 12. 1.3.3. Tipos de Cortafuegos .................................................................................. 12. 1.3.4. Cortafuegos IPv6 en enrutadores Cisco .................................................. 13. 1.3.5. Cortafuego IPv6 basados en Zonas.......................................................... 15.

(10) vii CAPÍTULO 2. 2.1. PRÁCTICAS DE LABORATORIO VIRTUAL.................................... 19. Escenario de Red ................................................................................................ 20. 2.1.1. Características de los elementos que componen el escenario de red 20. 2.2. Características de las Prácticas de Laboratorio Virtual ................................ 22. 2.2.1. Configuraciones generales de los elementos de red ........................... 22. 2.2.2. Práctica # 1 “Filtrado de Tráfico IPv6. Listas de Control de Acceso. (ACL) IPv6” ................................................................................................................. 23 2.2.3 2.3. Práctica # 2 “Cortafuegos IPv6 basados en zonas”............................... 24. Herramientas Virtuales ....................................................................................... 25. 2.3.1. GNS3.............................................................................................................. 25. 2.3.2. VirtualBox ...................................................................................................... 26. 2.3.3. Wireshark ...................................................................................................... 27. CAPÍTULO 3.. ESTRUCTURA DE LAS PRÁCTICAS DE LABORATORIO. VIRTUAL. 30. 3.1. NTIC en el proceso de enseñanza y aprendizaje .......................................... 30. 3.2. Estructura de las Prácticas de Laboratorio Virtual ......................................... 31. 3.2.1. Título .............................................................................................................. 31. 3.2.2. Objetivos ........................................................................................................ 32. 3.2.3. Conocimientos Previos, Habilidades y Tarea Preliminar....................... 33. 3.2.4. Técnica Operatoria ...................................................................................... 34. 3.2.5. Conclusiones, Estudio Independiente y Referencias Bibliográficas .... 36. 3.3. Materiales Complementarios ............................................................................. 38. CONCLUSIONES .............................................................................................................. 40 RECOMENDACIONES ..................................................................................................... 41.

(11) viii REFERENCIAS BIBLIOGRÁFICAS................................................................................ 42 GLOSARIO DE TÉRMINOS ............................................................................................. 46.

(12) INTRODUCCIÓN. 1. INTRODUCCIÓN. La versión 4 del protocolo de internet (Internet Protocol version 4, IPv4) (Postel, 1981, Touch, 2013) ha funcionado con éxito durante décadas gracias a su gran poder de adaptación a las distintas tecnologías existentes. A pesar de la gran flexibilidad de IPv4, ha surgido una nueva versión conocida como IPv6 (Internet Protocol version 6) (Deering, 1998, Bonica et al., 2014) con el objetivo de mejorar en muchos aspectos la antigua versión. IPv6 conserva muchas de las características de la versión anterior. Sin embargo, introduce algunos cambios significativos en: el tamaño y la notación de las direcciones, la seguridad, la autoconfiguración de las direcciones, la movilidad, entre otros aspectos. (Bonica et al., 2014). El motivo principal que conllevó al diseño de IPv6 fue el posible agotamiento del espacio de direcciones IPv4, lo cual actualmente es un hecho. (IANA, 2015) La seguridad en las redes IPv6 es un aspecto transcendental, garantizar un acceso controlado a los servicios y a la información, ha sido siempre un elemento fundamental que ayuda a mantener los niveles de seguridad apropiados. En la actualidad, en el mundo, el número de redes IPv6 va en incremento debido a las ventajas presentadas por este protocolo. Por la importancia que tiene garantizar un acceso controlado a los servicios y a la información, hace que se justifique enfrentar el reto que impone lograr una mejor compresión de cómo es que se pueden implementar, en enrutadores Cisco, políticas de filtrado de tráfico IPv6 y cortafuegos basados en zonas. Teniendo en cuenta el incremento mundial de las redes IPv6, la importancia que tiene garantizar un acceso seguro por parte de los usuarios autorizados a los servicios y a la información y su pobre desarrollo en Cuba, aun cuando algunos profesionales en la rama de las telecomunicaciones se hayan interesado en el tema, hacen que se haga necesario.

(13) INTRODUCCIÓN. 2. profundizar en el estudio, desarrollando materiales que apoyen en la docencia a los estudiantes de la carrera de Telecomunicaciones y Electrónica en la Universidad Central ¨Marta Abreu¨ de Las Villas (UCLV), futuros profesionales encargados de contribuir al mejoramiento de las redes en Cuba. Por tanto surge la necesidad de preguntarse: •. ¿Qué aspectos destacar referentes al filtrado de tráfico IPv6 y a la configuración básica de cortafuegos IPv6 basados en zonas, en enrutadores Cisco, para el desarrollo de prácticas de laboratorio virtual?. El siguiente objetivo se traza para dar respuesta a la Interrogante Científica: •. Desarrollar prácticas de laboratorio virtual que destaquen los aspectos fundamentales referentes al filtrado de tráfico IPv6 y a la configuración básica de cortafuegos IPv6 basados en zonas en enrutadores Cisco.. Para dar curso a este trabajo se trazan las siguientes interrogantes científicas: •. ¿Qué aspectos se deben tener en cuenta para enfocar el estudio sobre el filtrado de tráfico IPv6 y la configuración básica de cortafuegos basados en zonas en enrutadores Cisco?. •. ¿Cuáles son los temas fundamentales a tener en cuenta para el desarrollo de las prácticas de laboratorio virtual referentes al filtrado de tráfico IPv6 y la configuración básica de cortafuegos basados en zonas en enrutadores Cisco?. •. ¿Qué características permiten fundamentar la selección de las herramientas virtuales a utilizar?. •. ¿Cuáles son los elementos fundamentales desde el punto de vista pedagógico a tener en cuenta para el desarrollo de las prácticas de laboratorio virtual?. •. ¿Cómo llevar a cabo el desarrollo de las prácticas de laboratorio virtual?. A dichas interrogantes científicas se les dan respuesta con los siguientes objetivos específicos: •. Realizar un estudio teórico para profundizar sobre los principios de funcionamiento del filtrado de tráfico IPv6 y la configuración básica de cortafuegos basados en zonas en enrutadores Cisco.. •. Fundamentar los principales aspectos que describen el filtrado de tráfico IPv6 y la configuración básica de cortafuegos basados en zonas en enrutadores Cisco, para enfocar así, el desarrollo de las prácticas de laboratorio virtual..

(14) INTRODUCCIÓN. •. 3. Argumentar los temas seleccionados a desarrollar en las prácticas de laboratorio virtual.. •. Destacar las potencialidades de las herramientas virtuales escogidas.. •. Fundamentar los elementos esenciales que se deben tener en cuenta para el desarrollo de prácticas de laboratorio virtual, desde el punto de vista pedagógico.. •. Desarrollar las prácticas correspondientes en función de la selección realizada.. Con la culminación de este trabajo se pondrá a disposición de los especialistas en el tema, y de los estudiantes y profesores de la Facultad de Ingeniería Eléctrica de la UCLV, varios materiales de consulta que servirán de apoyo para el buen entendimiento acerca del filtrado de tráfico IPv6 y la configuración básica de cortafuegos basados en zonas en enrutadores Cisco, desarrollando habilidades en la configuración de enrutadores. Organización del Informe Para alcanzar los objetivos planteados el informe de la investigación se estructurará en introducción, capitulario, conclusiones, referencias bibliográficas y glosario de términos. En la introducción se define la importancia, actualidad y necesidad del tema que se aborda y se dejan explícitos los elementos del diseño teórico. En el Capítulo I se definen los elementos fundamentales acerca de la seguridad en redes IPv6, del filtrado de tráfico IPv6 y la configuración básica de cortafuegos basados en zonas en enrutadores Cisco. En el Capítulo II se analizan las potencialidades de las herramientas virtuales escogidas, enfatizando en la herramienta de simulación de red, se tratan los elementos fundamentales del escenario de red utilizado en cada una de las prácticas de laboratorio virtual y se destacan las características de las configuraciones de los dispositivos de red para cada uno de los ejercicios desarrollados en las prácticas de laboratorio virtual. El Capítulo III se dedica al análisis de la estructura de los documentos guías referentes a cada una de las prácticas de laboratorio virtual desarrolladas, además de destacar los materiales auxiliares a utilizar. Las Conclusiones exponen las consideraciones finales sobre la problemática investigada. Las Recomendaciones solicitan la profundización y ampliación de los estudios sobre la temática..

(15) INTRODUCCIÓN. Las Referencias Bibliográficas dan origen a la conformación del cuerpo investigativo. Glosario de Términos.. 4.

(16) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 5. CAPÍTULO 1. SEGURIDAD EN REDES IPv6. Este capítulo se dedica a tratar elementos básicos acerca de la seguridad en la redes, en especial en redes que utilizan como protocolo de red a IPv6. Además trata los elementos fundamentales referentes al filtrado de tráfico IPv6, y sobre la configuración básica de cortafuegos basados en zonas en enrutadores Cisco. (CISCO, 2015). 1.1 Seguridad en las Redes Un aspecto fundamental de los servicios que brindan las redes, es la seguridad de los mismos, ya sea en la capa de aplicación o en la capa de red. Actualmente, tanto empresas como organismos públicos, dedican muchos recursos con el objetivo de mantener la seguridad y privacidad de los usuarios. Para poder mantener un nivel de seguridad adecuado, es necesario realizar pruebas no solo sobre los dispositivos y aplicaciones que nos van a dar acceso a la información, si no sobre cualquier elemento o protocolo que vaya a manejar la información dentro de dichas redes. La seguridad de las redes de datos puede verse amenazada por intrusiones físicas o lógicas en uno o más elementos que conforman las redes, durante el tránsito de la información por estas redes se debe tener en cuenta que esta información no sea eliminada, modificada o duplicada, también es importante garantizar la disponibilidad de los servicios ofrecidos, pues existe el riesgo de que usuarios no deseados causen la saturación o mal funcionamiento de los servicios, de manera que los mismos no se encuentren disponibles y sean denegados al momento que usuarios legítimos intenten acceder a ellos. Debido al auge en la implementación del protocolo IPv6, es necesario tomar en cuenta la seguridad que el uso de este protocolo presenta durante su implementación y funcionamiento en las redes. A continuación se exponen algunos aspectos referentes a.

(17) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 6. riesgos de seguridad que pueden presentarse en IPv6 y algunas técnicas para eliminar o aminorar los efectos de dichos problemas.. 1.1.1 Vulneravilidades en IPv6 En IPv6 se siguen teniendo muchos de los problemas de seguridad que existían en IPv4 (Durdagi and Buldu, 2010), así como otros. A continuación, se destacan algunas características de IPv6 que son consideradas vulnerabilidades. •. Encabezados de Extensión. Los encabezados de extensión proveen de una funcionalidad opcional y son insertados antes de los encabezados de los protocolos de capa de transporte. Dos de ellos son de gran interés en términos de seguridad: encabezado de ruteo y el encabezado de salto por salto. o. El encabezado de ruteo contiene una lista de direcciones que tienen que ser visitadas en la ruta hacia el receptor. Alternando las dos direcciones y los ciclos de paquetes entre los nodos implicados, produce como resultado la denegación de servicio (Denied of Services, DoS). (Abley et al., 2007). o. Los encabezados de extensión se procesan en los nodos finales, la única excepción es el encabezado de salto por salto el cual es una opción de alerta para los enrutadores y que puede ser usado como actualización futura. Sin embargo, esta opción puede afectar el decrecimiento del rendimiento de los enrutadores cuando muchos paquetes de este tipo son enviados. (Faucheur, 2011). •. Fragmentación. En el documento (Deering, 1998) se especifica el mecanismo de fragmentación que permite a los paquetes IPv6 adaptarse a la unidad máxima de transferencia (Maximum Transfer Unit, MTU) (Mogul, 1990, Mogul et al., 1996) que se puede utilizar para atravesar una red con una tecnología determinada. Éstos fragmentos pueden ser superpuestos entre sí, por lo que en el momento del ensamblaje se pueden tener ambigüedades, éstas ambigüedades pueden ser usadas por los atacantes para vulnerar los cortafuegos y mecanismos de detección de intrusiones. Es por ello que se crea el documento (Krishnan, 2009) para prohibir el uso de fragmento que se hayan superpuestos, sin embargo, en la sección 5 del documento (Deering, 1998) se especifica que se puede usar los llamados fragmentos atómicos (Gont, 2013), que son paquetes.

(18) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 7. IPv6 demasiados grandes para que sean llevados por medio de una red que posea una MTU menor que el tamaño que tiene el paquete que se quieren pasar, y por ello, en vez de fragmentarlo, lo que se hace es añadirle una cabecera de fragmentación con el bit M a `0´ y el campo “Fragmentation Value” también a ‘0’; este tipo de paquetes pueden ser creados por medio del envío de paquetes ICMPv6 (Internet Control Message Protocol version 6) (Conta et al., 2006) de tipo “Packet Too Big Error”, lo cual se puede utilizar para causar ataques de DoS de un flujo de datos de una víctima determinada. •. Etiqueta de Flujo. La etiqueta de flujo sirve para dar un tratamiento diferenciado a los flujos de datos que recorre una red IPv6, éste comportamiento de la red puede ser usado por atacantes para obtener un mejor servicio, o la denegación de servicio al inyectar paquetes con direcciones IPv6 falsas o etiquetas de flujo adulteradas. (Amante et al., 2011) •. Descubrimiento de Vecinos. El protocolo de descubrimiento del vecino (Neighbor Discovery, ND) (Simpson et al., 2007) tiene muchas implicaciones de seguridad debido a su filosofía de confiar en todos los nodos de la red local. Un atacante con acceso a la red local puede utilizar la información contenida en los paquetes utilizados por el protocolo ND y realizar un sinnúmero de ataques. A continuación se mencionan dos posibles ataques utilizando la información obtenida de los paquetes utilizados por el protocolo ND, otros ataques se tratan en (Ullrich et al., 2015). o. Ataques de engaño (Spoofing Atacks) que proveen una dirección de capa de enlace errónea. (Gantz and Rochester, 2005). o. Ataques sobre la detección de direcciones duplicadas (Duplicate Address Detection, DaD) (Moore, 2006), haciendo que las víctimas no se puedan reconfigurar una nueva dirección IPv6. (Gont, 2012). Las vulnerabilidades antes tratadas y otras encontradas en protocolos y mecanismos que utilizan a IPv6, como por ejemplo: Protocolo MLD (Multicast Listener Discovery) (Haberman et al., 1999), mecanismos de tunelización, tamaño del espacio de direcciones IPv6, movilidad IPv6, etc, se tratan con más detalle en (Ullrich et al., 2015). Existen varias técnicas de seguridad, con funciones diferentes pero con el propósito de proporcionar la seguridad en la integridad de la información y en el acceso a la misma, el objetivo principal de estas técnicas es mitigar los ataques que pudiesen desarrollarse a.

(19) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 8. partir de las vulnerabilidades presentes en IPv6. Dentro de las técnicas desarrolladas se encuentran: la encriptación, la asociación de seguridad, direcciones generadas criptográficamente, filtrado de tráfico, cortafuegos, etc. A continuación se detallan características referentes a las técnicas de filtrado de tráfico y cortafuegos debido a que es el objetivo fundamental de este trabajo.. 1.2 Filtrado de Tráfico IPv6 El filtrado de tráfico proporciona seguridad al ayudar a limitar el tráfico circulante por una red, ya sea en una red IPv4, una red IPv6 o una red donde coexistan ambos protocolos, la función es restringir el acceso de los usuarios y los dispositivos, y evitar la salida y entrada de tráfico no autorizado (Headquarters, 2012b). Estas características de seguridad pueden proteger su red contra la pérdida de datos o contra las consecuencias provenientes de ataques intencionales y de errores no intencionados por parte de los usuarios. El elemento fundamental en la implementación de filtrado de tráfico IP, sea cual sea la versión del protocolo IP, es la creación de Listas de Control de Acceso (Access Control List, ACL) (Headquarters, 2015a), a continuación se explican las mismas.. 1.2.1 ACL Una ACL es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Permiten además el filtrado basado en las direcciones de origen y destino, de entrada y salida a las interfaces específicas. Las ACL se usan para aplicar políticas de seguridad que permiten o niegan el acceso de cierta parte de una red a otra. La granularidad de las ACL permite que estas partes sean, o bien PC (Personal Computer) específicos o partes de una subred, es decir, permite que se conceda o niegue el acceso desde un único PC hasta otro, de un segmento de red a otro o cualquier combinación que se quiera. También sirven para clasificar conjuntos de direcciones, por ejemplo, una subred o una parte de una subred. Las ACL se identifican con un número o un nombre y todas las reglas que tengan el mismo número o nombre hacen parte de la ACL, éstos identificadores suelen indicar también qué tanta expresividad tendrá la ACL, es decir, qué tan específicas pueden.

(20) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 9. ser las reglas. A continuación se muestra un ejemplo básico de cómo es conceptualmente una ACL: • Lista-de-acceso X ACCION 1 CONDICION 1 • Lista-de-acceso X ACCION 2 CONDICION 2 • Lista-de-acceso X ACCION 3 CONDICION 3 La X es el nombre o número que identifica la ACL. Si cierto paquete cumple la condición 1 se le aplica la acción 1, si un paquete cumple la condición 2 se le aplica la acción 2 y así sucesivamente. Las acciones son sólo para permitir o denegar y las condiciones dependen del tipo de ACL, las más simples, las estándar, especifican valores para comparar con la dirección IP origen de cada paquete, en las más expresivas, las extendidas, las condiciones permiten especificar valores para comparar tanto con la dirección IP origen como con la IP destino e incluso protocolos de capa de transporte y parámetros referentes a esta capa, como puertos y banderas. La lógica de funcionamiento de las ACL es que una vez que se cumpla una condición, se aplica su acción correspondiente y no se examinan más reglas de la ACL.. 1.2.2 ACL en IPv6 La funcionalidad de las ACL en IPv6 es similar a las ACL en IPv4. Las ACL en IPv6 determinan qué tráfico IPv6 está bloqueado y cual se reenvía por las interfaces del enrutador, permitiendo el filtrado de tráfico basado en direcciones de origen y destino, entrante y saliente a una interfaz específica. (Headquarters, 2012b, Headquarters, 2015b)  Tipos de ACL en IPv6  ACL Estándar Las ACL estándar en IPv6 poseen una funcionalidad similar a las ACL estándar en IPv4, con la diferencia de que en las ACL estándar de IPv6 se especifican, como condiciones para comparar, tanto la dirección de origen como la dirección de destino de los paquetes, mientras que, en las ACL estándar de IPv4 solo se especifica, como condición para comparar, la dirección de origen de los paquetes. La figura 1.1a muestra un ejemplo de una ACL estándar en IPv6, en la misma se bloquea el tráfico proveniente desde cualquier dirección IPv6 origen a cualquier dirección IPv6 destino. La figura 1.1b muestra un ejemplo de una ACL estándar en IPv4, en la misma se bloquea el tráfico proveniente desde cualquier dirección IPv4 origen..

(21) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. a. 10. b. Figura 1.1 a) Ejemplo de ACL estándar en IPv6. b) Ejemplo de ACL estándar en IPv4. o. ACL Extendida. Las ACL extendidas en IPv6 aumentan la funcionalidad de las ACL estándar en IPv6, el objetivo fundamental es apoyar al filtrado de tráfico basado en las opciones de los encabezados IPv6, y de la información de protocolos de capa superior (TCP, UDP, etc.) (INTERNET, 1981, Borman et al., 2014) (Postel, 1980), lo que provee una mayor granularidad en el control del tráfico. La funcionalidad de las ACL extendidas en IPv6 es similar a la de las ACL extendidas en IPv4. Las ACL extendidas en IPv6 permiten realizar un filtrado de tráfico mucho más específico, permitiendo incluso especificar dentro de las condiciones correspondientes a la ACL, valores referentes a los puertos utilizados en las conexiones de capa de transporte. La figura 1.2 muestra un ejemplo de una ACL extendida en IPv6, en la misma se bloquea todo el tráfico TCP (Transmission Control Protocol) que se quiera establecer por el puerto 23 (Conexión Telnet) (Postel and Reynolds, 1983b, Postel and Reynolds, 1983a) proveniente desde cualquier dirección IPv6 origen a cualquier dirección IPv6 destino.. Figura 1.2 Ejemplo de ACL extendida en IPv6.. 1.3 Cortafuegos Un cortafuego es un sistema de seguridad, en el que se protege la red de servicios que desde el exterior puedan suponer una amenaza a su seguridad. O sea, un sistema que bloquea el acceso no autorizado y permite conexiones autorizadas..

(22) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 11. El cortafuego actúa como filtro que examina todos los paquetes de información en base a reglas definidas. Es bajo una política de seguridad que se decide que paquete se puede aceptar y cual bloquear. Los cortafuegos se componen de un dispositivo o conjunto de dispositivos que se utilizan para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas, redes intranet. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuego, el cual examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Figura 1.3.. INTRANET. CORTAFUEGO. INTERNET. Figura 1.3 Esquema general de un Cortafuego.. El cortafuego, correctamente configurado, añade una protección necesaria a la red, protección que no se considera suficiente debido a que la seguridad informática abarca más ámbitos y más niveles de protección.. 1.3.1 Ventajas y Desventajas de los Cortafuegos La principal ventaja de los cortafuegos, es que bloquea el acceso a usuarios, dispositivos y/o aplicaciones no autorizadas, que deseen acceder desde una red a otra, generalmente de redes públicas a redes privadas y viceversa, añadiendo una protección necesaria. Las principales desventajas de los cortafuegos son: •. No pueden proteger a las redes de ataques donde el tráfico no pase a través del cortafuego.. •. No pueden proteger a las redes de ataques internos.. •. No pueden proteger a las redes de fallas de seguridad de servicios y protocolos cuyo tráfico esté permitido..

(23) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 12. 1.3.2 Políticas de Seguridad Todo cortafuego, sea del tipo que sea, se rige por una política de seguridad definida. Cuando se habla de política de seguridad se refiere a la colección de acciones a realizar en respuesta a tipos de mensajes específicos. (Liu, 2012) Hay dos políticas básicas en la configuración de un cortafuego:  Política prohibitiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuego obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta política es la que suelen utilizar las empresas.  Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta política es la que suelen utilizar los servicios públicos de acceso a Internet. La política prohibitiva es la más segura, debido a que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en el caso de la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y el mismo, por omisión, sea permitido.. 1.3.3 Tipos de Cortafuegos Existen principalmente tres formas de implementar los cortafuegos. Esta clasificación se centra en la forma de tratar los datos que pasan a través del cortafuego.  Cortafuego de capa de red, el cual realiza filtrado de paquetes.  Cortafuego en la capa de aplicación, conocidos como Proxy.  Cortafuego híbrido. Este trabajo se centrará sobre los cortafuegos de capa de red, debido a que es el enrutador el dispositivo seleccionado en la implementación de las prácticas de laboratorio virtual. A pesar de las diferencias que se pueden encontrar en estos tipos de cortafuegos, debido a los mecanismos que utilizan para dejar pasar o no el tráfico de una red a otra, no se puede decir que uno sea mejor que otro, simplemente que cada uno de ellos es apropiado para un entorno específico. (Nurika et al., 2012, Huang et al., 2015).

(24) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 13.  Cortafuego de Capa de Red Los cortafuegos de capa de red funcionan en la capa de red como filtros de paquetes IP. En esta capa se pueden implementar filtros según los distintos campos de los encabezados de los paquetes IP, en el caso de los paquetes IPv6: dirección IPv6 origen, dirección IPv6 destino, etiqueta de flujo, etc (Deering, 1998, Nichols et al., 1998), además permiten el filtrado según los campos en los encabezados de los protocolos de capa de transporte, como el puerto origen y destino, o en la capa de enlace de datos, como la dirección MAC (Media Access Control) (Okamoto et al., 2002). Figura 1.4. Modelos de Referencia OSI. Capas de: Aplicación, Presentación y Sesión.. Capa de Transporte. Cortafuego de Capa de RED. Enc.. Mensaje, Capa de Transporte. Capa de Red. Enc.. Paquete, IPv6 Capa de Red. Capa de Enlace de Datos Filtra paquetes IPv6 en base a la información en:. Capa Física. Enc.. - El encabezado de la Trama en la Capa de Enlace. - El encabezado del paquete IPv6 en la Capa de Red. - El encabezado del mensaje en la Capa de Transporte.. Trama, Capa de Enlace. Figura 1.4 Cortafuego de Capa de Red.. 1.3.4 Cortafuegos IPv6 en enrutadores Cisco Los cortafuegos en enrutadores Cisco proporcionan una funcionalidad de filtrado de tráfico avanzada, como parte integrante del cortafuego de una red. Permiten instrumentar cortafuegos en redes IPv6, los cuales a su vez coexisten con los cortafuegos de Cisco para redes IPv4 y son soportados por todos los enrutadores Cisco que implementen doble pila. (Gilligan and Nordmark, 2005, Headquarters, 2012a) Dentro de las principales características de los cortafuegos IPv6 en enrutadores Cisco se tienen:.

(25) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. •. 14. Inspección de estado de paquetes. Esta característica permite la inspección de estado de paquetes TCP, UDP (User Datagram Protocol), ICMPv6 y sesiones FTP (File Transfer Protocol). (Postel and Reynolds, 1985). •. La inspección de estado de paquetes procedentes de una red IPv4 y que terminan en un entorno IPv6. Esta función utiliza los servicios de traducción de direcciones IPv4 a direcciones IPv6 (Network Address Translation, NAT). (Davies and Aoun, 2007, Bao et al., 2011). •. Inspección de paquetes en función de la información contenida en las cabeceras IPv6 de extensión. Incluye la cabecera de enrutamiento, encabezado de opciones salto por salto y encabezado de fragmentado de paquetes. (Deering, 1998, Krishnan et al., 2012). •. Mitigación de ataques de DoS en IPv6. Los mecanismos de mitigación se implementan en la misma forma que en IPv4. (Ballani and Francis, 2008). •. Inspección de paquetes provenientes de túneles.. •. Mapeo de puerto a la aplicación (PAM, Port to Aplication Mapping) (Headquarters, 2012b, INTERNET, 1981). Estas características se pueden ver con más detalles en (Headquarters, 2012b, Headquarters, 2015c). A continuación se enfatizará en algunas de las características antes mencionadas y otros aspectos de importancia.  PAM en Cortafuegos IPv6 de Cisco PAM permite personalizar los números de puerto TCP o UDP para los servicios de red o aplicaciones. PAM utiliza esta información para apoyar los entornos de red que ejecutan los servicios que utilizan puertos que son diferentes de los puertos registrados o conocidos asociados con una aplicación. Utilizando la información de los puertos, PAM establece una tabla de forma predeterminada en el cortafuego, en la que mapea la información de puerto con la aplicación. La información en la tabla PAM permite que el Control de Acceso basado en el Contexto (CBAC, Context-based Access Control) (Rubart, 2005, Headquarters, 2012b) soporte servicios que corran sobre puertos no estándar. CBAC se limita a la inspección del tráfico utilizando sólo los puertos conocidos o registros de puertos asociados con una aplicación, mientras que PAM permite a los administradores de red personalizar el control de acceso a la red para aplicaciones y servicios específicos..

(26) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 15. PAM también soporta mapeo de puerto específico de host o subred, lo que le permite aplicar PAM a un único host o subred utilizando las ACL estándar.  Pistas de Auditoría y Registros de Sistema Los cortafuegos en Cisco generan alertas en tiempo real y pistas de auditoría basada en hechos registrados por él. Las pistas de auditorías utilizan los registros del sistema para rastrear todas las transacciones de la red; registrando las marcas de tiempo, los host fuente, los host de destino y los puertos utilizados; además de registrar el número total de bytes transmitidos. El sistema de registros envía alertas en tiempo real en mensajes de error a la consola de administración central cuando el sistema detecta una actividad sospechosa. Utilizando las reglas de inspección del cortafuego, se pueden configurar alertas e información de pistas de auditoría sobre la base de protocolo por aplicación. Por ejemplo, si desea generar información de seguimiento de auditoría para el tráfico TCP, se puede especificar la generación de esta información en la regla del cortafuego que define inspección TCP. (Headquarters, 2015c)  Inspección de paquetes IPv6 Los siguientes campos de cabecera son utilizados para la inspección de paquetes IPv6: clase de tráfico, etiqueta de flujo, longitud de carga útil, próximo encabezado, límite de saltos, y dirección de origen o destino. Para más detalles ver (Gont, 2013, Bao et al., 2011). 1.3.5 Cortafuego IPv6 basados en Zonas Las políticas basadas en zonas de los cortafuegos IPv6 son las mismas que las utilizadas en los cortafuegos IPv4 con el fin de soportar el tráfico IPv6. (Headquarters, 2015c)  Zonas de Seguridad y Zona Par Una zona de seguridad o simplemente zona, se compone por una interfaz o un grupo de interfaces que tienen funciones o características similares y son utilizadas para funciones de seguridad. Las zonas ayudan a especificar en un cortafuego dónde se debe aplicar las políticas del cortafuego. Figura 1.5. Dos interfaces de un enrutador conectadas a una red local, pueden ser consideradas interfaces similares, ya que representan la red interna, por lo que se pueden agrupar en una zona para la configuración del cortafuego..

(27) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 16. El tráfico circulante entre dos interfaces pertenecientes a la misma zona, no está sujeto a ninguna política del cortafuego y puede circular libremente. Agrupar las interfaces en zonas implica dos procedimientos: - Creación de una zona para que las interfaces pueden estar unidas a ella.. - Configuración de una interfaz para ser miembro de una zona determinada. Cuando una interfaz es miembro de una zona, todo el tráfico entre esa interfaz y otra interfaz perteneciente a una zona diferente es desechado. Para permitir tráfico entre esas interfaces pertenecientes a zonas diferentes, se debe hacer que ambas zonas pertenezcan a una zona par, y aplicar una política a esa zona par. Si la política permite el tráfico entre las zonas correspondientes, entonces el tráfico puede fluir entre las interfaces. Figura 1.5. Una zona par permite que se pueda especificar una política unidireccional entre dos zonas. La dirección del tráfico es especificado por la zona fuente y la zona destino. Figura 1.5. Si existen dos zonas y se quieren políticas para el tráfico entre las zonas en ambas direcciones, se deben configurar dos zonas par, una para cada dirección del tráfico. (Headquarters, 2015c). A continuación se muestran algunas reglas básicas a tener en cuenta al configurar zonas y zonas par, estas reglas se tratan con más detalles en (Headquarters, 2015c). -. El tráfico desde una interfaz perteneciente a una zona a una interfaz que no pertenezca a ninguna zona y viceversa, siempre es desechado; a menos que las zonas predeterminadas estén habilitadas. Una zona predeterminada es una interfaz que no pertenece a ninguna zona.. -. El tráfico entre dos interfaces pertenecientes a zonas diferentes se inspecciona sí: ambas zonas pertenecen a una zona par, y si existe una política configurada para esa zona par.. -. De forma predeterminada, siempre se permite todo el tráfico entre dos interfaces pertenecientes a la misma zona.. -. Una zona par puede ser configurada donde la misma zona sea el origen y el destino. Una política de inspección puede configurarse en esta zona par para inspeccionar o desechar el tráfico entre dos interfaces pertenecientes a la misma zona.. -. Una interfaz puede ser miembro de una sola zona..

(28) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. -. 17. Cuando una interfaz es miembro de una zona, todo el tráfico hacia y desde esa interfaz se bloquea a menos que se configure una política inter-zonal explícita en una zona par que implique a dicha zona. Política de la Zona Par Zona Par. Dirección Implicada. Zona Fuente. Zona Destino. Enrutador Interfaz 1. Zona 1. Zona 2 Interfaz 3. Interfaz 2 Interfaz 4 Figura 1.5 Zonas de seguridad, zona par y políticas en la zona par. Elaborada a partir de las figuras 1 y 2 de (Headquarters, 2015c)..  Políticas del Cortafuego en las zonas de seguridad Una clase identifica un conjunto de paquetes en función de su contenido. Normalmente, se define una clase para que pueda aplicar una acción sobre el tráfico identificado que refleja una política. Una clase se designa mediante mapas de clase. Una acción es una funcionalidad que normalmente se asocia con una clase de tráfico. Por ejemplo, inspeccionar, desechar o bloquear, y dejar pasar. Para crear políticas de cortafuegos en las zonas de seguridad o zonas, se deben completar las siguientes tareas: -. Definir criterios de coincidencia. (Mapa de clase) (Headquarters, 2012b, Headquarters, 2015c).. -. Asociar una acción a los criterios de coincidencia. (Mapa de políticas) (Headquarters, 2012b, Headquarters, 2015c).. -. Fijar el mapa de políticas a la zona par. (Política de servicio) (Headquarters, 2012b, Headquarters, 2015c).. El mapa de clase es utilizado para hacer coincidir los paquetes a una clase especificada. Los paquetes que arriban a los objetivos (interfaces de entrada, interfaces de salida o a la.

(29) CAPÍTULO 1. SEGURIDAD EN REDES IPv6. 18. zona par), son determinados por como la política de servicio es configurada, dichos paquetes se comparan con criterios de coincidencia configurados en el mapa de clase y así se determina si el paquete pertenece a esa clase. El mapa de políticas puede estar fijado a uno o más objetivos para definir una política de servicio. El mapa de política se crea antes de que se pueda configurar las políticas de clases cuyos criterios de coincidencia sean definidos en el mapa de clase.  Inspección y Zonas Las políticas de los cortafuegos basadas en zonas examinan las zonas fuente y destino desde las interfaces de entrada y salida para una política del cortafuego. No es necesario que todo el tráfico circulante desde y hacia una interfaz sea inspeccionado a través del mapa de políticas que se le aplica a la zona par; el mapa de políticas contiene mapas de clases que especifican flujos individuales. El tráfico con la acción inspeccionar configurada, creará una conexión en la tabla del cortafuego y estará sujeto para un estado de chequeo; el tráfico sin la acción inspeccionar configurada, circulará libremente a través del cortafuego sin crear sección alguna. Conclusiones del Capítulo Parte de este capítulo se dedicó solamente a tratar los elementos esenciales referentes a la implementación básica de cortafuegos IPv6 basados en zonas en enrutadores Cisco. Es importante señalar que no se tratan otras variantes de cortafuegos basados en zona como pueden ser: cortafuego IPv6 basados en zonas sobre interfaces VASI (Virtual Private Network Routing and Forwarding Aware Service Infrastructure), cortafuego IPv6 basados en zonas para prevenir los ataques de de DoS, etc; simplemente por la complejidad de los mismos y al poco espacio de tiempo con el que se cuenta; la implementación de estos tipos de cortafuegos se recomiendan al final de este trabajo..

(30) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 19. CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. Este capítulo se dedica a tratar los elementos que describen el escenario utilizado para el desarrollo de las prácticas de laboratorio virtual referentes al filtrado de tráfico IPv6 y a la configuración básica de cortafuegos IPv6 basados en zonas en enrutadores Cisco, se destacan aspectos como: Tipos de dispositivos de Red y su función general, Sistemas Operativos, características de los enlaces, configuración general de los dispositivos, etc. Además este capítulo se dedica a tratar las potencialidades de las herramientas virtuales a utilizar para el desarrollo de las prácticas. Los temas fundamentales seleccionados para el desarrollo de las prácticas fueron: “Filtrado de Tráfico IPv6” y “Configuración básica de Cortafuegos basados en zonas”. Para el desarrollo de los temas se realizaron dos prácticas de laboratorio virtual, una por cada tema, cada práctica consta de varios ejercicios que complementan el desarrollo del tema, a continuación se muestra el título de cada práctica así como el título de los ejercicios que las componen. •. •. Práctica # 1 “Filtrado de Tráfico IPv6. Listas de Control de Acceso (ACL) IPv6” o. Ejercicio # 1 “Filtrando de Tráfico por direcciones IPv6 origen y destino”. o. Ejercicio # 2 “Restringir el acceso al enrutador por el puerto 23 (TELNET)”. o. Ejercicio # 3 “Restringir el acceso a un servidor HTTP”. Práctica # 2 “Cortafuego IPv6 basados en zonas” o. Ejercicio # 1 “Configuración básica de un Cortafuego IPv6”. o. Ejercicio # 2 “Configuración básica de un Cortafuego IPv6 basado en zonas”..

(31) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 20. 2.1 Escenario de Red El escenario de red utilizado en cada uno de ejercicios correspondiente a ambas prácticas es el que se muestra en la figura 2.1. El mismo está compuesto por un enrutador llamado FIREWALL el cual tiene que ser capaz de propiciar la comunicación entre dos redes (RED A y RED B). Este escenario cumple con los requisitos necesarios para el desarrollo de cada uno de los ejercicios de las prácticas, pues solamente se necesita de un enrutador el cual se encargará de conectar dos redes y sobre el cual se configurarán las políticas de Filtrado de Tráfico y de Cortafuego basado en zonas, además se trata de un escenario simple el cual ayuda a que el consumo de recursos de hardware en la PC donde se desarrollarán las prácticas no sea excesivo. ServidorDebian SO: Debian 7.1. ETHERNETSW1 Conmutador Ethernet Capa 2. RED A. RED B. FIREWALL Enrutador Cisco Serie 7200. ETHERNETSW2 Conmutador Ethernet Capa 2. ClienteW7 SO: Windows 7. Figura 2.1 Escenario general utilizado en las prácticas de laboratorio virtual.. 2.1.1. Características de los elementos que componen el escenario de red. La red A está compuesta por: •. Una PC llamada ClienteW7, esta es una PC virtual creada en VirtualBox (ORACLE, 2015a, ORACLE, 2015b), el sistema operativo (SO) escogido fue Windows 7 (MICROSOFT, 2015b), se seleccionó esta variante pues es un SO desarrollado por la corporación Microsoft (MICROSOFT, 2015a), de amplio uso, de fácil manejo por los usuarios, etc; y es sobre esta PC virtual sobre la que el.

(32) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 21. estudiante interactuará con mayor frecuencia durante el desarrollo de las prácticas. Es importante señalar que cualquier otro SO con soporte para el protocolo IPv6, con facilidades para acceder a diferentes servicio de red y que el estudiante que vaya a desarrollar la práctica lo domine, puede ser utilizado. •. Un Conmutador capa 2 llamado ETHERNETSW1, este conmutador tiene la función de propiciar la comunicación entre la PC ClienteW7 con el enrutador FIREWALL. Se escogió este tipo de conmutador por su amplia utilidad en las redes de área local (Local Area Network, LAN), además de que el mismo se encuentra en la herramienta de simulación de red utilizada para el desarrollo de las prácticas.. La red B está compuesta por: •. Una PC servidor llamada ServidorDebian, esta es una PC virtual creada en VirtualBox, el SO escogido fue Linux en su distribución Debian 7.1 (Linux, 2015) en modo consola, se seleccionó esta variante de sistema operativo para lograr un mejor aprovechamiento de los recursos de hardware en la PC donde se desarrollarán las prácticas. (Silberschatz et al., 2013).. •. Un Conmutador capa 2 llamado ETHERNETSW2, ídem al conmutador ETHERNETSW1, y que tiene la función de propiciar la comunicación entre la PC ServidorDebian con el enrutador FIREWALL.. Enrutador FIREWALL: el enrutador utilizado para el desarrollo de las prácticas fue el enrutador c7200-advsecurityk9-mz.150-1.M, un enrutador de la serie 7200 especializado en términos de seguridad (CISCO, 2010), se selecciona el mismo pues provee un amplio soporte para el desarrollo de políticas de filtrado de tráfico IPv6 y sobre cortafuegos basados en zonas, además de que se cuenta con el fichero imagen perteneciente a dicho enrutador. Cualquier otro enrutador con el soporte requerido puede ser utilizado. Es importante señalar que las PC virtuales utilizadas (ClienteW7 y ServidorDebian) en las prácticas, son entregadas al estudiante en formato ovf (Open Virtualization Format) (VirtualBox, 2015), simplemente el estudiante tiene que importar dicho servicio virtualizado en el VirtualBox..

(33) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 22. 2.2 Características de las Prácticas de Laboratorio Virtual En este epígrafe se destacan aspectos fundamentales referentes a las características de cada uno de los ejercicios creados en las prácticas, destacando además aspectos referentes a la configuración de los elementos de red. Las configuraciones tratadas en el sub-epígrafe 2.2.1 se mantienen para todos los ejercicios de cada una de las prácticas, mientras que las configuraciones tratadas en el sub-epígrafe 2.2.2 son específicas para cada ejercicio. 2.2.1. Configuraciones generales de los elementos de red. PC ServidorDebian: Se configura la interfaz habilitada con una dirección IPv6 estática, se utiliza la configuración estática de modo que sea más fácil recordar a la hora de realizar las pruebas de comunicación. Además sobre esta PC virtual se instalan diferentes servicio de red como son: un servidor HTTP (Hypertext Transfer Protoco) (Fielding et al., 1999) apache2 (Apache, 2015) y un servidor FTP vsftpd (VSFTPD, 2015), servicios a los cuales, en algunos ejercicios, se accederá desde la PC ClienteW7. Conmutadores ETHERNETSW1 y ETHERNETSW2: La configuración de dichos dispositivos se mantiene como viene por defecto en la herramienta de simulación de red. Enrutador FIREWALL: Las interfaces del enrutador FIREWALL se configuran de modo que funcionen como puertas de enlaces predeterminadas para cada uno de los elementos de red que conforman a las redes A y B. En el desarrollo de las prácticas se le sugieren al estudiante que configure las direcciones de forma estática para ambas interfaces, direcciones que coinciden con las direcciones de las puertas de enlaces predeterminadas ya configuradas en las PC virtuales ClienteW7 y ServidorDebian entregadas al estudiante en formato ovf. Es importante señalar que cualquier forma de configuración de direcciones IPv6 puede ser utilizada, el objetivo fundamental es que la comunicación entre todos los elementos de red implicados en el escenario sea satisfactoria..

(34) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 23. PC ClienteW7: Se configura la interfaz habilitada con una dirección IPv6 estática, cuya dirección el estudiante cambiará constantemente durante el desarrollo de las prácticas para la realización de diferentes pruebas. Además se configura el fichero hosts ubicado en C:\Windows\System32\drivers\etc cuya función es la de proveer la resolución de nombres a nivel local en esa PC (OS, 2015). De esta forma se facilitan las pruebas de comunicación dando la posibilidad al estudiante de que no tenga que escribir la dirección IPv6 correspondiente a la PC ServidorDebian. La entrada agregada en el fichero hosts de la PC ClienteW7 para la dirección de la PC ServidorDebian fue: uclv.cu Los enlaces utilizados para comunicar todos los elementos de red presentes en el escenario. fueron. de. tipo. FastEthernet. (IEEE,. 2015),. cualquier. otra. variante. correspondiente a tecnología de capa de red Ethernet pudo ser utilizada. 2.2.2. Práctica # 1 “Filtrado de Tráfico IPv6. Listas de Control de Acceso (ACL) IPv6”. •. Ejercicio # 1 “Filtrando de Tráfico por direcciones IPv6 origen y destino”. El primer ejercicio como bien lo plantea el título trata acerca del filtrado de tráfico por dirección IPv6 origen y destino. El objetivo fundamental en este ejercicio es limitar el acceso desde la PC ClienteW7 a la PC ServidorDebian tomando como referencia una dirección IPv6 origen y una dirección IPv6 destino. Para ello se configuran los elementos de red como se explican en el sub-epígrafe 2.2.1, agregando, a la configuración del enrutador, la creación y aplicación a una interfaz de una ACL cuya función sea la de permitir el acceso a la PC ServidorDebian desde la PC ClienteW7 cuando esta tiene configurada una dirección IPv6 específica. En este ejercicio el estudiante debe modificar la dirección IPv6 en la PC ClienteW7 de modo que verifique el buen funcionamiento de la ACL creada. •. Ejercicio # 2 “Restringir el acceso al enrutador por el puerto 23 (TELNET)”. El segundo ejercicio como bien lo plantea el título trata acerca de restringir el acceso al enrutador FIREWALL por el puerto TELNET. El objetivo fundamental en este ejercicio es permitir que solamente se pueda administrar vía TELNET el enrutador FIREWALL desde una dirección IPv6 específica. Para ello se configuran los elementos de red como se.

(35) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 24. explican en el sub-epígrafe 2.2.1, y se modifica la ACL creada en el ejercicio anterior o se crea una nueva para restringir el acceso vía TELNET al enrutador FIREWALL. Al igual que en el ejercicio anterior el estudiante debe modificar la dirección IPv6 en la PC CienteW7 de modo que verifique el buen funcionamiento de la ACL creada. •. Ejercicio # 3 “Restringir el acceso a un servidor HTTP”. El tercer ejercicio como bien lo plantea el título trata acerca de restringir el acceso a un servidor HTTP. El objetivo fundamental en este ejercicio es permitir que solamente se pueda acceder al servicio HTTP instalado en la PC ServidorDebian desde una dirección IPv6 específica. Para ello se configuran los elementos de red como se explican en el subepígrafe 2.2.1, y se modifica la ACL creada en el ejercicio anterior o se crea una nueva para restringir el acceso al servidor HTTP. Al igual que en los ejercicios anteriores el estudiante debe modificar la dirección IPv6 en la PC CienteW7 de modo que verifique el buen funcionamiento de la ACL creada. 2.2.3 •. Práctica # 2 “Cortafuegos IPv6 basados en zonas” Ejercicio # 1 “Configuración básica de un Cortafuego IPv6”. El primer ejercicio como bien lo plantea el título trata acerca de la configuración básica de cortafuegos en enrutadores. El objetivo fundamental de la misma es establecer determinadas reglas para inspeccionar los flujos de datos que pasan a través del cortafuego, además de habilitar la opción pistas de auditorías con el objetivo de poder ver en tiempo real en la consola del enrutador la información referente a las secciones habilitadas. El estudiante debe monitorear constantemente la consola del enrutador. •. Ejercicio # 2 “Configuración básica de un Cortafuego IPv6 basado en zonas”. El segundo ejercicio como bien lo plantea el título trata acerca de la configuración básica de cortafuegos basados en zonas en enrutadores. El objetivo fundamental de la misma es establecer zonas y relaciones entre las mismas con sus respectivas políticas de seguridad con el objetivo de realizar diferentes acciones sobre el tráfico circulante entre las zonas implicadas. Al igual que en el ejercicio anterior el estudiante debe monitorear la consola del enrutador, así como los resultados mostrados al aplicar determinada línea de comandos..

(36) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 25. 2.3 Herramientas Virtuales En este epígrafe se destacan aspectos fundamentales referentes a las características de cada una de las herramientas virtuales a utilizar para el desarrollo de las prácticas.. 2.3.1 GNS3 La herramienta virtual fundamental para el desarrollo de las prácticas de laboratorio virtual fue el simulador de redes GNS3 (Grafical Network Simulator) (GNS3, 2015), esta es una excelente herramienta de simulación que puede ser utilizada para recrear prácticas de laboratorio virtual, además de que utiliza imágenes de enrutadores reales de Cisco. La otra herramienta de simulación de redes que pudo ser utilizada fue Packet Tracert (Tracert, 2015), herramienta creada por Cisco y también al igual que GNS3 de mucha utilidad para la creación de prácticas de laboratorio virtual. Entre estas dos herramientas se seleccionó al GNS3 puesto que la versión de Packet Tracert con la que se cuenta (versión 6.2) no provee soporte para algunas de las características referentes a los cortafuegos basadas en zonas que se desarrollaron en las prácticas; en cambio, GNS3, por el hecho de trabajar con imágenes reales de dispositivos de red, permite que con la imagen del enrutador adecuado se pueda desarrollar las prácticas sin inconvenientes. La Figura 2.2 muestra el área general de trabajo del GNS3. Las partes correspondientes al área general de trabajo de GNS3 se explican con más detalle en (Welsh, 2013, Cioara, 2014). A continuación se destacan algunas características del GNS3, estas y otras se tratan con más detalles en (Welsh, 2013). El GNS3 puede capturar paquetes en una interfaz virtual Ethernet o Serial y grabarlos en archivos para ser usados con aplicaciones como tcpdump (Jacobsen et al., 2012), Wireshark (Lamping and Warnicke, 2013), o cualquier otra aplicación que pueda leer una captura en formato libpcap (Jacobsen et al., 2012). GNS3 se puede ejecutar en sistemas operativos de Windows, Linux y Mac OS X (APPLE, 2015). Los usuarios de Windows deben instalar el paquete Windows all-in-one. Esto provee lo necesario para que GNS3 se ejecute en máquinas locales o remotas..

(37) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 26. Figura 2.2 Área general de trabajo del GNS3.. GNS3 está fuertemente vinculado con: •. Dynamips, programa que permite la emulación de Cisco IOS y puede ser utilizado como plataforma de entrenamiento, utilizando software del mundo real. También da. la. posibilidad. de. verificar. configuraciones. rápidamente. que. serán. implementadas en enrutadores reales. (Welsh, 2013, Cioara, 2014). •. Qemu, un emulador y virtualizador de máquinas genérico y de código abierto. (Welsh, 2013, Cioara, 2014).. •. VirtualBox, un libre y potente software de virtualización.. GNS3 logra optimizar en gran medida el uso de recursos de hardware en la PC donde se instale para su utilización, para ello se deben habilitar las opciones “ghostios” y “sparsemem”, además de ejecutar el proceso Idle-PC para una determinada imagen. En (Cioara, 2014) se explica en detalles las ventajas que se adquieren al habilitar estas opciones y al ejecutar este proceso.. 2.3.2 VirtualBox Las PC virtuales utilizadas en las prácticas fueron creadas con la herramienta de virtualización VirtualBox. Esta herramienta soporta la ejecución de varias PC virtuales simultáneamente con diferentes sistemas operativos instalados en cada una de ellas (ORACLE, 2015b). Se seleccionó esta herramienta para la creación de las PC virtuales.

(38) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 27. por estar la misma estrechamente vinculada a GNS3 (Figura 2.4a), cualquier otra herramienta como por ejemplo: VMWare (VMware, 2015), que pueda establecer comunicación con GNS3, puede ser utilizada. El VirtualBox es capaz de exportar e importar de forma fácil PC virtuales y consta de la herramienta VirtualBox Guest Additions que una vez instalada en el sistema invitado permite la integración y comunicación adicional con el sistema anfitrión, dando la posibilidad de compartir carpetas, realizar ajustes de resolución y video (ORACLE, 2015b). La Figura 2.3 muestra el área general de trabajo de VirtualBox. Las partes correspondientes al área general de trabajo de VirtualBox se explican con más detalle en (ORACLE, 2015b).. Figura 2.3 Área general de trabajo de VirtualBox.. 2.3.3 Wireshark Para el desarrollo de las prácticas se utiliza al analizador de redes Wireshark (WIRESHARK, 2015) pues permite la interacción con paquetes que viajan en la red en tiempo real o que son previamente salvados. Por defecto el Wireshark utiliza el formato libpcap en su método de captura aunque es capaz de leer también otros formatos (Lamping and Warnicke, 2013). Se seleccionó este analizador de red pues el mismo está estrechamente vinculado al GNS3. Figura 2.4b..

(39) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. a) Tipos de nodos en GNS3. b) Ejecución de una captura en GNS3. 2.4 Vinculación de VirtualBox y Wireshark con el GNS3. 1 2 3 Figura 2.5 Vistas de la ventana principal del Wireshark.. 28.

(40) CAPÍTULO 2. PRÁCTICAS DE LABORATORIO VIRTUAL. 29. El Wireshark como otros analizadores de red en su ventana principal muestra tres vistas de un paquete capturado (Figura 2.5). 1. Visualiza en una línea resumen el tipo de paquete. 2. Muestra detalles del paquete con la opción de desplazarse por cada uno de sus campos. 3. Finalmente se puede observar en una forma hexadecimal la conformación de cada. paquete..

(41) CAPÍTULO 3. ESTRUCTURA DE LAS PRÁCTICAS DE LABORATORIO VIRTUAL. 30. CAPÍTULO 3. ESTRUCTURA DE LAS PRÁCTICAS DE LABORATORIO VIRTUAL. En este capítulo se realiza un análisis de la estructura de los documentos guías referentes a cada una de las prácticas desde el punto de vista pedagógico, tomando como referencia el documento guía de una de las prácticas desarrolladas. Además se destacan aspectos referentes a la organización de otros materiales que sirven de apoyo al documento guía.. 3.1 NTIC en el proceso de enseñanza y aprendizaje Las Nuevas Tecnologías de la Información y las Comunicaciones (NTIC) son el resultado de las posibilidades creadas por la humanidad en torno a la digitalización de datos, productos, servicios y procesos, y de su transportación a través de diferentes medios, a grandes distancias y en pequeños intervalos de tiempo, de forma confiable, y con relaciones costo beneficio nunca antes alcanzadas por el hombre. (Morales, 2004). En las transformaciones económicas y sociales en la actualidad, las NTIC desempeñan un papel fundamental. Los cambios introducidos por estas en el proceso de desarrollo tecnológico, ha desencadenado un aprovechamiento transformador entorno a diversas actividades, las cuales llevan a aumentar la productividad del trabajo. (Valiente and González, 2013, Pérez, 2013). Las NTIC influyen directamente sobre el proceso de enseñanza y aprendizaje, propiciando un entorno interactivo con abundantes estímulos que facilitan alcanzar los objetivos pedagógicos propuestos. Una de las formas de utilizar las NTIC en el proceso de enseñanza y aprendizaje y que crea un entorno lo más cercano a la realidad, es mediante el desarrollo de prácticas de laboratorio virtual. Las prácticas de laboratorio virtual se desarrollan mediante el uso de herramientas virtuales que corren normalmente sobre una PC. El objetivo fundamental es recrear un.

(42) CAPÍTULO 3. ESTRUCTURA DE LAS PRÁCTICAS DE LABORATORIO VIRTUAL. 31. escenario virtual que simule las características de un escenario real, y sobre el mismo experimentar situaciones que mediante el experimento real serían muy costosas.. 3.2 Estructura de las Prácticas de Laboratorio Virtual La estructura seguida en la confección de los documentos guía de las Prácticas de Laboratorio Virtual es la siguiente: •. Título. •. Objetivos. •. Conocimientos Previos. •. Habilidades. •. Tarea Preliminar. •. Técnica Operatoria. •. Conclusiones. •. Estudio Independiente. •. Referencias Bibliográficas. Los siguientes documentos (Chaljub et al., 1999, Paliza, 2013) sirvieron de guía para la selección de la estructura desarrollada en los documentos guías referentes a cada una de las prácticas de laboratorio virtual, estos documentos fueron desarrollados por profesores de prestigio de la Facultad de Ingeniería Eléctrica de la Universidad “Marta Abreu” de las Villas, también sirvieron de guía los siguientes documentos (Rosado and Herreros, 2005). A continuación se realiza una breve descripción de cada una de las partes que conforman la estructura de los documentos guía, se toma como referencia el documento guía referente a la práctica de laboratorio virtual “Filtrado de Tráfico IPv6. Listas de Control de Acceso (ACL) IPv6”. Además se exponen aspectos relacionados a los materiales que complementan el desarrollo de las prácticas.. 3.2.1 Título El título es una frase relativamente pequeña que da a conocer un asunto específico dentro de un tema general. En las prácticas de laboratorio virtual desarrolladas se utiliza el título para nombrar a la práctica en sí, así como cada uno de los ejercicios presentes en dicha práctica..

(43) CAPÍTULO 3. ESTRUCTURA DE LAS PRÁCTICAS DE LABORATORIO VIRTUAL. 32. La Figura 3.1 muestra un fragmento de la práctica de laboratorio virtual número 1, en la misma aparece el título referente a dicha práctica, así como el título referente a uno de los ejercicios presentes en la misma. Se puede ver como el título de la práctica hace referencia de manera general al tema a desarrollar, mientras que el título del ejercicio se encarga de hacer referencia a un aspecto específico dentro del tema general.. Figura 3.1 Títulos referentes a la práctica de laboratorio virtual número 1.. 3.2.2. Objetivos. Los Objetivos identifican la finalidad a la cual deben dirigirse los recursos y esfuerzos en aras de dar cumplimiento a los propósitos. La figura 3.2 muestra un fragmento de la práctica de laboratorio virtual número 1, en la misma aparecen los objetivos que se desean conseguir al culminar el desarrollo de la práctica. El resto de los puntos a tratar en la práctica se deben enfocar de manera tal que tributen al logro de los objetivos planteados.. Figura 3.2 Objetivos referentes a la práctica de laboratorio virtual número 1..

(44) CAPÍTULO 3. ESTRUCTURA DE LAS PRÁCTICAS DE LABORATORIO VIRTUAL. 3.2.3. 33. Conocimientos Previos, Habilidades y Tarea Preliminar. Los Conocimientos Previos se refieren a los conocimientos teóricos que el estudiante debe ya haber adquirido y que debe de utilizar en aras de tributar al cumplimiento de los objetivos trazados en la práctica, además, poseer un pleno dominio sobre los elementos de este punto propicia dinamismo al desarrollo de la práctica. La Figura 3.3 muestra un fragmento de la práctica de laboratorio virtual número 1, en la misma aparecen los elementos teóricos que el estudiante debe dominar para el desarrollo de esta práctica.. Figura 3.3 Conocimientos Previos referentes a la práctica de laboratorio virtual número 1.. El término Habilidad se puede definir como la destreza para ejecutar alguna acción en aras de alcanzar un objetivo. La Figura 3.4 muestra un fragmento de la práctica de laboratorio virtual número 1, en la misma aparecen las habilidades prácticas que el estudiante debe tener en aras de tributar al cumplimiento de los objetivos de la práctica. Es importante señalar que el estudiante debe poseer dichas habilidades, de lo contrario atentaría contra el dinamismo en el desarrollo de la práctica. La Tarea Preliminar recomienda al estudiante realizar un estudio previo de los elementos esenciales a tratar en la práctica de laboratorio virtual. El cumplimiento de este punto es importante debido a que el estudiante llegaría al menos con los conocimientos básicos al momento de la práctica, propiciando así dinamismo y una mejor asimilación de los contenidos. La Figura 3.4 muestra un fragmento de la práctica de laboratorio virtual número 1 donde aparecen los documentos que el estudiante debe revisar como parte de su tarea preliminar..

Figure

Figura 1.1 a) Ejemplo de ACL estándar en IPv6. b) Ejemplo de ACL estándar en IPv4.
Figura 1.3 Esquema general de un Cortafuego.
Figura 1.4 Cortafuego de Capa de Red.
Figura 1.5 Zonas de seguridad, zona par y políticas en la zona par. Elaborada a partir de las figuras 1 y 2 de (Headquarters, 2015c)
+7

Referencias

Descargar ahora ( PDF - 58 página - 1.50 MB )

Outline

Escenario de Red Materiales Complementarios

Documento similar

guía rápida

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

SOBRE EL CONCEPTO DE ESTABILIDAD DE LOS SISTEMAS POLÍTICOS

puedan adscribirse a un género común, sino que el concepto de sistema político-jurí- dico resulta ser un híbrido de realidades heterogéneas; en segundo lugar, que este ca-

EL CEDULARIO DE LA NUEVA GALICIA EN EL DERECHO INDIANO *

Cedulario se inicia a mediados del siglo XVIL, por sus propias cédulas puede advertirse que no estaba totalmente conquistada la Nueva Gali- cia, ya que a fines del siglo xvn y en

Prólogos de ida y vuelta: Juan de Piña, Alonsode Castillo Solórzano, Francisco de Quintana,Juan Pérez de Montalbán y María de Zayas enel campo literario de Lope de Vega

Abstract: This paper reviews the dialogue and controversies between the paratexts of a corpus of collections of short novels –and romances– publi- shed from 1624 to 1637:

guía rápida

The part I assessment is coordinated involving all MSCs and led by the RMS who prepares a draft assessment report, sends the request for information (RFI) with considerations,

SOBRE LA TEORÍA DE LA DEMOCRACIA

De hecho, este sometimiento periódico al voto, esta decisión periódica de los electores sobre la gestión ha sido uno de los componentes teóricos más interesantes de la

EL ARCHIVO DE LOYOLA EN TIEMPOS DE LA EXPULSIÓN Y LAS APORTACIONES DE LOS JESUÍTAS LLEGADOS DE ITALIA (SEGÚN RESEÑA DEL P. PÉREZ PICÓN)

Ciaurriz quien, durante su primer arlo de estancia en Loyola 40 , catalogó sus fondos siguiendo la división previa a la que nos hemos referido; y si esta labor fue de

LA CAPILLA DE MÚSICA DE LA COLEGIAL DE SAN NICOLÁS DE ALICANTE DURANTE EL SIGLO XVIII

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y