noc@rediris.escert@rediris.es

Jornadas TécnicasRedIRIS 2000

Seguridad en listas de control de acceso

JT2000noc@rediris.es cert@rediris.es

Evitar ataques por Inundación Cómo descubrir la máquina conflictiva?

En la interfazip route-cache flow En el routersh ip cache flow Conviene exportarlo a un servidor cflow

Limitar tráfico en la interfaz:rate-limit input access-group 101 64000 8000 8000 conform-action transmit exceed-action drop

Aplicado al ICMPaccess-list 101 permit icmp any any

Extensible a cualquier servicio ICMP: permitir el acceso a RedIRIS

El extremo de la interfaz 130.206.1 y 130.206.224

JT2000noc@rediris.es cert@rediris.es

Puertos altos o anónimos

Depende de los sistemas, se debe analizar

No hay casos generales, las aplicaciones pueden cambiar de puerto ej. Napster, puede ayudar filtrar algunos puertos En la entrada a nuestro router:

access-list 170 deny tcp any <rango> gt 6660 lt 6670

No conviene saturar el router con listas inmensas

Filtrar en las máquinas

JT2000noc@rediris.es cert@rediris.es

Spoofing

Mediante CEF: Ip cef habilitado en el router Correr verificación de CEFip verify unicast reverse-path

Se carga la CPU del router Mediante ACL (Unico método si el camino

es asimétrico) en entrada, denegar tráfico originado en

direcciones dentro del centro Método recomendado para no cargar el router

JT2000noc@rediris.es cert@rediris.es

Otros Servicios

Por defecto, se deniegan todos Localizar los servidores Solo permitir el acceso a los puertos

deseados en dichos servidorespermit tcp any host x.x.x.x eq domain

smtp

www

ftp

(también UDP cuando sea necesario) Conexiones ftp a puertos anónimos:permit tcp any any ftp-data any gt 1024

análisis

JT2000noc@rediris.es cert@rediris.es

Configuración final

ftp://ftp.rediris.es/rediris/red/ip/docs/ejem-cisco.txt