Вы находитесь на странице: 1из 5

EJEMPLO DE CONFIGURACION *** Esta pequea guia se hace teniendo en cuenta que el router de acceso del centro es un router

CISCO. En caso contrario, las configuraciones no tendrian por que ser iguales. CONECTIVIDAD Como ejemplo, esta seria la configuracion de un interfaz serie de un router CISCO en una linea de 64 Kbps de capacidad: interface Serial4/3 description Linea de acceso NOMBRE-CENTRO (64 Kbps) ip address 172.16.207.94 255.255.255.252 no ip directed-broadcast bandwidth 64 Si ambos routers son CISCO, la encapsulacion sera HDLC (protocolo propietario de CISCO) que el router toma por defecto; si no, se introduciria en la configuracion: encapsulation ppp Los comandos generales que el router debe tener ya configurados serian los siguientes: ip ip ip ip ip (1) (2) del extremo de la linea en RedIRIS (3) De esta forma, el router hara uso de la red cero (opcional). (4) Direccion IP del servidor de DNS de la organizacion (opcional). CONTROL DE ACCESO El objetivo de este apartado es evitar que tanto los servicios como la red de una organizacion conectada a SIDERAL se vean afectados por ataques. Vamos a clasificar los ataques en dos tipos: - ataques al servicio - ataques a la red classless default-network 140.222.0.0 route 140.222.0.0 255.255.0.0 172.16.207.93 subnet-zero name-server IP_servidor_DNS (1) |(2) | (3) (4)

De esta forma, el router entiende las redes fragmentadas. Definicion de la ruta por defecto apuntando a la direccion

El control de acceso se realizara aplicando filtros en los interfaces. FILTROS PARA CONTROLAR LOS ATAQUES AL SERVICIO Por defecto, se filtraran todos los servicios salvo aquellos que vayan a ser utilizados. Continuando con el ejemplo anterior, vamos a aplicar los filtros de entrada (101) y de salida (103) al interfaz Serial4/3. En este caso, habilitamos los servicios tipicos que tiene una organizacion: correo, web, ftp y dns. Suponemos que la maquina 192.168.235.3 es la que aloja estos servicios. access-list access-list access-list access-list access-list access-list telnet access-list telnet |(1) access-list 101 101 101 101 101 101 permit permit permit permit permit permit tcp tcp tcp tcp tcp tcp any any established any host 192.168.235.3 eq domain any host 192.168.235.3 eq smtp any host 192.168.235.3 eq www any host 192.168.235.3 eq ftp host 172.16.207.93 host 172.16.207.94 eq

101 permit tcp host xxx.xxx.xxx.xxx host 172.16.207.94 eq 101 permit tcp any eq ftp-data any gt 1023 (2) tcp tcp udp udp que any any any tenga el centro ? any host 192.168.235.3 eq domain any gt 1023 (3)

! Algn otro servicio access-list 101 deny access-list 101 permit access-list 101 permit

! Algn otro servicio udp que tenga el centro ? access-list 101 deny udp any any access-list 101 permit ip any any log (1) Es conveniente que el NOC de RedIRIS tenga acceso va telnet, por ejemplo desde el otro extremo de la lnea y mquina de gestin de NOC RedIRIS (solicitar IP). (2) restringir Las conexiones tcp a puertos annimos. Sera conveniente

este rango, pero depende del tipo de mquinas que tenga la organizacin (Solaris, Windows, Linux,...) y es esta la que debe realizar este anlisis para determinar este rango. Hay que distinguir el FTP ACTIVO y el FTP PASIVO. El ms comn y que menos problemas de seguridad da es el FTP pasivo, ya que en este caso el servidor se conecta desde el puerto ftp-data (20) al puerto que l mismo elige (puertos altos) del cliente para mandar los datos. Con el FTP activo, el cliente decide a qu puertos el servidor le enva datos, y el servidor

enva dichos datos desde cualquier puerto (puertos altos). De esta forma, con los filtros anteriores se permite nicamente el FTP pasivo. Para permitir el FTP activo, hay que permitir que desde cualquier puerto, una mquina externa se pueda conectar a cualquier puerto de una mquina de nuestra organizacin (hablamos siempre de puertos altos). Es decir, no habra que aplicar un filtro, con lo que habra que extremar la seguridad a nivel de mquina. (3) = (2) para udp. FILTROS PARA CONTROLAR LOS ATAQUES A LA RED El propsito de estos filtros es controlar un tipo de ataque muy extendido en Internet, el "smurfing". Es un ataque a nivel de red y pertenece a la categora de (pings) a direcciones broadcast. Estos pings tienen una direccin fuente "spoofed", es decir falsa, que pertence a la vctima del ataque. Para evitar este ataque es necesario utilizar dos tipos de filtros para: - Controlar el "spoofing" de direcciones. (A) - Controlar el trfico ICMP. (B) (A) El filtro de entrada deniega el trafico originado en direcciones dentro de la LAN, y el filtro de salida permite unicamente el trafico originado en la LAN con direccionamiento publico. ... ! access-list access-list ! access-list access-list (1) ! ... "Denial of Service Attacks": El agresor enva una gran cantidad de trfico ICMP echo

101 deny ip 192.168.235.0 255.255.255.0 any 101 permit ip any any 103 permit ip 192.168.235.0 255.255.255.0 any 103 permit ip host 172.16.207.94 any

(1) Esta linea se aade para permitir el acceso desde RedIRIS al router del centro.

(B) Para evitar el smurfing, el centro debe controlar el trfico ICMP que este enva a la red (no se debe consumir recursos de la red con trfico no deseado). Para ello, se aade en el filtro de salida trafico ICMP dirigido a direcciones broadcast y de red. ... ! access-list 103 deny access-list 103 deny ! ... una prohibicion de

icmp any 0.0.0.255 255.255.255.0 icmp any 0.0.0.0 255.255.255.0

Evidentemente, es una solucin que deja bastante que desear ya que estamos suponiendo clases C, cuando hoy en da los rangos de direcciones son classless. Para mejorar la anterior solucin, perfectamente sus ya que cada centro sabe

direcciones de red y broadcast, se aadira en los filtros de entrada una prohibicin de trfico ICMP a estas direcciones. Por ejemplo, supongamos que la red del centro es 192.168.235.0/25. Los filtros quedarian como sigue: ... ! access-list 101 deny icmp any host 192.168.235.0 access-list 101 deny icmp any host 192.168.235.127 access-list 101 permit ip any any ! ...

La solucin mas eficiente al problema del smurfing consiste en controlar el volumen de trfico ICMP en los routers de acceso. Esta solucion requiere tanto sw como hw avanzado. Resumiendo, la configuracion del interfaz quedaria como sigue: ... ! ip classless ip default-network 140.222.0.0 ip route 140.222.0.0 255.255.0.0 172.16.207.93 ip subnet-zero ip name-server 192.168.235.3 ! ...

! interface Serial4/3 description Linea de acceso NOMBRE-CENTRO (64 Kbps) ip address 172.16.207.94 255.255.255.252 ip access-group 101 in ip access-group 103 out encapsulation ppp no ip directed-broadcast bandwidth 64 ! ... ! access-list 101 deny icmp any host 192.168.235.0 access-list 101 deny icmp any host 192.168.235.127 access-list 101 deny ip 192.168.235.0 255.255.255.0 any access-list 101 permit tcp any any established access-list 101 permit tcp any host 192.168.235.3 eq domain access-list 101 permit tcp any host 192.168.235.3 eq smtp access-list 101 permit tcp any host 192.168.235.3 eq www access-list 101 permit tcp any host 192.168.235.3 eq ftp access-list 101 permit tcp host 172.16.207.93 host 172.16.207.94 eq telnet access-list 101 permit tcp host xxx.xxx.xxx.xxx host 172.16.207.94 eq telnet access-list 101 permit tcp any ftp-data any gt 1023 access-list 101 deny tcp any any access-list 101 permit udp any host 192.168.235.3 eq domain access-list 101 permit udp any any gt 1023 access-list 101 deny udp any any access-list 101 permit ip any any log access-list 103 deny icmp any 0.0.0.255 255.255.255.0 access-list 103 deny icmp any 0.0.0.0 255.255.255.0 access-list 103 permit ip 192.168.235.0 255.255.255.0 any access-list 103 permit ip host 172.16.207.94 any ! ... Se recomienda encarecidamente actualizar periodicamente la version de IOS del router para disponer de las ultimas tecnologias y caracteristicas del routing.