Jornadas Técnicas RedIRIS 2000

1. Jornadas TécnicasRedIRIS 2000 Seguridad en listas de control de acceso

2. Evitar ataques por Inundación • Cómo descubrir la máquina conflictiva? • En la interfaz ip route-cache flow • En el router sh ip cache flow • Conviene exportarlo a un servidor cflow • Limitar tráfico en la interfaz: rate-limit input access-group 101 64000 8000 8000 conform-action transmit exceed-action drop • Aplicado al ICMP access-list 101 permit icmp any any • Extensible a cualquier servicio • ICMP: permitir el acceso a RedIRIS • El extremo de la interfaz • 130.206.1 y 130.206.224

3. Puertos altos o anónimos • Depende de los sistemas, se debe analizar • No hay casos generales, las aplicaciones pueden cambiar de puerto • ej. Napster, puede ayudar filtrar algunos puertos • En la entrada a nuestro router: access-list 170 deny tcp any <rango> gt 6660 lt 6670 • No conviene saturar el router con listas inmensas • Filtrar en las máquinas

4. Spoofing • Mediante CEF: • Ip cef habilitado en el router • Correr verificación de CEF ip verify unicast reverse-path • Se carga la CPU del router • Mediante ACL (Unico método si el camino es asimétrico) • en entrada, denegar tráfico originado en direcciones dentro del centro • Método recomendado para no cargar el router

5. Otros Servicios • Por defecto, se deniegan todos • Localizar los servidores • Solo permitir el acceso a los puertos deseados en dichos servidores permit tcp any host x.x.x.x eq domain smtp www ftp (también UDP cuando sea necesario) • Conexiones ftp a puertos anónimos: permit tcp any any ftp-data any gt 1024 • análisis

6. Configuración final ftp://ftp.rediris.es/rediris/red/ip/docs/ejem-cisco.txt