Professional Documents
Culture Documents
Introducción
• Estudiar ACLs nombradas, estandares y extendidas.
• Configurar ACLs con CLI y SDM
• Describir la funcionalidad TCP established
• Estudiar ACLs reflexivas.
• Estudiar ACLs dinámicas.
• Estudiar ACLs basadas en tiempo.
• Mitigación de ataques mediante ACLs
• Estudiar los tipos de Firewalls.
• Estudiar las CBACs.
• Estudiar la generación de politica basadas en zonas en los Firewalls mediante CLI y SDM.
CCNA SECURITY
• Por ejemplo, una ACL numerada 700-799 podría ser usado para bloquear un cliente
con una dirección MAC específica.
CCNA SECURITY
• ACLs nombradas:
CCNA SECURITY
• El parámetro 0.0.0.255 es la wildcard. Los ceros indican las posiciones que deben
coincidir en el proceso de AND y los 1 indican las posiciones que serán ignoradas.
• El parámetro any es una abreviatura de una dirección 0.0.0.0 y una wildcard de
255.255.255.255.
• La clausula “access-list 1 permit any” se pone debido a la denegación implícita del
final de toda ACLS en cuyo caso se denegaria todo el tráfico, de este modo se
permite el resto del tráfico.
CCNA SECURITY
Troubleshooting ACLs
• Uno de los comandos de verificación de ACLs es el siguiente:
– Router# show access-lists [access-list-number | access-list-name]
– Este comando informa de los paquetes que han coincidido con las condiciones de la ACL
• Otro comando muy importante es “debug ip packet”
– Router# debug ip packet [access-list-number] [detail]
– Es un comando muy util para analizar el flujo de trafico entre hosts locales y remotos, con el
keyword detail obtenemos informacion adicional.
CCNA SECURITY
Tecnologías de Firewall
CCNA SECURITY
Tipos de Firewalls
• FW de filtrado de paquetes - Normalmente es un router con la capacidad de filtrar algún
contenido del paquete, como de nivel 3 y a veces de nivel 4.
• Stateful firewall - Monitoriza el estado de las conexiones, si la conexión está en la fase de
inicio, de transferencia de datos, o en la fase de terminación. (Opera en las capas 3, 4 y 5)
• Application Gateway cortafuegos (firewall proxy) - Un cortafuegos que filtra la información
a las capas 3, 4, 5 y 7 del modelo de referencia OSI. Se suele hacer por software.
• Adress Translation FW - Un servidor de seguridad que amplía el número de direcciones IP
disponibles y oculta el diseño del direccionamiento de la red interna.(Opera en las capas 3
y 4)
• FW Basado en host (servidor y personal) - Un software de FW que se ejecuta en un PC o
servidor.
• Firewall transparente - Un firewall que filtra el tráfico IP entre un par de interfaces de
puente.
• Firewall Hibrido - Un servidor de seguridad que es una combinación de los distintos tipos
de firewalls. Por ejemplo, un firewall de inspección de aplicación combina un cortafuegos
de estado con un firewall de aplicación.
CCNA SECURITY
Características CBAC
• Opción disponible en Cisco IOS Firewall.
• Las CBAC filtran de manera inteligente paquetes TCP y UDP basándose en información de las sesiones de
protocolos de la capa de aplicación.
• Proporciona filtrado con estado de capa de aplicacion.
• Están especificamente diseñadas para filtrar tráfico así de aplicaciones multimedia y protocolos que
requieren de múltiples canales de comunicación tales como FTP y H.323.
• Las CBAC pueden bloquear aplicaciones de mensajería instantanea y aplicaciones P2P.
• Las CBACs ofrecen cuatro funciones principales: filtrado de tráfico, control de tráfico, detección de intrusos,
y generación de las auditorías y alertas.
• Filtrado de tráfico
– Una CBAC puede ser configurada para permitir tráfico TCP y UDP de retorno a través de un servidor
de seguridad cuando la conexión se inicia desde dentro de la red. Esto se logra mediante la creación
de aberturas temporales en una ACL que de lo contrario negaría el tráfico.
– Examinan información de la capa de transporte y de la capa de aplicación para conocer el estado de
la sesión. Como consecuencia se da soporte a protocolos que involucran múltiples canales creados
como resultado de las negociaciones en el canal de control.
– La mayoría de los protocolos de multimedia, así como algunos otros protocolos (como FTP, RPC, y
SQL) se refieren a múltiples canales.
CCNA SECURITY
Troubleshooting CBACs
• Las CBACs generan dos tipos de loggings: alertas y auditorias.
• Alertas
– Las alertas muestran informacion acerca de insuficiencia de recursos en el router,
ataques DOS y otras amenazas.
– Las alertas están habilitadas por defecto, para deshabilitarlas tenemos el comando “ip
inspect alert-off”.
– Tambien es posible habilitar o deshabilitar alertas por regla de inspeccion.
– Ejemplo de alerta:
• %FW-4-SMTP_INVALID_COMMAND: Invalid SMTP command from initiator
• (209.165.201.5:49387)
• Auditorias
– Las funciones de auditoría realizan un seguimiento de las conexiones que inspecciona la
CBAC, incluidos los intentos de acceso válidos y no válidos.
– Por ejemplo, muestra mensajes cuando una CBAC agrega o quita una entrada de la
tabla de estado.
– La auditoría está desactivada por defecto, pero puede ser activado con el comando “ip
inspect audit-trail”
CCNA SECURITY
Troubleshooting CBACs (y V)
• Ejemplos:
– El comando “Router# show ip inspect sessions” muestra las siguiente información
• Established Sessions
• Session 25A3378 (209.165.201.1:20)=>(192.168.1.2:32704) ftp-data SIS_OPEN
• Session 25A5AC2 (192.168.1.2:32703)=>(209.165.201.1:21) ftp SIS_OPEN
• El comando “show ip access-list” muestra las entradas dinamicas creadas por la ACL
extendida entrante
– Router# show ip access-list
• Extended IP access list 100
• permit tcp host 209.165.201.1 eq 21 host 192.168.1.2 eq 32703 (24 matches)
• permit tcp host 209.165.201.1 eq 20 host 192.168.1.2 eq 32704 (88 matches)
CCNA SECURITY
• Cuando buscamos información mucho mas detallada pordemos emplear el comando “debug
ip inspect”
CCNA SECURITY