Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CAPACIDADES CBAC
-CBAC slo lleva a cabo filtrado
para los protocolos que son
especificados por el administrador
-CBAC no protege de ataques
que vienen de dentro de la red
CAPACIDADES CBAC
OPERACIN CBAC: CBAC utiliza la tabla de estado para crear entradas de ACL
dinmicas que permiten el trfico de retorno, el trfico solo es permitido si es parte
de la misma sesin y tiene las propiedades esperadas
CONFIGURACION DE CBAC
Paso 1: Escoger la interfaz donde se va a configurar la regla de inspeccin
Paso 2: Configurar las ACLs en la interfaz
Paso 3: Definir la regla de inspeccin
Paso 4: Aplicar la regla de inspeccin a una interfaz
En un escenario de 2 interfaces
la regla de inspeccin puede
ser configurada como entrante
en la interfaz inside o como
saliente en la interfaz outside
CBAC puede ser configurado en
las 2 direcciones de una
interfaz, si ambas redes
necesitan proteccin
CONFIGURACION DE CBAC
Paso 2: Configurar las ACLs en la interfaz
La ACL de la interfaz outside sobre la que
se va a incorporar la ACE dinmica creada
por CBAC tiene que ser extendida
Ejemplo 1:
ip inspect name in2out ftp
ip inspect name in2out tftp
ip inspect name in2out tcp timeout 43200
ip inspect name in2out http
ip inspect name in2out udp
CONFIGURACION DE CBAC
Reglas para aplicar ACLs y reglas de inspeccin en el FW:
-En la interfaz donde el trfico se inicia, aplicar ACL in que permita slo el trfico
requerido y aplicar regla de inspeccin in que
inspeccione el trfico
-En otras interfaces denegar todo el trfico, excepto
trfico que no haya sido inspeccionado y necesite
ser permitido
Ejemplo: Permitir a los usuarios
iniciar sesiones TCP, UDP y ICMP
desde inside.
Usuarios externos slo pueden
acceder a los servidores SMTP y
HTTP
TROUBLESHOOTING DE CBAC
-Alertas: muestran mensajes sobre la operacin de CBAC, como insuficientes recursos
en el router o ataques DoS. Habilitadas por defecto, aunque se pueden habilitar o
deshabilitar por regla de inspeccin
Ejemplo:
%FW-4-SMTP_INVALID_COMMAND: Invalid SMTP command from initiator (209.165.201.5:49387)
TROUBLESHOOTING DE CBAC
-show ip inspect [parameter]: muestra las reglas de inspeccin configuradas
Router# show ip inspect name inspect_outbound
Inspection name inspect_outbound
cuseeme alert is on audit-trail is on timeout 3600
ftp alert is on audit-trail is on timeout 3600
http alert is on audit-trail is on timeout 3600
rcmd alert is on audit-trail is on timeout 3600
realaudio alert is on audit-trail is on timeout 3600
smtp max-data 20000000 alert is on audit-trail is on timeout 3600
tftp alert is on audit-trail is on timeout 30
udp alert is on audit-trail is on timeout 15
tcp alert is on audit-trail is on timeout 3600
TROUBLESHOOTING DE CBAC
-show ip access-list: muestra informacin sobre las entradas de ACL dinmicas
Router# show ip access-list
Extended IP access list 100
permit tcp host 209.165.201.1 eq 21 host 192.168.1.2 eq 32703 (24 matches)
permit tcp host 209.165.201.1 eq 20 host 192.168.1.2 eq 32704 (88 matches)
<output omitted>
-Reglas ZPF:
-Una zona debe ser configurada antes de que se puedan asignar interfaces a la zona
-Una interfaz slo puede estar asignada a una zona
-El trfico es permitido por defecto entre interfaces que pertenecen a la misma zona
-El trfico no puede fluir entre una interfaz miembro de una zona y una que no es miembro
de ninguna zona
-Para permitir el trfico entre una zona y otra se debe configurar una poltica permitiendo o
inspeccionando el trfico
-Las interfaces que no han sido asignadas a una zona pueden utilizar CBAC
-Todas las interfaces del router pertenecen a self-zone, si no hay polticas definidas entre
una zona y self-zone todo el trfico es permitido por defecto
-Una pltica puede ser definida usando self-zone como el origen o el destino, esta poltica
aplica al trfico dirigido al router o al trfico generado por el router.
Sobre los mapas de capa 3 y 4 se pueden referenciar ACLs, protocolos o otros mapas
de clase con los siguientes comandos match:
Router(config-cmap)# match access-group {access-group | name access-group-name}
Router(config-cmap)# match protocol protocol-name
Router(config-cmap)# match class-map class-map-name
TROUBLESHOOTING DE ZPF
Configure > Firewall y ACL > pestaa Edit Firewall Policy tab
Proporciona una vista grfica de la configuracin del FW ZPF
Monitor > Firewall Status
Muestra el estado de la actividad FW
de cada par de zona. Los datos pueden
ser recogidos en tiempo real cada 10
segundos, 60 minutos de datos
recogidos cada minuto y 12 horas de
datos recogidos cada 12 minutos
TROUBLESHOOTING DE ZPF
-show policy-map type inspect zone-pair session
Muestra las conexiones activas en la tabla de estado ZPF
Router# show policy-map type inspect zone-pair session
Zone-pair: CNS-PAIR
Service-policy inspect : HTTP-Policy
Class-map: HTTP-Class (match-all)
Match: access-group 110
Match: protocol http
Inspect
Established Sessions
Session 643BCF88 (10.0.2.12:3364)=>(172.26.26.51:80) http SIS_OPEN
Created 00:00:10, Last heard 00:00:00
Bytes sent (initiator:responder) [1268:64324]
Session 643BB9C8 (10.0.2.12:3361)=>(172.26.26.51:80) http SIS_OPEN
Created 00:00:16, Last heard 00:00:06
Bytes sent (initiator:responder) [2734:38447]
Session 643BD240 (10.0.2.12:3362)=>(172.26.26.51:80) http SIS_OPEN
Created 00:00:14, Last heard 00:00:07
Bytes sent (initiator:responder) [2219:39813]
Session 643BBF38 (10.0.2.12:3363)=>(172.26.26.51:80) http SIS_OPEN
Created 00:00:14, Last heard 00:00:06
Bytes sent (initiator:responder) [2106:19895]
Class-map: class-default (match-any)
Match: any
Drop (default action)
58 packets, 2104 bytes