Ccnas - Firewall - Spa

Implementacin de Tecnologas de Firewall
2012 Cisco and/or its affiliates. All rights reserved.
Los firewalls separan redes protegidos de redes no protegidas,
previniendo a usuarios no autorizados a los recursos de red protegidos:

Tecnologas implementadas:
ACLs
Estndares, extendidas, numeradas y ACLs nombradas Stateful firewall - ACLs con la palabra clave established ACLs Reflexivas (dinmicas), ACLs basadas en tiempo
ACLs Avanzadas
Caracterstica de Zone-Based Firewall.
Packet-filtering firewall
Stateful firewall
ACLs
Virtualmente
cualquier tipo de trafico puede ser definido explcitamente usando una ACL numerada apropiadamente.
1-99 , 1300-1999 100-199 , 2000-2699
Nota:
Puede ser aplicadas a una interface en direccin entrante o saliendo con el comando ip access-group.
En la VTY se implementa con el comando access-class.
R1(config)# ip access-list standard RESTRICT-VTY R1(config-std-nacl)# remark Permit only Admin host R1(config-std-nacl)# permit host 192.168.1.10 R1(config-std-nacl)# exit R1(config)# line vty 0 4 R1(config-line)# access-class RESTRICT-VTY R1(config-line)# exit
Cree una ACL extendida llamada ACL-1 y aplquela de manera entrante
en la interface Fa0/0, para denegar el trafico saliente del servidor workgroup pero que permita el trafico restante de los usuarios de la LAN haciendo uso de la palabra clave established .
R1(config)# ip access-list extended ACL-1 R1(config-ext-nacl)# remark LAN ACL R1(config-ext-nacl)# deny ip host 192.168.1.6 any R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any established R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface Fa0/0 R1(config-if)# ip access-group ACL-1 in R1(config-if)# exit
Cree una ACL extendida llamada ACL-2 y apliquela de salida en
la interface DMZ Fa0/1, permitiendo el acceso especificamente a los servidores Web y Email.
R1(config)# ip access-list extended ACL-2 R1(config-ext-nacl)# remark DMZ ACL R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25 R1(config-ext-nacl)# permit tcp any host 192.168.2.6 eq 80 R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# interface Fa0/1 R1(config-if)# ip access-group ACL-2 out R1(config-if)# exit
El parmetro log puede ser anexado al final de la sentencia ACL.

permit tcp any host 192.168.2.6 eq 80 log
10
Una vez configurado, el IOS compara los paquetes y encuentra
una coincidencia con la sentencia.

El router entonces registra cualquiera de estas, ya sea por:
La consola El buffer interno Un syslog server
11
Algunas partes de la informacin son registradas:

Accin - permitir o denegar Protocolo - TCP, UDP o ICMP Direcciones Origen y Destino Para TCP y UDP nmeros de puertos origen y destino Para ICMP tipos de mensajes
Los mensajes se procesan de manera conmutada, de acuerdo a
la coincidencia del primer paquete y despus a intervalos de cinco minutos.
12
Un comando til para ver la operacin de una lista de acceso es
el comando show log.

Para resetear los contadores, use el comando
clear ip access-list counter [number | name].
13
Por defecto cuando aadimos una sentencia a una ACL esta se
aade al final. Sin los nmeros de secuencia la nica forma de aadir una declaracin entre las entradas existentes consiste en borrar la ACL, editarla y volver a crearla.
Las ACL IP con nmeros de secuencia permite agregar o eliminar
de forma selectiva una sentencia en cualquier posicin dentro de la ACL.

Para crear una ACL nombrada extendida use el siguiente
comando:
ip access-list {standard list-name command.
extended}
access-
14
show running-config o show startup-config show ip access-lists access-list-name
show access-list
Por defecto los nmeros de secuencia comienzan en 10 y se
incrementan en valores de 10 si no se especifica cuando se aaden sentencias a la ACL.
15
Verificacin, haciendo uso del comando show para ver los
nmeros de secuencia actuales.

R1# show access-list 150 Extended IP acess list 150 10 permit tcp any any eq 20 permit tcp any any eq 30 permit tcp any any eq 40 permit tcp any any eq 50 permit tcp any any eq 60 permit tcp any any eq www telnet smtp pop3 21 20
Use el comando no sequence-number para borrar una
sentencia.
R1(config)# ip access-list extended 150 R1(config-ext-nacl)# no 20
Use el comando sequence-number {permit | deny} para
agregar la nueva sentencia a la ACL.

R1(config)# ip access-list extended 150 R1(config-ext-nacl)# 20 permit tcp host 192.168.1.100 any eq telnet
16
Localizacin de la ACL
17
18
19
Las ACLs estndar:

Se ubican los ms cercano al destino como sea posible. Debido a que estas filtran paquetes basado en las direcciones de origen del trafico.
Las ACLs extendidas:

Se ubican lo ms cercano al origen como sea posible al trafico que se desea filtrar. La ubicacin demasiado lejos de la fuente hace que el uso sea ineficiente para los recursos de la red porque los paquetes se pueden enviar muy lejos slo para denegarlos.
20
21
22
Configuracin de ACLs usando CCP
23
24
25
26
27
28
ACLs Complejas
29
En una red moderna todo el trfico desde el exterior se debe
bloquear a menos que:

Queda expresamente permitido por una ACL. Se est retornando trfico iniciado desde el interior de la red.
Muchas de las aplicaciones comunes se basan en TCP, el cual
construye un circuito virtual entre dos puntos finales.

Las
soluciones para el filtrado de trfico basado en la conectividad de dos vas de TCP son:
TCP establecida ACL reflexiva
30
En 1995, la primera generacin de solucin de filtrado de trafico
basado en TCP establecida como palabra clave en ACL extendidas.

La palabra established de TCP bloquea todo el trfico procedente de Internet, excepto para el trfico de respuesta TCP iniciada desde dentro de la red.
La palabra clave established obliga al router a comprobar si el
indicador de control TCP ACK o RST est activado.

Si el flag ACK est establecida, el trfico TCP se le permite entrar Si no, se asume que el trfico est asociado a una conexin nueva iniciada desde el exterior.
31
Usando la palabra established keyword no implementa
un cortafuegos stateful en un router

El parmetro established permite cualquier segmento TCP con el indicador de control apropiado (flag).
32
R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established R1(config)# access-list 100 deny ip any any R1(config)# interface s0/0/0 R1(config-if)# ip access-group 100 in
33
En 1996, la segunda generacin de solucin para el filtrado de la
sesin fue las ACLs reflexivas.

A diferencia de la funcin de red TCP que acaba de utilizar los
bits ACK y RST, el filtro de ACLs reflexivas en direccin de origen de destino o nmeros de puerto.
Adems, el filtrado de sesin utiliza filtros temporales que se
eliminan cuando una sesin culmina aadiendo un lmite de tiempo si se esta en oportunidad de un ataque.
34
Los administradores de red utilizan las ACLs reflexivas para
permitir el trfico IP de las sesiones procedentes de su red al tiempo que niega el trfico IP de las sesiones que se originan fuera de la red.
El router examina el trfico de salida y cuando ve una nueva
conexin, se agrega una entrada en una ACL temporal para permitir las respuestas hacia adentro
35
Paso 1.
Crear una ACL interna que busca nuevas sesiones salientes y crea ACL reflexivas temporales.
Paso 2.
Crear una ACL externa que utiliza las ACLs reflexivas para examinar el trfico de retorno.
Paso 3.
Activar la ACL nombrada en la Interface apropiada.
36
Crear
una ACL reflexiva que permita a los usuarios internos que navegan a Internet con un navegador web y confiando en DNS con un tiempo de espera de 10 segundos.
R1(config)# ip access-list extended INTERNAL_ACL R1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10 R1(config-ext-nacl)# exit R1(config)# ip access-list extended EXTERNAL_ACL R1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface s0/0/0 R1(config-if)# ip access-group INTERNAL_ACL out R1(config-if)# ip access-group EXTERNAL_ACL in
37
Las ACLs dinmicas son tambin llamadas las ACL de cerradura. Las ACLs dinmicas autentican al usuario y permite un acceso
limitado a travs de su router firewall para un host o subred por un perodo determinado.
ACL dinmicas son dependientes de:
Telnet conectividad Autenticacin (local o remota) ACL extendidas.
38
Una ACL extendida es aplicada para bloquear todo el trafico a
travs del router excepto el Telnet.

Los usuarios que quieran atravesar el router se bloquean por la ACL, hasta que usan Telnet para conectarse al router y se autentican.
Los usuarios se autentican mediante Telnet y luego se descartan.

Sin embargo, una sentencia de entrada dinmica se agrega a la ACL extendida existente. Esto permite que el trfico curse durante un perodo determinado; tiempos de espera de inactividad y absoluto sean posibles.
39
40
Cuando se desee que un usuario remoto especfico o grupo de
usuarios remotos acceden a un host dentro de la red, conectndose desde sus equipos remotos a travs de Internet.
Cuando se desea que un subconjunto de hosts en una red local
accedan a un host en una red remota que est protegida por un firewall.
41
R3(config)# username Student password cisco R3(config)# access-list 101 permit tcp any host 10.2.2.2 eq telnet R3(config)# access-list 101 dynamic TESTLIST timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255 R3(config)# interface s0/0/1 R3(config-if)# ip access-group 101 in R3(config-if)# exit R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)# autocommand access-enable host timeout 15
42
43
1.
Crear un rango de tiempo que define momentos especficos del da y de la semana. Identificar el rango de tiempo con un nombre y a continuacin se refiere a ella por una funcin. Las restricciones de tiempo se imponen a la propia funcin.
2.
3.
44
Los usuarios no estn autorizados a
acceder a Internet durante horas de oficina, excepto durante el almuerzo y despus de las horas entre las 5 P.M. y las 7 P.M.
R1(config)# time-range EMPLOYEE-TIME R1(config-time-range)# periodic weekdays 12:00 to 13:00 R1(config-time-range)# periodic weekdays 17:00 to 19:00 R1(config-time-range)# exit R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIME R1(config)# access-list 100 deny ip any any R1(config)# interface FastEthernet 0/1 R1(config-if)# ip access-group 100 in R1(config-if)# exit
45
Troubleshooting de ACLs Solucin de Problemas
46
Los dos comands utiles para el troubleshooting de ACLs:

show access-lists debug ip packet (detail)
47
48
49
Mitigacin de Ataques con ACLs
50
Las ACLs se pueden utilizar para mitigar muchas de las
amenazas de la red:
Falsificacin de direcciones IP, entrante o salientes Ataques de DoS TCP SYN Ataques de smurf DoS
Las ACLs tambien pueden filtrar los siguientes tipos de trafico:

Mensajes de ICMP entrante o salientes traceroute
51
Denegar todos los paquetes IP que
contengan las siguientes direcciones IP en su campo de origen:
Cualquier direccin de host local (127.0.0.0/8)

Cualquier direccin del RFC 1918 Cualquier direccin en el rango de IP Multicast (224.0.0.0/4)
Inbound on S0/0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list access-list access-list 150 150 150 150 150 150 150 deny deny deny deny deny deny deny ip ip ip ip ip ip ip 0.0.0.0 0.255.255.255 any 10.0.0.0 0.255.255.255 any 127.0.0.0 0.255.255.255 any 172.16.0.0 0.15.255.255 any 192.168.0.0 0.0.255.255 any 224.0.0.0 15.255.255.255 any host 255.255.255.255 any
52
No permita que los paquetes IP
salientes con una direccin de origen distinto a una direccin IP vlida de la red interna.
Inbound on Fa0/1
R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any
53
DNS, SMTP y FTP son servicios comunes que a menudo se
debe permitir a travs de un firewall
Outbound on Fa0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list access-list access-list 180 180 180 180 180 180 180 permit permit permit permit permit permit permit udp tcp tcp tcp tcp udp udp any host 192.168.20.2 eq domain any host 192.168.20.2 eq smtp any host 192.168.20.2 eq ftp host 200.5.5.5 host 192.168.20.2 host 200.5.5.5 host 192.168.20.2 host 200.5.5.5 host 192.168.20.2 host 200.5.5.5 host 192.168.20.2
eq eq eq eq
telnet 22 syslog snmptrap
54
Los hackers utilizan paquetes ICMP para barridos de pings y
ataques de DoS, el uso de mensajes de redireccin ICMP para modificar las tablas de enrutamiento de host.
Tanto el eco de ICMP y redireccin de los mensajes deben ser bloqueados de forma entrante por el router.
55
Echo reply - permite a los usuarios internos hacer ping a los hosts externos. Source quench - Pide al remitente disminuir la tasa de trfico. Unreachable - Mensajes inalcanzables se generan para los paquetes que son denegados por una ACL.
Inbound on S0/0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list 150 150 150 150 150 permit icmp any any echo-reply permit icmp any any source-quench permit icmp any any unreachable deny icmp any any permit ip any any
56
Echo permite a los usuarios hacer ping a los hosts externos. Parameter problem Informa al host de problemas de encabezado. Packet too big Requerido por el paquete de descubrimiento de MTU. Source quench - Acelera el trfico cuando sea necesario.
Inbound on Fa0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list access-list 105 105 105 105 105 105 permit icmp 192.168.1.0 permit icmp 192.168.1.0 permit icmp 192.168.1.0 permit icmp 192.168.1.0 deny icmp any any permit ip any any 0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255 any any any any echo parameter-problem packet-too-big source-quench
57
ACLs IPv6
58
Las ACLs en IPv6 son similares a las ACLs de IPv4.
Las ACLs en IPv6 se crean usando el comando

ipv6 access-list.
Las ACLs IPv6 se aplican a una interface mediante el comando

ipv6 traffic-filter access-list-name {in | out}
59
permit icmp any any nd-na permit icmp any any nd-ns
(neighbor advertisements) (neighbor solicitations)
Al igual que con las ACLs IPv4, todas las ACL IPV6 incluyen una
sentencia final implicita.

deny ipv6 any any
60
Object Groups
61
Object groups son usados para clasificar usuarios, dispositivos o
protocolo en grupos.
Estos grupos se pueden utilizar para crear polticas de control de
acceso para grupos de objetos

Tanto las ACLs IPv4 e IPv6 se pueden utilizar en grupos de
objetos.
62
En esta topologa, hay 3 servidores,
cada uno requiriend acceso desde fuera de la red

Sin grupos de objetos, tenemos que
configurar una declaracin de permiso para cada servidor, para cada protocolo:
R1(config)# ip access-list extended R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any In host host host host host host host host host 10.10.10.1 10.10.10.1 10.10.10.1 10.10.10.2 10.10.10.2 10.10.10.2 10.10.10.3 10.10.10.3 10.10.10.3 eq eq eq eq eq eq eq eq eq smtp www https smtp www https smtp www https
Pero, y si otros servidores o
protocolos se aaden ms tarde? Usted tendr que editar la ACL!
63
Para la misma topologa, haciendo uso de la configuracin de
object group previa, primero se crea el grupo de objetos de servicios:

R1(config)# object-group service Web-svcs tcp R1(config-service-group)# tcp smtp R1(config-service-group)# tcp www R1(config-service-group)# tcp https
Luego, cree el objeto de red para los servidores:

R1(config)# object-group network Webservers R1(config-network-group)# range 10.10.10.1 10.10.10.3
Por ltimo, se crea la ACL:

R1(config)# ip access-list extended In R1(config-ext-nacl)# access-list In permit tcp any object-group Webservers object-group Web-svcs
Cuando se agrega un nuevo servidor o servicio, simplemente se
edita el object groupNo se toca la ACL!

2012 Cisco and/or its affiliates. All rights reserved. 64

Ccnas - Firewall - Spa

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Ccnas - Firewall - Spa

Caricato da

Copyright:

Formati disponibili

Implementacin de Tecnologas de Firewall

2012 Cisco and/or its affiliates. All rights reserved.

Los firewalls separan redes protegidos de redes no protegidas,

previniendo a usuarios no autorizados a los recursos de red protegidos:

Caracterstica de Zone-Based Firewall.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

Cree una ACL extendida llamada ACL-1 y aplquela de manera entrante

2012 Cisco and/or its affiliates. All rights reserved.

Cree una ACL extendida llamada ACL-2 y apliquela de salida en

El parmetro log puede ser anexado al final de la sentencia ACL.

2012 Cisco and/or its affiliates. All rights reserved.

Una vez configurado, el IOS compara los paquetes y encuentra

una coincidencia con la sentencia.

2012 Cisco and/or its affiliates. All rights reserved.

Algunas partes de la informacin son registradas:

Los mensajes se procesan de manera conmutada, de acuerdo a

la coincidencia del primer paquete y despus a intervalos de cinco minutos.

2012 Cisco and/or its affiliates. All rights reserved.

Un comando til para ver la operacin de una lista de acceso es

el comando show log.

clear ip access-list counter [number | name].

2012 Cisco and/or its affiliates. All rights reserved.

Por defecto cuando aadimos una sentencia a una ACL esta se

de forma selectiva una sentencia en cualquier posicin dentro de la ACL.

ip access-list {standard list-name command.

2012 Cisco and/or its affiliates. All rights reserved.

show running-config o show startup-config show ip access-lists access-list-name

incrementan en valores de 10 si no se especifica cuando se aaden sentencias a la ACL.

2012 Cisco and/or its affiliates. All rights reserved.

Verificacin, haciendo uso del comando show para ver los

nmeros de secuencia actuales.

Use el comando no sequence-number para borrar una

Use el comando sequence-number {permit | deny} para

agregar la nueva sentencia a la ACL.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

Las ACLs estndar:

Las ACLs extendidas:

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

Configuracin de ACLs usando CCP

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

2012 Cisco and/or its affiliates. All rights reserved.

En una red moderna todo el trfico desde el exterior se debe

bloquear a menos que:

Muchas de las aplicaciones comunes se basan en TCP, el cual

construye un circuito virtual entre dos puntos finales.

TCP establecida ACL reflexiva

2012 Cisco and/or its affiliates. All rights reserved.

En 1995, la primera generacin de solucin de filtrado de trafico