Jornadas Tcnicas RedIRIS 2000 - PowerPoint PPT Presentation

About This Presentation
Title:

Jornadas Tcnicas RedIRIS 2000

Description:

Se carga la CPU del router. Mediante ACL (Unico m todo si el camino es asim trico) ... M todo recomendado para no cargar el router. JT2000. noc_at_rediris.es cert ... – PowerPoint PPT presentation

Number of Views:79
Avg rating:3.0/5.0
Slides: 7
Provided by: Javi47
Category:

less

Transcript and Presenter's Notes

Title: Jornadas Tcnicas RedIRIS 2000


1
Jornadas TécnicasRedIRIS 2000
  • Seguridad en listas de control de acceso

2
Evitar ataques por Inundación
  • Cómo descubrir la máquina conflictiva?
  • En la interfaz
  • ip route-cache flow
  • En el router
  • sh ip cache flow
  • Conviene exportarlo a un servidor cflow
  • Limitar tráfico en la interfaz
  • rate-limit input access-group 101 64000 8000
    8000 conform-action transmit exceed-action drop
  • Aplicado al ICMP
  • access-list 101 permit icmp any any
  • Extensible a cualquier servicio
  • ICMP permitir el acceso a RedIRIS
  • El extremo de la interfaz
  • 130.206.1 y 130.206.224

3
Puertos altos o anónimos
  • Depende de los sistemas, se debe analizar
  • No hay casos generales, las aplicaciones pueden
    cambiar de puerto
  • ej. Napster, puede ayudar filtrar algunos puertos
  • En la entrada a nuestro router
  • access-list 170 deny tcp any ltrangogt gt 6660 lt
    6670
  • No conviene saturar el router con listas inmensas
  • Filtrar en las máquinas

4
Spoofing
  • Mediante CEF
  • Ip cef habilitado en el router
  • Correr verificación de CEF
  • ip verify unicast reverse-path
  • Se carga la CPU del router
  • Mediante ACL (Unico método si el camino es
    asimétrico)
  • en entrada, denegar tráfico originado en
    direcciones dentro del centro
  • Método recomendado para no cargar el router

5
Otros Servicios
  • Por defecto, se deniegan todos
  • Localizar los servidores
  • Solo permitir el acceso a los puertos deseados en
    dichos servidores
  • permit tcp any host x.x.x.x eq domain
  • smtp
  • www
  • ftp
  • (también UDP cuando sea necesario)
  • Conexiones ftp a puertos anónimos
  • permit tcp any any ftp-data any gt 1024
  • análisis

6
Configuración final
  • ftp//ftp.rediris.es/rediris/red/ip/docs/ejem-cisc
    o.txt
Write a Comment
User Comments (0)
About PowerShow.com