CCNA_SEC_v11 Cap_04_part_I_EB

© 2012 Cisco and/or its affiliates. All rights reserved. 1

Implementación de Tecnologías de Firewall


• Los firewalls separan redes protegidos de redes no protegidas, previniendo a usuarios no autorizados a los recursos de red protegidos:

• Tecnologías implementadas:– ACLs

• Estándars, extendidas, numeradas y ACLs nombradas

– ACLs Avanzadas

• Stateful firewall - ACLs con la palabra clave established

• ACLs Reflexivas (dinamicas), ACLs basadas en tiempo

– Característica de Zone-Based Firewall (ZBFW)

Firewalls


• Packet-filtering firewall

• Stateful firewall

Common Types of Firewalls


ACLs


• Virtualmente cualquier tipo de trafico puede ser definido explícitamente usando una ACL numerada apropiadamente.

Tipos de ACL

1-99 , 1300-1999

100-199 , 2000-2699


ACLs Estándar

• Nota:

– Puede ser aplicadas a una interface en dirección entrante o saliendo con el comando ip access-group.

– En la VTY se implementa con el comando access-class.


ACLs Estándar

R1(config)# ip access-list standard RESTRICT-VTYR1(config-std-nacl)# remark Permit only Admin hostR1(config-std-nacl)# permit host 192.168.1.10R1(config-std-nacl)# exitR1(config)# line vty 0 4R1(config-line)# access-class RESTRICT-VTYR1(config-line)# exit


ACLs Extendidas


• Cree una ACL extendida llamada ACL-1 y aplíquela de manera entrante en la interface Fa0/0, para denegar el trafico saliente del servidor workgroup pero que permita el trafico restante de los usuarios de la LAN haciendo uso de la palabra clave established .

ACLs Extendidas - 1

R1(config)# ip access-list extended ACL-1R1(config-ext-nacl)# remark LAN ACLR1(config-ext-nacl)# deny ip host 192.168.1.6 anyR1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any establishedR1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface Fa0/0R1(config-if)# ip access-group ACL-1 in R1(config-if)# exit


• Cree una ACL extendida llamada ACL-2 y apliquela de salida en la interface DMZ Fa0/1, permitiendo el acceso especificamente a los servidores Web y Email.

ACLs Extendidas - 2

R1(config)# ip access-list extended ACL-2R1(config-ext-nacl)# remark DMZ ACLR1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25R1(config-ext-nacl)# permit tcp any host 192.168.2.6 eq 80R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# interface Fa0/1R1(config-if)# ip access-group ACL-2 out R1(config-if)# exit

El parámetro log puede ser anexado al final de la sentencia ACL.

permit tcp any host 192.168.2.6 eq 80 log


• Una vez configurado, el IOS compara los paquetes y encuentra una coincidencia con la sentencia.

• El router entonces registra cualquiera de estas, ya sea por:– La consola

– El buffer interno

– Un syslog server

Logging


• Algunas partes de la información son registradas:– Acción - permitir o denegar

– Protocolo - TCP, UDP o ICMP

– Direcciones Origen y Destino

– Para TCP y UDP – números de puertos origen y destino

– Para ICMP – tipos de mensajes

• Los mensajes se procesan de manera conmutada, de acuerdo a la coincidencia del primer paquete y después a intervalos de cinco minutos.

Logging


• Un comando útil para ver la operación de una lista de acceso es el comando show log.

• Para resetear los contadores, use el comando clear ip access-list counter [number | name].

Visualizando la operación de una ACL


• Por defecto cuando añadimos una sentencia a una ACL esta se añade al final. Sin los números de secuencia la única forma de añadir una declaración entre las entradas existentes consiste en borrar la ACL, editarla y volver a crearla.

• Las ACL IP con números de secuencia permite agregar o eliminar de forma selectiva una sentencia en cualquier posición dentro de la ACL.

• Para crear una ACL nombrada extendida use el siguiente comando:

ip access-list {standard | extended} access-list-name command.

Número de Secuencia de una ACL


• show running-config o show startup-config

• show ip access-lists access-list-name

• show access-list

• Por defecto los números de secuencia comienzan en 10 y se incrementan en valores de 10 si no se especifica cuando se añaden sentencias a la ACL.

Verificación de los números de secuencia


• Verificación, haciendo uso del comando show para ver los números de secuencia actuales.

• Use el comando no sequence-number para borrar una sentencia.

• Use el comando sequence-number {permit | deny} para agregar la nueva sentencia a la ACL.

Modificación de una sentencia en una ACL

R1# show access-list 150Extended IP acess list 150 10 permit tcp any any eq www 20 permit tcp any any eq telnet 30 permit tcp any any eq smtp 40 permit tcp any any eq pop3 50 permit tcp any any eq 21 60 permit tcp any any eq 20

R1(config)# ip access-list extended 150R1(config-ext-nacl)# no 20

R1(config)# ip access-list extended 150R1(config-ext-nacl)# 20 permit tcp host 192.168.1.100 any eq telnet


Localización de la ACL


Flujo Operativo de la ACL de Entrada


Flujo Operativo de la ACL de Salida


• Las ACLs estándar:– Se ubican los más cercano al destino como sea posible.

– Debido a que estas filtran paquetes basado en las direcciones de origen del trafico.

• Las ACLs extendidas:– Se ubican lo más cercano al origen como sea posible al trafico que se

desea filtrar.

– La ubicación demasiado lejos de la fuente hace que el uso sea ineficiente para los recursos de la red porque los paquetes se pueden enviar muy lejos sólo para denegarlos.

Localización de la ACL


Configuración de ACLs usando CCP












ACLs Complejas


• En una red moderna todo el tráfico desde el exterior se debe bloquear a menos que:– Queda expresamente permitido por una ACL.

– Se está retornando tráfico iniciado desde el interior de la red.

• Muchas de las aplicaciones comunes se basan en TCP, el cual construye un circuito virtual entre dos puntos finales.

• Las soluciones para el filtrado de tráfico basado en la conectividad de dos vías de TCP son:– TCP establecida

– ACL reflexiva

Sesiones TCP


• En 1995, la primera generación de solución de filtrado de trafico basado en TCP establecida como palabra clave en ACL extendidas.– La palabra established de TCP bloquea todo el tráfico procedente de

Internet, excepto para el tráfico de respuesta TCP iniciada desde dentro de la red.

• La palabra clave established obliga al router a comprobar si el indicador de control TCP ACK o RST está activado.– Si el flag ACK está establecida, el tráfico TCP se le permite entrar

– Si no, se asume que el tráfico está asociado a una conexión nueva iniciada desde el exterior.

ACLs de TCP Establecido


ACLs de TCP Establecido

R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 establishedR1(config)# access-list 100 deny ip any anyR1(config)# interface s0/0/0R1(config-if)# ip access-group 100 in


• En 1996, la segunda generación de solución para el filtrado de la sesión fue las ACLs reflexivas.

• A diferencia de la función de red TCP que acaba de utilizar los bits ACK y RST, el filtro de ACLs reflexivas en dirección de origen de destino o números de puerto.

• Además, el filtrado de sesión utiliza filtros temporales que se eliminan cuando una sesión culmina añadiendo un límite de tiempo si se esta en oportunidad de un ataque.

ACLs Reflexivas


• Los administradores de red utilizan las ACLs reflexivas para permitir el tráfico IP de las sesiones procedentes de su red al tiempo que niega el tráfico IP de las sesiones que se originan fuera de la red.

• El router examina el tráfico de salida y cuando ve una nueva conexión, se agrega una entrada en una ACL temporal para permitir las respuestas hacia adentro

ACLs Reflexivas


• Paso 1. – Crear una ACL interna que busca nuevas sesiones salientes y crea ACL

reflexivas temporales.

• Paso 2. – Crear una ACL externa que utiliza las ACLs reflexivas para examinar el tráfico

de retorno.

• Paso 3. – Activar la ACL nombrada en la Interface apropiada.

Configuración de una ACL Reflexivas


• Crear una ACL reflexiva que permita a los usuarios internos que navegan a Internet con un navegador web y confiando en DNS con un tiempo de espera de 10 segundos.

Ejemplo de una ACL Reflexiva

R1(config)# ip access-list extended INTERNAL_ACLR1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACLR1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10R1(config-ext-nacl)# exitR1(config)# ip access-list extended EXTERNAL_ACLR1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACLR1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACLR1(config-ext-nacl)# deny ip any anyR1(config-ext-nacl)# exitR1(config)# interface s0/0/0R1(config-if)# ip access-group INTERNAL_ACL outR1(config-if)# ip access-group EXTERNAL_ACL in


• Las ACLs dinámicas son también llamadas las ACL de cerradura.

• Las ACLs dinámicas autentican al usuario y permite un acceso limitado a través de su router firewall para un host o subred por un período determinado.

• ACL dinámicas son dependientes de:– Telnet conectividad

– Autenticación (local o remota)

– ACL extendidas.

ACLs Dinámicas


• Una ACL extendida es aplicada para bloquear todo el trafico a través del router excepto el Telnet. – Los usuarios que quieran atravesar el router se bloquean por la ACL, hasta

que usan Telnet para conectarse al router y se autentican.

• Los usuarios se autentican mediante Telnet y luego se descartan.– Sin embargo, una sentencia de entrada dinámica se agrega a la ACL

extendida existente.

– Esto permite que el tráfico curse durante un período determinado; tiempos de espera de inactividad y absoluto sean posibles.

Implementación de ACLs Dinámicas


Configuración de ACLs Dinámicas


• Cuando se desee que un usuario remoto específico o grupo de usuarios remotos acceden a un host dentro de la red, conectándose desde sus equipos remotos a través de Internet.

• Cuando se desea que un subconjunto de hosts en una red local accedan a un host en una red remota que está protegida por un firewall.

¿Cuándo implementar ACLs Dinámicas?


Ejemplo de una ACL Dinamica

R3(config)# username Student password ciscoR3(config)# access-list 101 permit tcp any host 10.2.2.2 eq telnetR3(config)# access-list 101 dynamic TESTLIST timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255R3(config)# interface s0/0/1R3(config-if)# ip access-group 101 inR3(config-if)# exitR3(config)# line vty 0 4R3(config-line)# login localR3(config-line)# autocommand access-enable host timeout 15


ACL basadas en tiempo


1. Crear un rango de tiempo que define momentos específicos del día y de la semana.

2. Identificar el rango de tiempo con un nombre y a continuación se refiere a ella por una función.

3. Las restricciones de tiempo se imponen a la propia función.

ACL basadas en tiempo


Ejemplo de ACL basada en tiempo

R1(config)# time-range EMPLOYEE-TIMER1(config-time-range)# periodic weekdays 12:00 to 13:00R1(config-time-range)# periodic weekdays 17:00 to 19:00R1(config-time-range)# exitR1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIMER1(config)# access-list 100 deny ip any anyR1(config)# interface FastEthernet 0/1R1(config-if)# ip access-group 100 inR1(config-if)# exit

• Los usuarios no están autorizados a acceder a Internet durante horas de oficina, excepto durante el almuerzo y después de las horas entre las 5 P.M. y las 7 P.M.


Troubleshooting de ACLs


• Los dos comands utiles para el troubleshooting de ACLs:– show access-lists

– debug ip packet (detail)

Comandos de Troubleshooting de ACLs


show access-lists


debug ip packet


Mitigación de Ataques con ACLs


• Las ACLs se pueden utilizar para mitigar muchas de las amenazas de la red:– Falsificación de direcciones IP, entrante o salientes

– Ataques de DoS TCP SYN

– Ataques de smurf DoS

• Las ACLs tambien pueden filtrar los siguientes tipos de trafico:– Mensajes de ICMP entrante o salientes

– traceroute

Mitigación de Ataques con ACLs


• Denegar todos los paquetes IP que contengan las siguientes direcciones IP en su campo de origen:– Cualquier dirección de host local (127.0.0.0/8)

– Cualquier dirección del RFC 1918

– Cualquier dirección en el rango de IP Multicast (224.0.0.0/4)

Denegación de Suplantación de IPs

R1(config)# access-list 150 deny ip 0.0.0.0 0.255.255.255 any R1(config)# access-list 150 deny ip 10.0.0.0 0.255.255.255 anyR1(config)# access-list 150 deny ip 127.0.0.0 0.255.255.255 anyR1(config)# access-list 150 deny ip 172.16.0.0 0.15.255.255 anyR1(config)# access-list 150 deny ip 192.168.0.0 0.0.255.255 anyR1(config)# access-list 150 deny ip 224.0.0.0 15.255.255.255 anyR1(config)# access-list 150 deny ip host 255.255.255.255 any

Inbound on S0/0/0


• No permita que los paquetes IP salientes con una dirección de origen distinto a una dirección IP válida de la red interna.

Denegación de Suplantación de IPs

R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any

Inbound on Fa0/1


• DNS, SMTP y FTP son servicios comunes que a menudo se debe permitir a través de un firewall

Protección de DNS, SMTP y FTP

R1(config)# access-list 180 permit udp any host 192.168.20.2 eq domainR1(config)# access-list 180 permit tcp any host 192.168.20.2 eq smtpR1(config)# access-list 180 permit tcp any host 192.168.20.2 eq ftpR1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq telnetR1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq 22 R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq syslogR1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq snmptrap

Outbound on Fa0/0


• Los hackers utilizan paquetes ICMP para barridos de pings y ataques de DoS, el uso de mensajes de redirección ICMP para modificar las tablas de enrutamiento de host.– Tanto el eco de ICMP y redirección de los mensajes deben ser bloqueados de

forma entrante por el router.

Filtrado de Mensajes ICMP


– Echo reply - permite a los usuarios internos hacer ping a los hosts externos.

– Source quench - Pide al remitente disminuir la tasa de tráfico.

– Unreachable - Mensajes inalcanzables se generan para los paquetes que son denegados por una ACL.

Filtrado de Mensajes ICMP - Entrada

R1(config)# access-list 150 permit icmp any any echo-replyR1(config)# access-list 150 permit icmp any any source-quenchR1(config)# access-list 150 permit icmp any any unreachableR1(config)# access-list 150 deny icmp any any R1(config)# access-list 150 permit ip any any

Inbound on S0/0/0


– Echo – permite a los usuarios hacer ping a los hosts externos.

– Parameter problem – Informa al host de problemas de encabezado.

– Packet too big – Requerido por el paquete de descubrimiento de MTU.

– Source quench - Acelera el tráfico cuando sea necesario.

Filtrado de Mensajes ICMP – Salida

R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any echoR1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any parameter-problemR1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any packet-too-big R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any source-quenchR1(config)# access-list 105 deny icmp any anyR1(config)# access-list 105 permit ip any any

Inbound on Fa0/0


ACLs IPv6


• Las ACLs en IPv6 son similares a las ACLs de IPv4.

• Las ACLs en IPv6 se crean usando el comando – ipv6 access-list.

• Las ACLs IPv6 se aplican a una interface mediante el comando

– ipv6 traffic-filter access-list-name {in | out}

Configuración de ACL en IPv6


– permit icmp any any nd-na (neighbor advertisements)

– permit icmp any any nd-ns (neighbor solicitations)

• Al igual que con las ACLs IPv4, todas las ACL IPV6 incluyen una sentencia final implicita.– deny ipv6 any any

Entradas implicitas de las ACLs IPv6


Object Groups


• Object groups son usados para clasificar usuarios, dispositivos o protocolo en grupos.

• Estos grupos se pueden utilizar para crear políticas de control de acceso para grupos de objetos

• Tanto las ACLs IPv4 e IPv6 se pueden utilizar en grupos de objetos.

Usando Object Groups en ACLs


• En esta topología, hay 3 servidores, cada uno requiriend acceso desde fuera de la red

• Sin grupos de objetos, tenemos que configurar una declaración de permiso para cada servidor, para cada protocolo:

• Pero, ¿y si otros servidores o protocolos se añaden más tarde? Usted tendrá que editar la ACL!

¿Porque usar Object Groups?

R1(config)# ip access-list extended InR1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq smtpR1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq wwwR1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq httpsR1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq smtpR1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq wwwR1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq httpsR1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq smtpR1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq wwwR1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq https


• Para la misma topología, haciendo uso de la configuración de object group previa, primero se crea el grupo de objetos de servicios:

• Luego, cree el objeto de red para los servidores:

• Por último, se crea la ACL:

• Cuando se agrega un nuevo servidor o servicio, simplemente se edita el object group…No se toca la ACL!

Ejemplo de Object Groups

R1(config)# object-group service Web-svcs tcp R1(config-service-group)# tcp smtp R1(config-service-group)# tcp www R1(config-service-group)# tcp https

R1(config)# object-group network Webservers R1(config-network-group)# range 10.10.10.1 10.10.10.3

R1(config)# ip access-list extended InR1(config-ext-nacl)# access-list In permit tcp any object-group Webservers object-group Web-svcs

CCNA_SEC_v11 Cap_04_part_I_EB

Technology

exit r1config

cisco andor

ip accesslist extended

established r1configext

ip accessgroup acl

remark dmz acl r1configext

remark lan acl r1configext

ip accesslists accesslist