Ccnas - Firewall - Spa

© 2012 Cisco and/or its affiliates. All rights reserved. 1

Implementación de Tecnologías de Firewall


• Los firewalls separan redes protegidos de redes no protegidas, previniendo a usuarios no autorizados a los recursos de red protegidos:

• Tecnologías implementadas:

– ACLs

• Estándares, extendidas, numeradas y ACLs nombradas

– ACLs Avanzadas

• Stateful firewall - ACLs con la palabra clave established

• ACLs Reflexivas (dinámicas), ACLs basadas en tiempo

– Característica de Zone-Based Firewall.


• Packet-filtering firewall

• Stateful firewall


ACLs


• Virtualmente cualquier tipo de trafico puede ser definido explícitamente usando una ACL numerada apropiadamente.

1-99 , 1300-1999

100-199 , 2000-2699


• Nota:

– Puede ser aplicadas a una interface en dirección entrante o saliendo con el comando ip access-group.

– En la VTY se implementa con el comando access-class.


R1(config)# ip access-list standard RESTRICT-VTY

R1(config-std-nacl)# remark Permit only Admin host

R1(config-std-nacl)# permit host 192.168.1.10

R1(config-std-nacl)# exit

R1(config)# line vty 0 4

R1(config-line)# access-class RESTRICT-VTY

R1(config-line)# exit



• Cree una ACL extendida llamada ACL-1 y aplíquela de manera entrante en la interface Fa0/0, para denegar el trafico saliente del servidor workgroup pero que permita el trafico restante de los usuarios de la LAN haciendo uso de la palabra clave established .

R1(config)# ip access-list extended ACL-1

R1(config-ext-nacl)# remark LAN ACL

R1(config-ext-nacl)# deny ip host 192.168.1.6 any

R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any

established

R1(config-ext-nacl)# deny ip any any

R1(config-ext-nacl)# exit

R1(config)# interface Fa0/0

R1(config-if)# ip access-group ACL-1 in

R1(config-if)# exit


• Cree una ACL extendida llamada ACL-2 y apliquela de salida en la interface DMZ Fa0/1, permitiendo el acceso especificamente a los servidores Web y Email.

R1(config)# ip access-list extended ACL-2

R1(config-ext-nacl)# remark DMZ ACL

R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25

R1(config-ext-nacl)# permit tcp any host 192.168.2.6 eq 80


R1(config-ext-nacl)# interface Fa0/1

R1(config-if)# ip access-group ACL-2 out

R1(config-if)# exit

El parámetro log puede ser anexado al final de la sentencia ACL. permit tcp any host 192.168.2.6 eq 80 log


• Una vez configurado, el IOS compara los paquetes y encuentra una coincidencia con la sentencia.

• El router entonces registra cualquiera de estas, ya sea por:

– La consola

– El buffer interno

– Un syslog server


• Algunas partes de la información son registradas:

– Acción - permitir o denegar

– Protocolo - TCP, UDP o ICMP

– Direcciones Origen y Destino

– Para TCP y UDP – números de puertos origen y destino

– Para ICMP – tipos de mensajes

• Los mensajes se procesan de manera conmutada, de acuerdo a la coincidencia del primer paquete y después a intervalos de cinco minutos.


• Un comando útil para ver la operación de una lista de acceso es el comando show log.

• Para resetear los contadores, use el comando clear ip access-list counter [number | name].


• Por defecto cuando añadimos una sentencia a una ACL esta se añade al final. Sin los números de secuencia la única forma de añadir una declaración entre las entradas existentes consiste en borrar la ACL, editarla y volver a crearla.

• Las ACL IP con números de secuencia permite agregar o eliminar de forma selectiva una sentencia en cualquier posición dentro de la ACL.

• Para crear una ACL nombrada extendida use el siguiente comando:

ip access-list {standard | extended} access-

list-name command.


• show running-config o show startup-config

• show ip access-lists access-list-name

• show access-list

• Por defecto los números de secuencia comienzan en 10 y se incrementan en valores de 10 si no se especifica cuando se añaden sentencias a la ACL.


• Verificación, haciendo uso del comando show para ver los

números de secuencia actuales.

• Use el comando no sequence-number para borrar una

sentencia.

• Use el comando sequence-number {permit | deny} para

agregar la nueva sentencia a la ACL.

R1# show access-list 150

Extended IP acess list 150

10 permit tcp any any eq www

20 permit tcp any any eq telnet

30 permit tcp any any eq smtp

40 permit tcp any any eq pop3

50 permit tcp any any eq 21

60 permit tcp any any eq 20

R1(config)# ip access-list extended 150

R1(config-ext-nacl)# no 20

R1(config)# ip access-list extended 150

R1(config-ext-nacl)# 20 permit tcp host 192.168.1.100 any eq telnet


Localización de la ACL




• Las ACLs estándar:

– Se ubican los más cercano al destino como sea posible.

– Debido a que estas filtran paquetes basado en las direcciones de origen del trafico.

• Las ACLs extendidas:

– Se ubican lo más cercano al origen como sea posible al trafico que se desea filtrar.

– La ubicación demasiado lejos de la fuente hace que el uso sea ineficiente para los recursos de la red porque los paquetes se pueden enviar muy lejos sólo para denegarlos.




Configuración de ACLs usando CCP







ACLs Complejas


• En una red moderna todo el tráfico desde el exterior se debe bloquear a menos que:

– Queda expresamente permitido por una ACL.

– Se está retornando tráfico iniciado desde el interior de la red.

• Muchas de las aplicaciones comunes se basan en TCP, el cual construye un circuito virtual entre dos puntos finales.

• Las soluciones para el filtrado de tráfico basado en la conectividad de dos vías de TCP son:

– TCP establecida

– ACL reflexiva


• En 1995, la primera generación de solución de filtrado de trafico basado en TCP establecida como palabra clave en ACL extendidas.

– La palabra established de TCP bloquea todo el tráfico procedente de

Internet, excepto para el tráfico de respuesta TCP iniciada desde dentro de la red.

• La palabra clave established obliga al router a comprobar si el

indicador de control TCP ACK o RST está activado.

– Si el flag ACK está establecida, el tráfico TCP se le permite entrar

– Si no, se asume que el tráfico está asociado a una conexión nueva iniciada desde el exterior.


• Usando la palabra established keyword no implementa

un cortafuegos stateful en un router

– El parámetro established permite cualquier segmento TCP con el

indicador de control apropiado (flag).


R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established

R1(config)# access-list 100 deny ip any any

R1(config)# interface s0/0/0

R1(config-if)# ip access-group 100 in


• En 1996, la segunda generación de solución para el filtrado de la sesión fue las ACLs reflexivas.

• A diferencia de la función de red TCP que acaba de utilizar los bits ACK y RST, el filtro de ACLs reflexivas en dirección de origen de destino o números de puerto.

• Además, el filtrado de sesión utiliza filtros temporales que se eliminan cuando una sesión culmina añadiendo un límite de tiempo si se esta en oportunidad de un ataque.


• Los administradores de red utilizan las ACLs reflexivas para permitir el tráfico IP de las sesiones procedentes de su red al tiempo que niega el tráfico IP de las sesiones que se originan fuera de la red.

• El router examina el tráfico de salida y cuando ve una nueva conexión, se agrega una entrada en una ACL temporal para permitir las respuestas hacia adentro


• Paso 1.

– Crear una ACL interna que busca nuevas sesiones salientes y crea ACL reflexivas temporales.

• Paso 2.

– Crear una ACL externa que utiliza las ACLs reflexivas para examinar el tráfico de retorno.

• Paso 3.

– Activar la ACL nombrada en la Interface apropiada.


• Crear una ACL reflexiva que permita a los usuarios internos que navegan a Internet con un navegador web y confiando en DNS con un tiempo de espera de 10 segundos.

R1(config)# ip access-list extended INTERNAL_ACL

R1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACL

R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10


R1(config)# ip access-list extended EXTERNAL_ACL

R1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACL

R1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACL




R1(config-if)# ip access-group INTERNAL_ACL out

R1(config-if)# ip access-group EXTERNAL_ACL in


• Las ACLs dinámicas son también llamadas las ACL de cerradura.

• Las ACLs dinámicas autentican al usuario y permite un acceso limitado a través de su router firewall para un host o subred por un período determinado.

• ACL dinámicas son dependientes de:

– Telnet conectividad

– Autenticación (local o remota)

– ACL extendidas.


• Una ACL extendida es aplicada para bloquear todo el trafico a través del router excepto el Telnet.

– Los usuarios que quieran atravesar el router se bloquean por la ACL, hasta que usan Telnet para conectarse al router y se autentican.

• Los usuarios se autentican mediante Telnet y luego se descartan.

– Sin embargo, una sentencia de entrada dinámica se agrega a la ACL extendida existente.

– Esto permite que el tráfico curse durante un período determinado; tiempos de espera de inactividad y absoluto sean posibles.



• Cuando se desee que un usuario remoto específico o grupo de usuarios remotos acceden a un host dentro de la red, conectándose desde sus equipos remotos a través de Internet.

• Cuando se desea que un subconjunto de hosts en una red local accedan a un host en una red remota que está protegida por un firewall.


R3(config)# username Student password cisco

R3(config)# access-list 101 permit tcp any host 10.2.2.2 eq telnet

R3(config)# access-list 101 dynamic TESTLIST timeout 15 permit ip 192.168.10.0 0.0.0.255

192.168.3.0 0.0.0.255



R3(config-if)# exit

R3(config)# line vty 0 4

R3(config-line)# login local

R3(config-line)# autocommand access-enable host timeout 15



1. Crear un rango de tiempo que define momentos específicos del día y de la semana.

2. Identificar el rango de tiempo con un nombre y a continuación se refiere a ella por una función.

3. Las restricciones de tiempo se imponen a la propia función.


R1(config)# time-range EMPLOYEE-TIME

R1(config-time-range)# periodic weekdays 12:00 to 13:00

R1(config-time-range)# periodic weekdays 17:00 to 19:00

R1(config-time-range)# exit

R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIME

R1(config)# access-list 100 deny ip any any

R1(config)# interface FastEthernet 0/1


R1(config-if)# exit

• Los usuarios no están autorizados a acceder a Internet durante horas de oficina, excepto durante el almuerzo y después de las horas entre las 5 P.M. y las 7 P.M.


Troubleshooting de ACLs Solución de Problemas


• Los dos comands utiles para el troubleshooting de ACLs:

– show access-lists

– debug ip packet (detail)




Mitigación de Ataques con ACLs


• Las ACLs se pueden utilizar para mitigar muchas de las amenazas de la red:

– Falsificación de direcciones IP, entrante o salientes

– Ataques de DoS TCP SYN

– Ataques de smurf DoS

• Las ACLs tambien pueden filtrar los siguientes tipos de trafico:

– Mensajes de ICMP entrante o salientes

– traceroute


• Denegar todos los paquetes IP que contengan las siguientes direcciones IP en su campo de origen:

– Cualquier dirección de host local (127.0.0.0/8)

– Cualquier dirección del RFC 1918

– Cualquier dirección en el rango de IP Multicast (224.0.0.0/4)

R1(config)# access-list 150 deny ip 0.0.0.0 0.255.255.255 any






R1(config)# access-list 150 deny ip host 255.255.255.255 any

Inbound on S0/0/0


• No permita que los paquetes IP salientes con una dirección de origen distinto a una dirección IP válida de la red interna.

R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any

Inbound on Fa0/1


• DNS, SMTP y FTP son servicios comunes que a menudo se debe permitir a través de un firewall

R1(config)# access-list 180 permit udp any host 192.168.20.2 eq domain

R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq smtp

R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq ftp

R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq telnet

R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq 22

R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq syslog

R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq snmptrap

Outbound on Fa0/0


• Los hackers utilizan paquetes ICMP para barridos de pings y ataques de DoS, el uso de mensajes de redirección ICMP para modificar las tablas de enrutamiento de host.

– Tanto el eco de ICMP y redirección de los mensajes deben ser bloqueados de forma entrante por el router.


– Echo reply - permite a los usuarios internos hacer ping a los hosts externos.

– Source quench - Pide al remitente disminuir la tasa de tráfico.

– Unreachable - Mensajes inalcanzables se generan para los paquetes que son denegados por una ACL.

R1(config)# access-list 150 permit icmp any any echo-reply

R1(config)# access-list 150 permit icmp any any source-quench

R1(config)# access-list 150 permit icmp any any unreachable

R1(config)# access-list 150 deny icmp any any

R1(config)# access-list 150 permit ip any any

Inbound on S0/0/0


– Echo – permite a los usuarios hacer ping a los hosts externos.

– Parameter problem – Informa al host de problemas de encabezado.

– Packet too big – Requerido por el paquete de descubrimiento de MTU.

– Source quench - Acelera el tráfico cuando sea necesario.

R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any echo

R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any parameter-problem

R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any packet-too-big

R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any source-quench

R1(config)# access-list 105 deny icmp any any

R1(config)# access-list 105 permit ip any any

Inbound on Fa0/0


ACLs IPv6


• Las ACLs en IPv6 son similares a las ACLs de IPv4.

• Las ACLs en IPv6 se crean usando el comando

– ipv6 access-list.

• Las ACLs IPv6 se aplican a una interface mediante el comando

– ipv6 traffic-filter access-list-name {in | out}


– permit icmp any any nd-na (neighbor advertisements)

– permit icmp any any nd-ns (neighbor solicitations)

• Al igual que con las ACLs IPv4, todas las ACL IPV6 incluyen una sentencia final implicita.

– deny ipv6 any any


Object Groups


• Object groups son usados para clasificar usuarios, dispositivos o protocolo en grupos.

• Estos grupos se pueden utilizar para crear políticas de control de acceso para grupos de objetos

• Tanto las ACLs IPv4 e IPv6 se pueden utilizar en grupos de objetos.


• En esta topología, hay 3 servidores, cada uno requiriend acceso desde fuera de la red

• Sin grupos de objetos, tenemos que configurar una declaración de permiso para cada servidor, para cada protocolo:

• Pero, ¿y si otros servidores o protocolos se añaden más tarde? Usted tendrá que editar la ACL!

R1(config)# ip access-list extended In

R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq smtp

R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq www

R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq https








• Para la misma topología, haciendo uso de la configuración de object group previa, primero se crea el grupo de objetos de servicios:

• Luego, cree el objeto de red para los servidores:

• Por último, se crea la ACL:

• Cuando se agrega un nuevo servidor o servicio, simplemente se edita el object group…No se toca la ACL!

R1(config)# object-group service Web-svcs tcp

R1(config-service-group)# tcp smtp

R1(config-service-group)# tcp www

R1(config-service-group)# tcp https

R1(config)# object-group network Webservers

R1(config-network-group)# range 10.10.10.1 10.10.10.3

R1(config)# ip access-list extended In

R1(config-ext-nacl)# access-list In permit tcp any object-group Webservers

object-group Web-svcs

Date post:	31-Dec-2015
Category:	Documents
Upload:	cristianjpc
View:	38 times
Download:	6 times

Ccnas - Firewall - Spa

Documents