CCNA_SEC_v11 Cap_04_part_I_EB
Upcoming SlideShare
Loading in...5
×
 

CCNA_SEC_v11 Cap_04_part_I_EB

on

  • 2,065 views

 

Statistics

Views

Total Views
2,065
Views on SlideShare
2,064
Embed Views
1

Actions

Likes
0
Downloads
171
Comments
1

1 Embed 1

https://twitter.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Muy bien explicado lo expresado en las diapositivas nros 18 y 19-
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

CCNA_SEC_v11 Cap_04_part_I_EB CCNA_SEC_v11 Cap_04_part_I_EB Presentation Transcript

  • Implementación deTecnologías de Firewall© 2012 Cisco and/or its affiliates. All rights reserved. 1
  • • Los firewalls separan redes protegidos de redes no protegidas, previniendo a usuarios no autorizados a los recursos de red protegidos:• Tecnologías implementadas: – ACLs • Estándars, extendidas, numeradas y ACLs nombradas – ACLs Avanzadas • Stateful firewall - ACLs con la palabra clave established • ACLs Reflexivas (dinamicas), ACLs basadas en tiempo – Característica de Zone-Based Firewall (ZBFW)© 2012 Cisco and/or its affiliates. All rights reserved. 2
  • • Packet-filtering firewall• Stateful firewall© 2012 Cisco and/or its affiliates. All rights reserved. 3
  • ACLs© 2012 Cisco and/or its affiliates. All rights reserved. 4
  • • Virtualmente cualquier tipo de trafico puede ser definido explícitamente usando una ACL numerada apropiadamente. 1-99 , 1300-1999 100-199 , 2000-2699© 2012 Cisco and/or its affiliates. All rights reserved. 5
  • • Nota: – Puede ser aplicadas a una interface en dirección entrante o saliendo con el comando ip access-group. – En la VTY se implementa con el comando access-class.© 2012 Cisco and/or its affiliates. All rights reserved. 6
  • R1(config)# ip access-list standard RESTRICT-VTY R1(config-std-nacl)# remark Permit only Admin host R1(config-std-nacl)# permit host 192.168.1.10 R1(config-std-nacl)# exit R1(config)# line vty 0 4 R1(config-line)# access-class RESTRICT-VTY R1(config-line)# exit© 2012 Cisco and/or its affiliates. All rights reserved. 7
  • © 2012 Cisco and/or its affiliates. All rights reserved. 8
  • • Cree una ACL extendida llamada ACL-1 y aplíquela de manera entrante en la interface Fa0/0, para denegar el trafico saliente del servidor workgroup pero que permita el trafico restante de los usuarios de la LAN haciendo uso de la palabra clave established . R1(config)# ip access-list extended ACL-1 R1(config-ext-nacl)# remark LAN ACL R1(config-ext-nacl)# deny ip host 192.168.1.6 any R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any established R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface Fa0/0 R1(config-if)# ip access-group ACL-1 in R1(config-if)# exit© 2012 Cisco and/or its affiliates. All rights reserved. 9
  • • Cree una ACL extendida llamada ACL-2 y apliquela de salida en la interface DMZ Fa0/1, permitiendo el acceso especificamente a los servidores Web y Email. R1(config)# ip access-list extended ACL-2 R1(config-ext-nacl)# remark DMZ ACL R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25 R1(config-ext-nacl)# permit tcp any host 192.168.2.6 eq 80 R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# interface Fa0/1 R1(config-if)# ip access-group ACL-2 out R1(config-if)# exit El parámetro log puede ser anexado al final de la sentencia ACL. permit tcp any host 192.168.2.6 eq 80 log© 2012 Cisco and/or its affiliates. All rights reserved. 10
  • • Una vez configurado, el IOS compara los paquetes y encuentra una coincidencia con la sentencia.• El router entonces registra cualquiera de estas, ya sea por: – La consola – El buffer interno – Un syslog server© 2012 Cisco and/or its affiliates. All rights reserved. 11
  • • Algunas partes de la información son registradas: – Acción - permitir o denegar – Protocolo - TCP, UDP o ICMP – Direcciones Origen y Destino – Para TCP y UDP – números de puertos origen y destino – Para ICMP – tipos de mensajes• Los mensajes se procesan de manera conmutada, de acuerdo a la coincidencia del primer paquete y después a intervalos de cinco minutos.© 2012 Cisco and/or its affiliates. All rights reserved. 12
  • • Un comando útil para ver la operación de una lista de acceso es el comando show log.• Para resetear los contadores, use el comando clear ip access-list counter [number | name].© 2012 Cisco and/or its affiliates. All rights reserved. 13
  • • Por defecto cuando añadimos una sentencia a una ACL esta se añade al final. Sin los números de secuencia la única forma de añadir una declaración entre las entradas existentes consiste en borrar la ACL, editarla y volver a crearla.• Las ACL IP con números de secuencia permite agregar o eliminar de forma selectiva una sentencia en cualquier posición dentro de la ACL.• Para crear una ACL nombrada extendida use el siguiente comando: ip access-list {standard | extended} access- list-name command.© 2012 Cisco and/or its affiliates. All rights reserved. 14
  • • show running-config o show startup-config• show ip access-lists access-list-name• show access-list• Por defecto los números de secuencia comienzan en 10 y se incrementan en valores de 10 si no se especifica cuando se añaden sentencias a la ACL.© 2012 Cisco and/or its affiliates. All rights reserved. 15
  • • Verificación, haciendo uso del comando show para ver los números de secuencia actuales. R1# show access-list 150 Extended IP acess list 150 10 permit tcp any any eq www 20 permit tcp any any eq telnet 30 permit tcp any any eq smtp 40 permit tcp any any eq pop3 50 permit tcp any any eq 21 60 permit tcp any any eq 20• Use el comando no sequence-number para borrar una sentencia. R1(config)# ip access-list extended 150 R1(config-ext-nacl)# no 20• Use el comando sequence-number {permit | deny} para agregar la nueva sentencia a la ACL. R1(config)# ip access-list extended 150 R1(config-ext-nacl)# 20 permit tcp host 192.168.1.100 any eq telnet© 2012 Cisco and/or its affiliates. All rights reserved. 16
  • Localización de la ACL© 2012 Cisco and/or its affiliates. All rights reserved. 17
  • © 2012 Cisco and/or its affiliates. All rights reserved. 18
  • © 2012 Cisco and/or its affiliates. All rights reserved. 19
  • • Las ACLs estándar: – Se ubican los más cercano al destino como sea posible. – Debido a que estas filtran paquetes basado en las direcciones de origen del trafico.• Las ACLs extendidas: – Se ubican lo más cercano al origen como sea posible al trafico que se desea filtrar. – La ubicación demasiado lejos de la fuente hace que el uso sea ineficiente para los recursos de la red porque los paquetes se pueden enviar muy lejos sólo para denegarlos.© 2012 Cisco and/or its affiliates. All rights reserved. 20
  • Configuración de ACLs usandoCCP© 2012 Cisco and/or its affiliates. All rights reserved. 21
  • © 2012 Cisco and/or its affiliates. All rights reserved. 22
  • © 2012 Cisco and/or its affiliates. All rights reserved. 23
  • © 2012 Cisco and/or its affiliates. All rights reserved. 24
  • © 2012 Cisco and/or its affiliates. All rights reserved. 25
  • © 2012 Cisco and/or its affiliates. All rights reserved. 26
  • ACLs Complejas© 2012 Cisco and/or its affiliates. All rights reserved. 27
  • • En una red moderna todo el tráfico desde el exterior se debe bloquear a menos que: – Queda expresamente permitido por una ACL. – Se está retornando tráfico iniciado desde el interior de la red.• Muchas de las aplicaciones comunes se basan en TCP, el cual construye un circuito virtual entre dos puntos finales.• Las soluciones para el filtrado de tráfico basado en la conectividad de dos vías de TCP son: – TCP establecida – ACL reflexiva© 2012 Cisco and/or its affiliates. All rights reserved. 28
  • • En 1995, la primera generación de solución de filtrado de trafico basado en TCP establecida como palabra clave en ACL extendidas. – La palabra established de TCP bloquea todo el tráfico procedente de Internet, excepto para el tráfico de respuesta TCP iniciada desde dentro de la red.• La palabra clave established obliga al router a comprobar si el indicador de control TCP ACK o RST está activado. – Si el flag ACK está establecida, el tráfico TCP se le permite entrar – Si no, se asume que el tráfico está asociado a una conexión nueva iniciada desde el exterior.© 2012 Cisco and/or its affiliates. All rights reserved. 29
  • R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established R1(config)# access-list 100 deny ip any any R1(config)# interface s0/0/0 R1(config-if)# ip access-group 100 in© 2012 Cisco and/or its affiliates. All rights reserved. 30
  • • En 1996, la segunda generación de solución para el filtrado de la sesión fue las ACLs reflexivas.• A diferencia de la función de red TCP que acaba de utilizar los bits ACK y RST, el filtro de ACLs reflexivas en dirección de origen de destino o números de puerto.• Además, el filtrado de sesión utiliza filtros temporales que se eliminan cuando una sesión culmina añadiendo un límite de tiempo si se esta en oportunidad de un ataque.© 2012 Cisco and/or its affiliates. All rights reserved. 31
  • • Los administradores de red utilizan las ACLs reflexivas para permitir el tráfico IP de las sesiones procedentes de su red al tiempo que niega el tráfico IP de las sesiones que se originan fuera de la red.• El router examina el tráfico de salida y cuando ve una nueva conexión, se agrega una entrada en una ACL temporal para permitir las respuestas hacia adentro© 2012 Cisco and/or its affiliates. All rights reserved. 32
  • • Paso 1. – Crear una ACL interna que busca nuevas sesiones salientes y crea ACL reflexivas temporales.• Paso 2. – Crear una ACL externa que utiliza las ACLs reflexivas para examinar el tráfico de retorno.• Paso 3. – Activar la ACL nombrada en la Interface apropiada.© 2012 Cisco and/or its affiliates. All rights reserved. 33
  • • Crear una ACL reflexiva que permita a los usuarios internos que navegan a Internet con un navegador web y confiando en DNS con un tiempo de espera de 10 segundos. R1(config)# ip access-list extended INTERNAL_ACL R1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10 R1(config-ext-nacl)# exit R1(config)# ip access-list extended EXTERNAL_ACL R1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface s0/0/0 R1(config-if)# ip access-group INTERNAL_ACL out R1(config-if)# ip access-group EXTERNAL_ACL in© 2012 Cisco and/or its affiliates. All rights reserved. 34
  • • Las ACLs dinámicas son también llamadas las ACL de cerradura.• Las ACLs dinámicas autentican al usuario y permite un acceso limitado a través de su router firewall para un host o subred por un período determinado.• ACL dinámicas son dependientes de: – Telnet conectividad – Autenticación (local o remota) – ACL extendidas.© 2012 Cisco and/or its affiliates. All rights reserved. 35
  • • Una ACL extendida es aplicada para bloquear todo el trafico a través del router excepto el Telnet. – Los usuarios que quieran atravesar el router se bloquean por la ACL, hasta que usan Telnet para conectarse al router y se autentican.• Los usuarios se autentican mediante Telnet y luego se descartan. – Sin embargo, una sentencia de entrada dinámica se agrega a la ACL extendida existente. – Esto permite que el tráfico curse durante un período determinado; tiempos de espera de inactividad y absoluto sean posibles.© 2012 Cisco and/or its affiliates. All rights reserved. 36
  • © 2012 Cisco and/or its affiliates. All rights reserved. 37
  • • Cuando se desee que un usuario remoto específico o grupo de usuarios remotos acceden a un host dentro de la red, conectándose desde sus equipos remotos a través de Internet.• Cuando se desea que un subconjunto de hosts en una red local accedan a un host en una red remota que está protegida por un firewall.© 2012 Cisco and/or its affiliates. All rights reserved. 38
  • R3(config)# username Student password cisco R3(config)# access-list 101 permit tcp any host 10.2.2.2 eq telnet R3(config)# access-list 101 dynamic TESTLIST timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255 R3(config)# interface s0/0/1 R3(config-if)# ip access-group 101 in R3(config-if)# exit R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)# autocommand access-enable host timeout 15© 2012 Cisco and/or its affiliates. All rights reserved. 39
  • © 2012 Cisco and/or its affiliates. All rights reserved. 40
  • 1. Crear un rango de tiempo que define momentos específicos del día y de la semana.2. Identificar el rango de tiempo con un nombre y a continuación se refiere a ella por una función.3. Las restricciones de tiempo se imponen a la propia función.© 2012 Cisco and/or its affiliates. All rights reserved. 41
  • • Los usuarios no están autorizados a acceder a Internet durante horas de oficina, excepto durante el almuerzo y después de las horas entre las 5 P.M. y las 7 P.M. R1(config)# time-range EMPLOYEE-TIME R1(config-time-range)# periodic weekdays 12:00 to 13:00 R1(config-time-range)# periodic weekdays 17:00 to 19:00 R1(config-time-range)# exit R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIME R1(config)# access-list 100 deny ip any any R1(config)# interface FastEthernet 0/1 R1(config-if)# ip access-group 100 in R1(config-if)# exit© 2012 Cisco and/or its affiliates. All rights reserved. 42
  • Troubleshooting de ACLs© 2012 Cisco and/or its affiliates. All rights reserved. 43
  • • Los dos comands utiles para el troubleshooting de ACLs: – show access-lists – debug ip packet (detail)© 2012 Cisco and/or its affiliates. All rights reserved. 44
  • © 2012 Cisco and/or its affiliates. All rights reserved. 45
  • © 2012 Cisco and/or its affiliates. All rights reserved. 46
  • Mitigación de Ataques con ACLs© 2012 Cisco and/or its affiliates. All rights reserved. 47
  • • Las ACLs se pueden utilizar para mitigar muchas de las amenazas de la red: – Falsificación de direcciones IP, entrante o salientes – Ataques de DoS TCP SYN – Ataques de smurf DoS• Las ACLs tambien pueden filtrar los siguientes tipos de trafico: – Mensajes de ICMP entrante o salientes – traceroute© 2012 Cisco and/or its affiliates. All rights reserved. 48
  • • Denegar todos los paquetes IP que contengan las siguientes direcciones IP en su campo de origen: – Cualquier dirección de host local (127.0.0.0/8) – Cualquier dirección del RFC 1918 – Cualquier dirección en el rango de IP Multicast (224.0.0.0/4) Inbound on S0/0/0 R1(config)# access-list 150 deny ip 0.0.0.0 0.255.255.255 any R1(config)# access-list 150 deny ip 10.0.0.0 0.255.255.255 any R1(config)# access-list 150 deny ip 127.0.0.0 0.255.255.255 any R1(config)# access-list 150 deny ip 172.16.0.0 0.15.255.255 any R1(config)# access-list 150 deny ip 192.168.0.0 0.0.255.255 any R1(config)# access-list 150 deny ip 224.0.0.0 15.255.255.255 any R1(config)# access-list 150 deny ip host 255.255.255.255 any© 2012 Cisco and/or its affiliates. All rights reserved. 49
  • • No permita que los paquetes IP salientes con una dirección de origen distinto a una dirección IP válida de la red interna. Inbound on Fa0/1 R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any© 2012 Cisco and/or its affiliates. All rights reserved. 50
  • • DNS, SMTP y FTP son servicios comunes que a menudo se debe permitir a través de un firewall Outbound on Fa0/0 R1(config)# access-list 180 permit udp any host 192.168.20.2 eq domain R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq smtp R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq ftp R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq telnet R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq 22 R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq syslog R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq snmptrap© 2012 Cisco and/or its affiliates. All rights reserved. 51
  • • Los hackers utilizan paquetes ICMP para barridos de pings y ataques de DoS, el uso de mensajes de redirección ICMP para modificar las tablas de enrutamiento de host. – Tanto el eco de ICMP y redirección de los mensajes deben ser bloqueados de forma entrante por el router.© 2012 Cisco and/or its affiliates. All rights reserved. 52
  • – Echo reply - permite a los usuarios internos hacer ping a los hosts externos. – Source quench - Pide al remitente disminuir la tasa de tráfico. – Unreachable - Mensajes inalcanzables se generan para los paquetes que son denegados por una ACL. Inbound on S0/0/0 R1(config)# access-list 150 permit icmp any any echo-reply R1(config)# access-list 150 permit icmp any any source-quench R1(config)# access-list 150 permit icmp any any unreachable R1(config)# access-list 150 deny icmp any any R1(config)# access-list 150 permit ip any any© 2012 Cisco and/or its affiliates. All rights reserved. 53
  • – Echo – permite a los usuarios hacer ping a los hosts externos. – Parameter problem – Informa al host de problemas de encabezado. – Packet too big – Requerido por el paquete de descubrimiento de MTU. – Source quench - Acelera el tráfico cuando sea necesario. Inbound on Fa0/0 R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any echo R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any parameter-problem R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any packet-too-big R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any source-quench R1(config)# access-list 105 deny icmp any any R1(config)# access-list 105 permit ip any any© 2012 Cisco and/or its affiliates. All rights reserved. 54
  • ACLs IPv6© 2012 Cisco and/or its affiliates. All rights reserved. 55
  • • Las ACLs en IPv6 son similares a las ACLs de IPv4.• Las ACLs en IPv6 se crean usando el comando – ipv6 access-list.• Las ACLs IPv6 se aplican a una interface mediante el comando – ipv6 traffic-filter access-list-name {in | out}© 2012 Cisco and/or its affiliates. All rights reserved. 56
  • – permit icmp any any nd-na (neighbor advertisements) – permit icmp any any nd-ns (neighbor solicitations)• Al igual que con las ACLs IPv4, todas las ACL IPV6 incluyen una sentencia final implicita. – deny ipv6 any any© 2012 Cisco and/or its affiliates. All rights reserved. 57
  • Object Groups© 2012 Cisco and/or its affiliates. All rights reserved. 58
  • • Object groups son usados para clasificar usuarios, dispositivos o protocolo en grupos.• Estos grupos se pueden utilizar para crear políticas de control de acceso para grupos de objetos• Tanto las ACLs IPv4 e IPv6 se pueden utilizar en grupos de objetos.© 2012 Cisco and/or its affiliates. All rights reserved. 59
  • • En esta topología, hay 3 servidores, cada uno requiriend acceso desde fuera de la red• Sin grupos de objetos, tenemos que configurar una declaración de permiso para cada servidor, para cada protocolo: R1(config)# ip access-list extended In R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq smtp R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq www R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq https R1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq smtp R1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq www R1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq https R1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq smtp R1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq www R1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq https• Pero, ¿y si otros servidores o protocolos se añaden más tarde? Usted tendrá que editar la ACL!© 2012 Cisco and/or its affiliates. All rights reserved. 60
  • • Para la misma topología, haciendo uso de la configuración de object group previa, primero se crea el grupo de objetos de servicios: R1(config)# object-group service Web-svcs tcp R1(config-service-group)# tcp smtp R1(config-service-group)# tcp www R1(config-service-group)# tcp https• Luego, cree el objeto de red para los servidores: R1(config)# object-group network Webservers R1(config-network-group)# range 10.10.10.1 10.10.10.3• Por último, se crea la ACL: R1(config)# ip access-list extended In R1(config-ext-nacl)# access-list In permit tcp any object-group Webservers object-group Web-svcs• Cuando se agrega un nuevo servidor o servicio, simplemente se edita el object group…No se toca la ACL!© 2012 Cisco and/or its affiliates. All rights reserved. 61