Jornadas Técnicas RedIRIS 2000

6
[email protected] [email protected] Jornadas Técnicas RedIRIS 2000 Seguridad en listas de control de acceso

description

Jornadas Técnicas RedIRIS 2000. Seguridad en listas de control de acceso. Evitar ataques por Inundación. Cómo descubrir la máquina conflictiva? En la interfaz ip route-cache flow En el router sh ip cache flow Conviene exportarlo a un servidor cflow Limitar tráfico en la interfaz: - PowerPoint PPT Presentation

Transcript of Jornadas Técnicas RedIRIS 2000

Page 1: Jornadas Técnicas RedIRIS 2000

[email protected]@rediris.es

Jornadas TécnicasRedIRIS 2000

Seguridad en listas de control de acceso

Page 2: Jornadas Técnicas RedIRIS 2000

[email protected] [email protected]

Evitar ataques por Inundación Cómo descubrir la máquina conflictiva?

En la interfazip route-cache flow En el routersh ip cache flow Conviene exportarlo a un servidor cflow

Limitar tráfico en la interfaz:rate-limit input access-group 101 64000 8000 8000 conform-action transmit exceed-action drop

Aplicado al ICMPaccess-list 101 permit icmp any any

Extensible a cualquier servicio ICMP: permitir el acceso a RedIRIS

El extremo de la interfaz 130.206.1 y 130.206.224

Page 3: Jornadas Técnicas RedIRIS 2000

[email protected] [email protected]

Puertos altos o anónimos

Depende de los sistemas, se debe analizar

No hay casos generales, las aplicaciones pueden cambiar de puerto ej. Napster, puede ayudar filtrar algunos puertos En la entrada a nuestro router:

access-list 170 deny tcp any <rango> gt 6660 lt 6670

No conviene saturar el router con listas inmensas

Filtrar en las máquinas

Page 4: Jornadas Técnicas RedIRIS 2000

[email protected] [email protected]

Spoofing

Mediante CEF: Ip cef habilitado en el router Correr verificación de CEFip verify unicast reverse-path

Se carga la CPU del router Mediante ACL (Unico método si el camino

es asimétrico) en entrada, denegar tráfico originado en

direcciones dentro del centro Método recomendado para no cargar el router

Page 5: Jornadas Técnicas RedIRIS 2000

[email protected] [email protected]

Otros Servicios

Por defecto, se deniegan todos Localizar los servidores Solo permitir el acceso a los puertos

deseados en dichos servidorespermit tcp any host x.x.x.x eq domain

smtp

www

ftp

(también UDP cuando sea necesario) Conexiones ftp a puertos anónimos:permit tcp any any ftp-data any gt 1024

análisis

Page 6: Jornadas Técnicas RedIRIS 2000

[email protected] [email protected]

Configuración final

ftp://ftp.rediris.es/rediris/red/ip/docs/ejem-cisco.txt