Routers: la primera línea de defensa

2. Introducción
3. Desarrollo
4. Creando ACL para evitar ataques externos
5. Router o firewall
6. Conclusiones y recomendaciones
7. Bibliografía

RESUMEN

El siguiente trabajo muestra las posibilidades que posee un router para el control del tráfico no deseado y para evitar ataques desde fuera de la empresa creando las llamadas ACL (Access Control List) Listas de Control del Acceso. En el mismo se presentan los comandos necesarios para crear las ACL y verificar su existencia así como se explica detalladamente cada tipo de lista de acceso, teniendo en cuenta sus posibilidades a la hora de filtrar la información. Se usan ejemplos prácticos para dar una idea más acertada de este tipo de trabajo al lector, así como de gráficos para mejorar su entendimiento. El trabajo hace énfasis en la adecuada configuración de los routers usando estás y otras técnicas más avanzadas que permitan que estos dispositivos puedan impedir muchos ataques que se originan fuera y dentro de la empresa, mejorando así en gran medida la seguridad de la red. 

INTRODUCCIÓN

Los Llamados router1[8] o encaminadores (de su traducción al español) son posiblemente los dispositivos de comunicación más importantes de una red. Por ellos pasa, casi siempre  todo el tráfico de salida y entrada de una red LAN2 con conectividad WAN3, ya sea a Internet, o a otra red LAN de la misma empresa incluso en muchas ocasiones estos dispositivos pueden estar solamente conectando a dos o más redes LAN en un mismo edificio de la empresa. Este hecho hace, que sobre este dispositivo pese una responsabilidad muy grande y su funcionamiento constante sea una necesidad más que una opción. Además su principal funcionamiento como su nombre lo indica es encaminar (o como comúnmente se le llama enrutar) (Clare Gough 2003) los paquetes que pasan por él, hacia la red indicada, permitiendo así la interconexión de estas y garantizado que cada paquete llegue siempre a su destino como si fuera una oficina de correos. Al igual que las cartas y otros documentos postales, los paquetes que viajan por nuestra red tienen una dirección fuente y otra dirección destino que le permite al router decidir a cual red LAN van dirigidos los paquetes y partir de esta información y otras que el posee como parte de su configuración es que determina por cual de sus puertas conectadas enviar el paquete que llegó por otra (Clare Gough, 2003). Las puertas de un router son sus enlaces de comunicación, por ejemplo: un router CISCO 1841[6], puede tener 2 puertos ethernet4 y si le compramos una tarjeta WIC-1T5 tendría entonces un puerto serie que sería destinado a uno o varios enlaces WAN. En total estaríamos hablando de 3 puertas físicas 2 ethernet y una serie, con lo que el router podría encaminar paquetes provenientes de 3 redes diferentes (básicamente hablando, porque podremos recibir paquetes de muchas otras redes en caso de conectar esa puerta serie a Internet o tener configuradas subinterfaces6 lógicas usando el protocolo fame-relay7 o usando un enlace trunk8 en una de las puertas ethernet, contra un switch9 de varias VLAN10). En todos los casos el router será capaz de enviar el paquete por la interfase que conecta la LAN donde está ubicada la computadora a la que va dirigido este paquete. Permitiendo así que computadoras de diferentes redes se comuniquen. Sin embargo a pesar de que esta es la principal labor de un router, en los últimos tiempos, con el avance de Internet y con este de los ataques a las redes informáticas. Los router[8] han aumentado significativamente sus funcionalidades convirtiéndose en la primera trinchera o línea de defensa frente a un fuego descomunal proveniente de todos los flancos posibles, por esta razón hemos decidido escribir este documento para ayudar a los jóvenes administradores que muchas veces asumen redes ya en explotación a proteger estas, desde esta primera trinchera usando estas técnicas que harán disminuir en gran medida el riesgo de quedar a meced de los atacantes.

DESARROLLO

Una ACL11 no es más que una regla que permite al router saber si puede o no permitir (permit) o denegar (deny) el tráfico que proviene de una red, de una computadora o va hacia una red determinada, etc (Wendell Odom, 2002). El router como explicamos hace un momento, es el encargado de conectar varias redes y usa sus llamados protocolos de ruteo12 (Clare Gough, 2003) para realizar esta acción, pero antes de realizar esta labor, el router[9] examina su configuración para saber si es posible encaminar estos paquetes hacia el destino indicado en el encabezado IP13 del paquete o si la dirección desde la que se envía el paquete inspeccionado tiene permisos para llegar a la red especificada (fig #1). Entonces si el paquete pasa todas estas inspecciones prosigue entonces el proceso de routeo, pero al salir por la interfase seleccionada el paquete vuelve a ser inspeccionado similarmente. Además estas reglas no solo pueden especificar la dirección IP fuente o dirección IP destino, sino que además son capaces de verificar el puerto fuente y destino, el protocolo que se está usando para establecer la comunicación y otros aspectos. Así el router tiene varias características que puede verificar en cada paquete que llega a una de sus puertas para definir si lo puede encaminar (ruterar) o no.