Jornadas Técnicas RedIRIS 2000
-
Upload
oscar-diaz -
Category
Documents
-
view
31 -
download
1
description
Transcript of Jornadas Técnicas RedIRIS 2000
[email protected] [email protected]
Evitar ataques por Inundación Cómo descubrir la máquina conflictiva?
En la interfazip route-cache flow En el routersh ip cache flow Conviene exportarlo a un servidor cflow
Limitar tráfico en la interfaz:rate-limit input access-group 101 64000 8000 8000 conform-action transmit exceed-action drop
Aplicado al ICMPaccess-list 101 permit icmp any any
Extensible a cualquier servicio ICMP: permitir el acceso a RedIRIS
El extremo de la interfaz 130.206.1 y 130.206.224
[email protected] [email protected]
Puertos altos o anónimos
Depende de los sistemas, se debe analizar
No hay casos generales, las aplicaciones pueden cambiar de puerto ej. Napster, puede ayudar filtrar algunos puertos En la entrada a nuestro router:
access-list 170 deny tcp any <rango> gt 6660 lt 6670
No conviene saturar el router con listas inmensas
Filtrar en las máquinas
[email protected] [email protected]
Spoofing
Mediante CEF: Ip cef habilitado en el router Correr verificación de CEFip verify unicast reverse-path
Se carga la CPU del router Mediante ACL (Unico método si el camino
es asimétrico) en entrada, denegar tráfico originado en
direcciones dentro del centro Método recomendado para no cargar el router
[email protected] [email protected]
Otros Servicios
Por defecto, se deniegan todos Localizar los servidores Solo permitir el acceso a los puertos
deseados en dichos servidorespermit tcp any host x.x.x.x eq domain
smtp
www
ftp
(también UDP cuando sea necesario) Conexiones ftp a puertos anónimos:permit tcp any any ftp-data any gt 1024
análisis
[email protected] [email protected]
Configuración final
ftp://ftp.rediris.es/rediris/red/ip/docs/ejem-cisco.txt