CCNA_SEC_v11 Cap_04_part_I_EB

Implementación de
Tecnologías de Firewall

© 2012 Cisco and/or its affiliates. All rights reserved. 1

• Los firewalls separan redes protegidos de redes no protegidas,
previniendo a usuarios no autorizados a los recursos de red
protegidos:
• Tecnologías implementadas:
– ACLs
• Estándars, extendidas, numeradas y ACLs nombradas
– ACLs Avanzadas
• Stateful firewall - ACLs con la palabra clave established
• ACLs Reflexivas (dinamicas), ACLs basadas en tiempo
– Característica de Zone-Based Firewall (ZBFW)


• Packet-filtering firewall

• Stateful firewall


ACLs


• Virtualmente cualquier tipo de trafico puede ser definido
explícitamente usando una ACL numerada apropiadamente.

1-99 , 1300-1999
100-199 , 2000-2699


• Nota:
– Puede ser aplicadas a una interface en dirección entrante o saliendo con
el comando ip access-group.
– En la VTY se implementa con el comando access-class.


R1(config)# ip access-list standard RESTRICT-VTY
R1(config-std-nacl)# remark Permit only Admin host
R1(config-std-nacl)# permit host 192.168.1.10
R1(config-std-nacl)# exit
R1(config)# line vty 0 4
R1(config-line)# access-class RESTRICT-VTY
R1(config-line)# exit


• Cree una ACL extendida llamada ACL-1 y aplíquela de manera entrante
en la interface Fa0/0, para denegar el trafico saliente del servidor
workgroup pero que permita el trafico restante de los usuarios de la LAN
haciendo uso de la palabra clave established .
R1(config)# ip access-list extended ACL-1
R1(config-ext-nacl)# remark LAN ACL
R1(config-ext-nacl)# deny ip host 192.168.1.6 any
R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any
established
R1(config-ext-nacl)# deny ip any any
R1(config-ext-nacl)# exit
R1(config)# interface Fa0/0
R1(config-if)# ip access-group ACL-1 in
R1(config-if)# exit


• Cree una ACL extendida llamada ACL-2 y apliquela de salida en
la interface DMZ Fa0/1, permitiendo el acceso especificamente a
los servidores Web y Email.
R1(config)# ip access-list extended ACL-2
R1(config-ext-nacl)# remark DMZ ACL
R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25
R1(config-ext-nacl)# permit tcp any host 192.168.2.6 eq 80
R1(config-ext-nacl)# interface Fa0/1
R1(config-if)# ip access-group ACL-2 out
R1(config-if)# exit

El parámetro log puede ser anexado al final de
la sentencia ACL.
permit tcp any host 192.168.2.6 eq 80 log


• Una vez configurado, el IOS compara los paquetes y encuentra
una coincidencia con la sentencia.
• El router entonces registra cualquiera de estas, ya sea por:
– La consola
– El buffer interno
– Un syslog server


• Algunas partes de la información son registradas:
– Acción - permitir o denegar
– Protocolo - TCP, UDP o ICMP
– Direcciones Origen y Destino
– Para TCP y UDP – números de puertos origen y destino
– Para ICMP – tipos de mensajes

• Los mensajes se procesan de manera conmutada, de acuerdo a
la coincidencia del primer paquete y después a intervalos de
cinco minutos.


• Un comando útil para ver la operación de una lista de acceso es
el comando show log.
• Para resetear los contadores, use el comando
clear ip access-list counter [number | name].


• Por defecto cuando añadimos una sentencia a una ACL esta se
añade al final. Sin los números de secuencia la única forma de
añadir una declaración entre las entradas existentes consiste en
borrar la ACL, editarla y volver a crearla.
• Las ACL IP con números de secuencia permite agregar o eliminar
de forma selectiva una sentencia en cualquier posición dentro de
la ACL.
• Para crear una ACL nombrada extendida use el siguiente
comando:
ip access-list {standard | extended} access-
list-name command.


• show running-config o show startup-config

• show ip access-lists access-list-name

• show access-list

• Por defecto los números de secuencia comienzan en 10 y se
incrementan en valores de 10 si no se especifica cuando se
añaden sentencias a la ACL.


• Verificación, haciendo uso del comando show para ver los
números de secuencia actuales.
R1# show access-list 150
Extended IP acess list 150
10 permit tcp any any eq www
20 permit tcp any any eq telnet
30 permit tcp any any eq smtp
40 permit tcp any any eq pop3
50 permit tcp any any eq 21
60 permit tcp any any eq 20

• Use el comando no sequence-number para borrar una
sentencia.
R1(config)# ip access-list extended 150
R1(config-ext-nacl)# no 20

• Use el comando sequence-number {permit | deny} para
agregar la nueva sentencia a la ACL.
R1(config)# ip access-list extended 150
R1(config-ext-nacl)# 20 permit tcp host 192.168.1.100 any eq telnet


Localización de la ACL


• Las ACLs estándar:
– Se ubican los más cercano al destino como sea posible.
– Debido a que estas filtran paquetes basado en las direcciones de origen del
trafico.

• Las ACLs extendidas:
– Se ubican lo más cercano al origen como sea posible al trafico que se
desea filtrar.
– La ubicación demasiado lejos de la fuente hace que el uso sea ineficiente
para los recursos de la red porque los paquetes se pueden enviar muy lejos
sólo para denegarlos.


Configuración de ACLs usando
CCP


ACLs Complejas


• En una red moderna todo el tráfico desde el exterior se debe
bloquear a menos que:
– Queda expresamente permitido por una ACL.
– Se está retornando tráfico iniciado desde el interior de la red.

• Muchas de las aplicaciones comunes se basan en TCP, el cual
construye un circuito virtual entre dos puntos finales.
• Las soluciones para el filtrado de tráfico basado en la
conectividad de dos vías de TCP son:
– TCP establecida
– ACL reflexiva


• En 1995, la primera generación de solución de filtrado de trafico
basado en TCP establecida como palabra clave en ACL
extendidas.
– La palabra established de TCP bloquea todo el tráfico procedente de
Internet, excepto para el tráfico de respuesta TCP iniciada desde dentro de la
red.

• La palabra clave established obliga al router a comprobar si el
indicador de control TCP ACK o RST está activado.
– Si el flag ACK está establecida, el tráfico TCP se le permite entrar
– Si no, se asume que el tráfico está asociado a una conexión nueva iniciada
desde el exterior.


R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established
R1(config)# access-list 100 deny ip any any
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 100 in


• En 1996, la segunda generación de solución para el filtrado de la
sesión fue las ACLs reflexivas.
• A diferencia de la función de red TCP que acaba de utilizar los
bits ACK y RST, el filtro de ACLs reflexivas en dirección de origen
de destino o números de puerto.
• Además, el filtrado de sesión utiliza filtros temporales que se
eliminan cuando una sesión culmina añadiendo un límite de
tiempo si se esta en oportunidad de un ataque.


• Los administradores de red utilizan las ACLs reflexivas para
permitir el tráfico IP de las sesiones procedentes de su red al
tiempo que niega el tráfico IP de las sesiones que se originan
fuera de la red.
• El router examina el tráfico de salida y cuando ve una nueva
conexión, se agrega una entrada en una ACL temporal para
permitir las respuestas hacia adentro


• Paso 1.
– Crear una ACL interna que busca nuevas sesiones salientes y crea ACL
reflexivas temporales.

• Paso 2.
– Crear una ACL externa que utiliza las ACLs reflexivas para examinar el tráfico
de retorno.

• Paso 3.
– Activar la ACL nombrada en la Interface apropiada.


• Crear una ACL reflexiva que
permita a los usuarios internos
que navegan a Internet con un
navegador web y confiando en
DNS con un tiempo de espera de
10 segundos.

R1(config)# ip access-list extended INTERNAL_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10
R1(config)# ip access-list extended EXTERNAL_ACL
R1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACL
R1(config-if)# ip access-group INTERNAL_ACL out
R1(config-if)# ip access-group EXTERNAL_ACL in


• Las ACLs dinámicas son también llamadas las ACL de cerradura.

• Las ACLs dinámicas autentican al usuario y permite un acceso
limitado a través de su router firewall para un host o subred por
un período determinado.
• ACL dinámicas son dependientes de:
– Telnet conectividad
– Autenticación (local o remota)
– ACL extendidas.


• Una ACL extendida es aplicada para bloquear todo el trafico a
través del router excepto el Telnet.
– Los usuarios que quieran atravesar el router se bloquean por la ACL, hasta
que usan Telnet para conectarse al router y se autentican.

• Los usuarios se autentican mediante Telnet y luego se descartan.
– Sin embargo, una sentencia de entrada dinámica se agrega a la ACL
extendida existente.
– Esto permite que el tráfico curse durante un período determinado; tiempos de
espera de inactividad y absoluto sean posibles.


• Cuando se desee que un usuario remoto específico o grupo de
usuarios remotos acceden a un host dentro de la red,
conectándose desde sus equipos remotos a través de Internet.
• Cuando se desea que un subconjunto de hosts en una red local
accedan a un host en una red remota que está protegida por un
firewall.


R3(config)# username Student password cisco
R3(config)# access-list 101 permit tcp any host 10.2.2.2 eq telnet
R3(config)# access-list 101 dynamic TESTLIST timeout 15 permit ip 192.168.10.0 0.0.0.255
192.168.3.0 0.0.0.255
R3(config-if)# exit
R3(config)# line vty 0 4
R3(config-line)# login local
R3(config-line)# autocommand access-enable host timeout 15


1. Crear un rango de tiempo que define momentos específicos del día y de la
semana.
2. Identificar el rango de tiempo con un nombre y a continuación se refiere a ella
por una función.
3. Las restricciones de tiempo se imponen a la propia función.


• Los usuarios no están autorizados a
acceder a Internet durante horas de
oficina, excepto durante el almuerzo
y después de las horas entre las 5
P.M. y las 7 P.M.

R1(config)# time-range EMPLOYEE-TIME
R1(config-time-range)# periodic weekdays 12:00 to 13:00
R1(config-time-range)# periodic weekdays 17:00 to 19:00
R1(config-time-range)# exit
R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIME
R1(config)# access-list 100 deny ip any any
R1(config)# interface FastEthernet 0/1
R1(config-if)# exit


Troubleshooting de ACLs


• Los dos comands utiles para el troubleshooting de ACLs:
– show access-lists
– debug ip packet (detail)


Mitigación de Ataques con ACLs


• Las ACLs se pueden utilizar para mitigar muchas de las
amenazas de la red:
– Falsificación de direcciones IP, entrante o salientes
– Ataques de DoS TCP SYN
– Ataques de smurf DoS

• Las ACLs tambien pueden filtrar los siguientes tipos de trafico:
– Mensajes de ICMP entrante o salientes
– traceroute


• Denegar todos los paquetes IP que
contengan las siguientes direcciones IP
en su campo de origen:
– Cualquier dirección de host local (127.0.0.0/8)
– Cualquier dirección del RFC 1918
– Cualquier dirección en el rango de IP Multicast
(224.0.0.0/4)

Inbound on S0/0/0
R1(config)# access-list 150 deny ip 0.0.0.0 0.255.255.255 any
R1(config)# access-list 150 deny ip host 255.255.255.255 any


• No permita que los paquetes IP
salientes con una dirección de
origen distinto a una dirección IP
válida de la red interna.

Inbound on Fa0/1
R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any


• DNS, SMTP y FTP son servicios comunes que a menudo se
debe permitir a través de un firewall

Outbound on Fa0/0
R1(config)# access-list 180 permit udp any host 192.168.20.2 eq domain
R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq smtp
R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq ftp
R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq telnet
R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq 22
R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq syslog
R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq snmptrap


• Los hackers utilizan paquetes ICMP para barridos de pings y
ataques de DoS, el uso de mensajes de redirección ICMP para
modificar las tablas de enrutamiento de host.
– Tanto el eco de ICMP y redirección de los mensajes deben ser bloqueados
de forma entrante por el router.


– Echo reply - permite a los usuarios internos hacer ping a los hosts externos.
– Source quench - Pide al remitente disminuir la tasa de tráfico.
– Unreachable - Mensajes inalcanzables se generan para los paquetes que
son denegados por una ACL.

Inbound on S0/0/0
R1(config)# access-list 150 permit icmp any any echo-reply
R1(config)# access-list 150 permit icmp any any source-quench
R1(config)# access-list 150 permit icmp any any unreachable
R1(config)# access-list 150 deny icmp any any
R1(config)# access-list 150 permit ip any any


– Echo – permite a los usuarios hacer ping a los hosts externos.
– Parameter problem – Informa al host de problemas de encabezado.
– Packet too big – Requerido por el paquete de descubrimiento de MTU.
– Source quench - Acelera el tráfico cuando sea necesario.

Inbound on Fa0/0
R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any echo
R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any parameter-problem
R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any packet-too-big
R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any source-quench
R1(config)# access-list 105 deny icmp any any
R1(config)# access-list 105 permit ip any any


ACLs IPv6


• Las ACLs en IPv6 son similares a las ACLs de IPv4.

• Las ACLs en IPv6 se crean usando el comando
– ipv6 access-list.

• Las ACLs IPv6 se aplican a una interface mediante el comando
– ipv6 traffic-filter access-list-name {in | out}


– permit icmp any any nd-na (neighbor advertisements)
– permit icmp any any nd-ns (neighbor solicitations)

• Al igual que con las ACLs IPv4, todas las ACL IPV6 incluyen una
sentencia final implicita.
– deny ipv6 any any


Object Groups


• Object groups son usados para clasificar usuarios, dispositivos o
protocolo en grupos.
• Estos grupos se pueden utilizar para crear políticas de control de
acceso para grupos de objetos
• Tanto las ACLs IPv4 e IPv6 se pueden utilizar en grupos de
objetos.


• En esta topología, hay 3 servidores,
cada uno requiriend acceso desde
fuera de la red
• Sin grupos de objetos, tenemos que
configurar una declaración de
permiso para cada servidor, para
cada protocolo:
R1(config)# ip access-list extended In
R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq smtp
R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq www
R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq https

• Pero, ¿y si otros servidores o
protocolos se añaden más tarde?
Usted tendrá que editar la ACL!


• Para la misma topología, haciendo uso de la configuración de
object group previa, primero se crea el grupo de objetos de
servicios:
R1(config)# object-group service Web-svcs tcp
R1(config-service-group)# tcp smtp
R1(config-service-group)# tcp www
R1(config-service-group)# tcp https

• Luego, cree el objeto de red para los servidores:

R1(config)# object-group network Webservers
R1(config-network-group)# range 10.10.10.1 10.10.10.3

• Por último, se crea la ACL:
R1(config)# ip access-list extended In
R1(config-ext-nacl)# access-list In permit tcp any object-group Webservers
object-group Web-svcs

• Cuando se agrega un nuevo servidor o servicio, simplemente se
edita el object group…No se toca la ACL!


CCNA_SEC_v11 Cap_04_part_I_EB

Recomendados

Recomendados

Más contenido relacionado

Similar a CCNA_SEC_v11 Cap_04_part_I_EB

Similar a CCNA_SEC_v11 Cap_04_part_I_EB (20)

Más de Edgar Benavente

Más de Edgar Benavente (20)

Último

Último (20)

CCNA_SEC_v11 Cap_04_part_I_EB