Seguridad perimetral
Páginas: 13 (3227 palabras)
Publicado: 5 de febrero de 2014
Seguridad Perimetral
Filtrado de paquetes y NAT
1. Introducción
Tanto el filtrado de paquetes como la traducción de direcciones o Network Address Translation (NAT)
se realizan en los sistemas unix-like a nivel de núcleo. Para máquinas con núcleos Linux 2.6 el filtrado
y la traducción de direcciones se realizan mediante la herramienta iptables que se ejecuta en el
espacio de usuario.Esta herramienta es el interfaz del usuario con el núcleo para especificar que
paquetes se deben filtrar o traducir.
2. El filtrado de paquetes
El método más utilizado para la protección de las redes son los firewalls o cortafuegos. Un firewall
es un medio que sirve para regular el acceso a una red de computadoras. Para ello, consulta la
información identificativa asociada a la comunicaciónprocedente del exterior, el firewall decide
entonces permitir o no la comunicación de acuerdo a una política de seguridad que ha sido
configurada previamente. Usualmente el firewall es el router que nos comunica con otras redes,
con la particularidad de que es capaz de “filtrar paquetes”. El filtro de paquetes es un software que
examina la cabecera de los paquetes de datos según van pasandoy básicamente decide si
descartar o aceptar el paquete en cuestión. El filtrado de paquetes sirve para realizar las
siguientes funciones:
•
Control y seguridad: cuando un router es lo único entre Internet y nuestra red interna
(intranet), es indispensable poder permitir ciertos tipos de tráfico, y restringir otros.
•
Vigilancia: algunas veces, un host mal configurado de la intranetpuede emitir paquetes
que contengan información “delicada” al mundo exterior, el filtrado de paquetes puede
servir para avisarnos en caso de que ocurra algo anormal.
3. La traducción de direcciones (NAT)
Normalmente, los paquetes viajan desde su origen a su destino a través de varios routers.
Ninguno de estos routers altera realmente el paquete: simplemente lo envía al siguiente router. Siuno de estos routers hiciera NAT, podría alterar el origen o destino del paquete según pasa a
través suyo. Como puede imaginar, ésta no es la función para la que se diseñó el sistema, y por
tanto NAT es siempre un tanto enrevesado. Normalmente, el router que realiza NAT recordará
cómo modificó el paquete, para poder realizar la acción inversa con el paquete de respuesta, de
manera que todofuncione como se espera.
El uso más extendido de NAT es conseguir una reducción del tamaño de los rangos de
direcciones IP públicas, y utilizar en su lugar los rangos de direccionamiento privados,
transformando en el router de salida de la red mediante NAT las direcciones privadas a unas
pocas direcciones públicas, este esquema permite además ejecutar cambios del direccionamiento
público deforma sencilla y centralizada. Por ejemplo, si en nuestra red no realizamos NAT y cambiamos de proveedor o ISP (Internet Service Provider), tendremos que cambiar de rango de
direccionamiento público, teniendo que reconfigurar nuestras máquinas. Si se realiza NAT, la
configuración de los hosts se puede mantener, y sólo deberemos cambiar unas cuantas reglas del
router que realiza NAT.
NAT sepuede dividir de varias formas, en particular una de ellas es dividirlo según se modifiquen
parámetros del destino o parámetros del origen:
•
NAT por origen o Source NAT (SNAT) se produce cuando el router altera el origen del
paquete, esto es, cambia algún parámetro del lugar de donde viene. SNAT siempre se
realiza después del encaminamiento, justo antes de que el paquete salga del router.•
NAT por destino o Destination NAT (DNAT) se produce cuando el router altera el destino
del paquete, esto es, cambia algún parámetro del lugar a donde va. DNAT siempre se
realiza antes del encaminamiento, cuando el paquete entra al router.
4. Cómo pasan los paquetes por el núcleo
El núcleo empieza con varias listas de reglas, estas listas se llaman “cadenas” y son las
siguientes:...
Filtrado de paquetes y NAT
1. Introducción
Tanto el filtrado de paquetes como la traducción de direcciones o Network Address Translation (NAT)
se realizan en los sistemas unix-like a nivel de núcleo. Para máquinas con núcleos Linux 2.6 el filtrado
y la traducción de direcciones se realizan mediante la herramienta iptables que se ejecuta en el
espacio de usuario.Esta herramienta es el interfaz del usuario con el núcleo para especificar que
paquetes se deben filtrar o traducir.
2. El filtrado de paquetes
El método más utilizado para la protección de las redes son los firewalls o cortafuegos. Un firewall
es un medio que sirve para regular el acceso a una red de computadoras. Para ello, consulta la
información identificativa asociada a la comunicaciónprocedente del exterior, el firewall decide
entonces permitir o no la comunicación de acuerdo a una política de seguridad que ha sido
configurada previamente. Usualmente el firewall es el router que nos comunica con otras redes,
con la particularidad de que es capaz de “filtrar paquetes”. El filtro de paquetes es un software que
examina la cabecera de los paquetes de datos según van pasandoy básicamente decide si
descartar o aceptar el paquete en cuestión. El filtrado de paquetes sirve para realizar las
siguientes funciones:
•
Control y seguridad: cuando un router es lo único entre Internet y nuestra red interna
(intranet), es indispensable poder permitir ciertos tipos de tráfico, y restringir otros.
•
Vigilancia: algunas veces, un host mal configurado de la intranetpuede emitir paquetes
que contengan información “delicada” al mundo exterior, el filtrado de paquetes puede
servir para avisarnos en caso de que ocurra algo anormal.
3. La traducción de direcciones (NAT)
Normalmente, los paquetes viajan desde su origen a su destino a través de varios routers.
Ninguno de estos routers altera realmente el paquete: simplemente lo envía al siguiente router. Siuno de estos routers hiciera NAT, podría alterar el origen o destino del paquete según pasa a
través suyo. Como puede imaginar, ésta no es la función para la que se diseñó el sistema, y por
tanto NAT es siempre un tanto enrevesado. Normalmente, el router que realiza NAT recordará
cómo modificó el paquete, para poder realizar la acción inversa con el paquete de respuesta, de
manera que todofuncione como se espera.
El uso más extendido de NAT es conseguir una reducción del tamaño de los rangos de
direcciones IP públicas, y utilizar en su lugar los rangos de direccionamiento privados,
transformando en el router de salida de la red mediante NAT las direcciones privadas a unas
pocas direcciones públicas, este esquema permite además ejecutar cambios del direccionamiento
público deforma sencilla y centralizada. Por ejemplo, si en nuestra red no realizamos NAT y cambiamos de proveedor o ISP (Internet Service Provider), tendremos que cambiar de rango de
direccionamiento público, teniendo que reconfigurar nuestras máquinas. Si se realiza NAT, la
configuración de los hosts se puede mantener, y sólo deberemos cambiar unas cuantas reglas del
router que realiza NAT.
NAT sepuede dividir de varias formas, en particular una de ellas es dividirlo según se modifiquen
parámetros del destino o parámetros del origen:
•
NAT por origen o Source NAT (SNAT) se produce cuando el router altera el origen del
paquete, esto es, cambia algún parámetro del lugar de donde viene. SNAT siempre se
realiza después del encaminamiento, justo antes de que el paquete salga del router.•
NAT por destino o Destination NAT (DNAT) se produce cuando el router altera el destino
del paquete, esto es, cambia algún parámetro del lugar a donde va. DNAT siempre se
realiza antes del encaminamiento, cuando el paquete entra al router.
4. Cómo pasan los paquetes por el núcleo
El núcleo empieza con varias listas de reglas, estas listas se llaman “cadenas” y son las
siguientes:...
Leer documento completo
Regístrate para leer el documento completo.