SEGURIDAD EN LAS REDES CORPORATIVAS MEDIANTE NETWORK ADDRESS
TRANSLATION (NAT) Y PORT ADDRESS TRANSLATION (PAT)
SEGURIDAD EN LAS REDES CORPORATIVAS MEDIANTE NETWORK ADDRESS
TRANSLATION (NAT) Y PORT ADDRESS TRANSLATION (PAT) Ing. Marcelo
Flores Chacn
Abril 2011Introduccin y funcionamiento del NAT y PATNAT es un
mecanismo para modificar direcciones
IP.11111111.11111111.11111111.11111111 8 bits 8 bits 8 bits 8
bits
Permite a un host con IP privada (inside network), comunicarse
transparentemente con un host con IP pblica (outside network).
192.168.40.10 TRANSL. 10.17.16.10 Dir. Origen Dir.
DestinoIntroduccin y funcionamiento del NAT y PAT
Introduccin y funcionamiento del NAT y PATOpera sobre un
dispositivo de red fronterizo (router), que conecta las dos redes:
interna y externa (internet).
PAT traduce/asocia varias direcciones privadas (inside) a una
nica direccin global pblica (outside).192.168.40.10:50
10.17.16.10:50 Dir. Origen Pto. Origen Dir. Destino Pto.
Destino
Utiliza multiplexacin de puertos permitiendo tener hasta 6.400
sesiones simultneas. Ventaja: Si NAT agota el conjunto de
direcciones IP asignadas, PAT es utilizado hasta que sea liberada
alguna traduccin NAT.
Introduccin y funcionamiento del NAT y PAT
NAT Dinmico Principales CaractersticasInicialmente traduce
unidireccionalmente la IP inside net, hasta que el router reciba
trfico de la outside net.
La traduccin se realiza de un conjunto de direcciones privadas
previamente asignadas, luego se liberan.
Las traducciones dinmicas tienen un tiempo de vida en
inactividad (120 seg.), despus son eliminadas de la tabla NAT.
NAT Dinmico Principales Caractersticas
NAT Dinmico Configuracin y FuncionamientoDefinir las interfaces
NAT/PAT como inside/outside. Definir la funcin que se quiere que
realice NAT/PAT. a. Permitir a usuarios internos acceder a
internet?. b. Permitir a internet acceder a dispositivos de la red
interna?. c. Redireccionar trfico TCP a otro puerto/direccin TCP?.
d. Utilizar NAT durante una transicin o cambio en la red?. e.
Utilizar NAT para permitir redes con espacio de direccionamiento
reducido puedan comunicarse?.Configurar NAT/PAT acorde a lo que se
quiere hacer y que ha quedado definido en el paso 2. Entonces
utilizar: a. NAT esttico. b. NAT dinmico. c. PAT. d. Cualquier
combinacin de los anteriores.Verificar el funcionamiento de
NAT/PAT. NAT Dinmico Configuracin y FuncionamientoEj. El rango de
IPs Pblicas que nos da nuestro ISP es 194.194.194.0/29, con lo que
tenemos el siguiente rango disponible 194.194.194.1 -
194.194.194.6.Router_NAT(config)# ip nat pool RANGO 194.194.194.1
194.194.194.6 netmask 255.255.255.248 (creamos un pool con
direcciones pblicas).Router_NAT(config)# access-list 1 permit
192.168.1.0 0.0.0.255(hacemos un filtro de las IPs privadas que
podrn asignarse a las pblicas).Router_NAT(config)# ip nat inside
source list 1 pool RANGO overload(asignamos el rango de IPs
privadas que filtramos con la lista de acceso, con el rango de IPs
pblicas del pool RANGO).NAT Dinmico Configuracin y
FuncionamientoRouter_NAT(config)# interface fa0/0(vamos a la
interfaz de la LAN)Router_NAT(config-if)# ip nat inside(interfaz
conectada a la red interna)Router_NAT(config)# interface s0/0(vamos
a la interfaz serial)Router_NAT(config-if)# ip nat outside(interfaz
conectada a la red externa) Router_NAT(config)# ip nat translation
timeout 120(asignacin de IPs en un tiempo definido, en este caso
120 segundos).Router_NAT(config)# clear ip nat translation *(borra
la tabla NAT, as el anterior comando se ejecuta realmente). NAT
Dinmico Configuracin y
FuncionamientoENRUTAMIENTORouter_NAT(config)# ip route 0.0.0.0
0.0.0.0 s0/0 (cambiamos nuestra interfaz local s0/0 por la IP del
siguiente salto 194.194.194.2).Router_ISP(config)# ip route
194.194.194.0 255.255.255.0 s0/1 (cambiamos la interfaz s0/1 por la
IP del siguiente salto 194.194.194.1).OBSERVACIN
Router_NAT# show ip nat statistics(muestra cuantas traducciones
NAT estn siendo usadas, as como cuales son las interfaces inside y
outside).Router_NAT# show ip nat translationsRouter_NAT# show ip
nat translations verbose(muestran las IPs traducidas por NAT, as
como las IPs de inside y outside).
Protocolos que requieren atencin Tcnica: H.323Familia de
estndares ITU para comunicaciones multimedia sobre LAN.
Aplicacin ms conocida es Microsoft Netmeeting (Sesiones Video
Conferencia). Puertos TCP 1503 y TCP 1720
Posee protocolos que cubren distintos aspectos de la
comunicacin.
H.225 Control (sealizacin, registro/admisin, sincronizacin
voz).H.245 Sealizacin Canales Lgicos (tipo codif., apertura,
cierre).RSVP (Resource reSerVation Protocol) (especif. Trfico,
peticin reserva, disponibilidad recursos).
Protocolos que requieren atencin Tcnica: FTPTransferencia de
ficheros entre equipos Servidor y Cliente.
Crea una conexin virtual. Puerto TCP 21 (control) y TCP 20
(datos)
Parmetro que especifica la IP Addr. Cliente como el puerto
TCP.32 bits IP Addr. + 16 bits puerto TCP
File Transfer Protocol13Protocolos que requieren atencin Tcnica:
FTP PasivoSimilar a una sesin FTP normal.
El propio Cliente se encarga de abrir el canal de datos.
Servidor asigna el nmero de puerto.
Navegadores Microsoft Explorer inferiores a la
Ver.5.0.Protocolos que requieren atencin Tcnica: IRC y Soporte de
DCCOfrece el intercambio de mensajes de texto (chat).
Cliente IRC ms utilizado mIRC. Puerto TCP 1080 (IRC) y TCP 113
(mIRC)
Intercambio archivos/sesiones privadas a travs del DCC.
Importante: Configurar Local Info con el Lookup Method en modo
Server (saber direccin Pblica correspondiente).Internet Relay
ChatPuertos vulnerables a intrusiones maliciosasMensajera y
ConferenciasActive Worlds (IN TCP 3000 - 5670 - 7777 - 7000 a
7100)
Calista IP phone (IN TCP 5190, IN UDP 3000)
Internet Phone (OUT UDP 22555)
mIRC Chat (OUT TCP 100) (IN TCP 101)
mIRC Fserve (OUT TCP 110) (IN TCP 111)
mIRC IDENT (IN UDP 113)
mIRC Send (OUT TCP 120) (IN TCP 121)
Fuente: http://practicallynetworked.com/sharing
/app_port_list.htm16Puertos vulnerables a intrusiones maliciosasMSN
Messenger (IN TCP 6891 a 6900 - 1863) File Send (IN UDP 1863 - 5190
- 6901) Voice Communications
PhoneFree (IN TCP 1035) Voice in/out (2644 - 8000) Personal
Communication Center - Server Access (IN UDP 1034) Voice in/out
(9900 - 9901) Pc-To-Phone Calls
Polycom ViaVideo (IN TCP 3230 - 3235) dial out (IN UDP 3230 -
3235) dial out
Yahoo Messenger Chat (IN TCP 5000 - 5001)
Yahoo Messenger Phone (IN UDP 5055)Fuente:
http://practicallynetworked.com/sharing /app_port_list.htmPuertos
vulnerables a intrusiones maliciosasAudio y VideoGNUtella (IN
TCP/UDP 6346)
Napster (IN/OUT TCP 6699)
Quick Time Server (IN TCP/UDP 6970 - 7000)
Quick Time Client & RealAudio (OUT TCP 554) (IN UDP 6970 -
32000)
RealAudio (OUT TCP 7070) (IN UDP 6970 - 7170)
ShoutCast Server (IN TCP 8000 - 8005)
Fuente: http://practicallynetworked.com/sharing
/app_port_list.htm18Puertos vulnerables a intrusiones
maliciosasJuegosAlien vs. Predator (IN UDP 80 - 2300 - 2400 - 8000
- 8999)
Myth, Myth II Server(IN TCP 3453)
Delta Force Client&Server (IN/OUT TCP/UDP 3100 - 3999) (OUT
UDP 3568)
Elite Force (IN UDP 26000 - 27500 - 27910 - 27960)
Half Life Server (IN TCP 27015)
Heretic II Server (IN TCP 28910)Fuente:
http://practicallynetworked.com/sharing /app_port_list.htmPuertos
vulnerables a intrusiones maliciosasMSN Game Zone (IN TCP 6667 -
28800 - 29000) DX support (IN TCP/UDP 47624 - 2300 - 2400)
Need for Speed - Porche (IN UDP 9442)
Quake2 & QuakeIII (IN UDP 27910) & (IN UDP
27660,27661,27662)
Rainbow Six (IN/OUT TCP 2346)
Starcraft (IN UDP 6112)Fuente:
http://practicallynetworked.com/sharing /app_port_list.htmPuertos
vulnerables a intrusiones maliciosasOtros puertos comunesFTP Server
(IN TCP 21)
POP3 Mail Server (IN TCP 110)
SMTP (IN TCP 25)
Telnet (IN TCP 23)
Web (IN TCP 80)
BayVPN (OUT UDP 500)
Fuente: http://practicallynetworked.com/sharing
/app_port_list.htmPuertos vulnerables a intrusiones
maliciosasCITRIX Metaframe (IN TCP 1494)
Lotus Note Server (IN TCP 1352)
Network Time Protocol (NTP) (IN/OUT UDP 123)
Virtual Network Computing (VNC) (IN TCP 5500 5800 - 5900)
Windows 2000 Terminal Server (IN TCP/UDP 3389)
VPN Windows (IN TCP 1723)
Fuente: http://practicallynetworked.com/sharing
/app_port_list.htmGRACIAS
