EJEMPLO DE CONFIGURACION *** Esta pequeña guia se hace teniendo en cuenta que el router de acceso del centro es un router CISCO. En caso contrario, las configuraciones no tendrian por que ser iguales. CONECTIVIDAD Como ejemplo, esta seria la configuracion de un interfaz serie de un router CISCO en una linea de 64 Kbps de capacidad: interface Serial4/3 description Linea de acceso NOMBRE-CENTRO (64 Kbps) ip address 172.16.207.94 255.255.255.252 no ip directed-broadcast bandwidth 64 Si ambos routers son CISCO, la encapsulacion sera HDLC (protocolo propietario de CISCO) que el router toma por defecto; si no, se introduciria en la configuracion: encapsulation ppp Los comandos generales que el router debe tener ya configurados serian los siguientes: ip classless (1) ip default-network 140.222.0.0 |(2) ip route 140.222.0.0 255.255.0.0 172.16.207.93 | ip subnet-zero (3) ip name-server IP_servidor_DNS (4) (1) De esta forma, el router entiende las redes fragmentadas. (2) Definicion de la ruta por defecto apuntando a la direccion del extremo de la linea en RedIRIS (3) De esta forma, el router hara uso de la red cero (opcional). (4) Direccion IP del servidor de DNS de la organizacion (opcional). CONTROL DE ACCESO El objetivo de este apartado es evitar que tanto los servicios como la red de una organizacion conectada a SIDERAL se vean afectados por ataques. Vamos a clasificar los ataques en dos tipos: - ataques al servicio - ataques a la red El control de acceso se realizara aplicando filtros en los interfaces. FILTROS PARA CONTROLAR LOS ATAQUES AL SERVICIO Por defecto, se filtraran todos los servicios salvo aquellos que vayan a ser utilizados. Continuando con el ejemplo anterior, vamos a aplicar los filtros de entrada (101) y de salida (103) al interfaz Serial4/3. En este caso, habilitamos los servicios tipicos que tiene una organizacion: correo, web, ftp y dns. Suponemos que la maquina 192.168.235.3 es la que aloja estos servicios. access-list 101 permit tcp any any established access-list 101 permit tcp any host 192.168.235.3 eq domain access-list 101 permit tcp any host 192.168.235.3 eq smtp access-list 101 permit tcp any host 192.168.235.3 eq www access-list 101 permit tcp any host 192.168.235.3 eq ftp access-list 101 permit tcp host 172.16.207.93 host 172.16.207.94 eq telnet access-list 101 permit tcp host xxx.xxx.xxx.xxx host 172.16.207.94 eq telnet |(1) access-list 101 permit tcp any eq ftp-data any gt 1023 (2) ! Algún otro servicio tcp que tenga el centro ? access-list 101 deny tcp any any access-list 101 permit udp any host 192.168.235.3 eq domain access-list 101 permit udp any any gt 1023 (3) ! Algún otro servicio udp que tenga el centro ? access-list 101 deny udp any any access-list 101 permit ip any any log (1) Es conveniente que el NOC de RedIRIS tenga acceso vía telnet, por ejemplo desde el otro extremo de la línea y máquina de gestión de NOC RedIRIS (solicitar IP). (2) Las conexiones tcp a puertos anónimos. Sería conveniente restringir este rango, pero depende del tipo de máquinas que tenga la organización (Solaris, Windows, Linux,...) y es esta la que debe realizar este análisis para determinar este rango. Hay que distinguir el FTP ACTIVO y el FTP PASIVO. El más común y que menos problemas de seguridad da es el FTP pasivo, ya que en este caso el servidor se conecta desde el puerto ftp-data (20) al puerto que él mismo elige (puertos altos) del cliente para mandar los datos. Con el FTP activo, el cliente decide a qué puertos el servidor le envía datos, y el servidor envía dichos datos desde cualquier puerto (puertos altos). De esta forma, con los filtros anteriores se permite únicamente el FTP pasivo. Para permitir el FTP activo, hay que permitir que desde cualquier puerto, una máquina externa se pueda conectar a cualquier puerto de una máquina de nuestra organización (hablamos siempre de puertos altos). Es decir, no habría que aplicar un filtro, con lo que habría que extremar la seguridad a nivel de máquina. (3) = (2) para udp. FILTROS PARA CONTROLAR LOS ATAQUES A LA RED El propósito de estos filtros es controlar un tipo de ataque muy extendido en Internet, el "smurfing". Es un ataque a nivel de red y pertenece a la categoría de "Denial of Service Attacks": El agresor envía una gran cantidad de tráfico ICMP echo (pings) a direcciones broadcast. Estos pings tienen una dirección fuente "spoofed", es decir falsa, que pertence a la víctima del ataque. Para evitar este ataque es necesario utilizar dos tipos de filtros para: - Controlar el "spoofing" de direcciones. (A) - Controlar el tráfico ICMP. (B) (A) El filtro de entrada deniega el trafico originado en direcciones dentro de la LAN, y el filtro de salida permite unicamente el trafico originado en la LAN con direccionamiento publico. ... ! access-list 101 deny ip 192.168.235.0 255.255.255.0 any access-list 101 permit ip any any ! access-list 103 permit ip 192.168.235.0 255.255.255.0 any access-list 103 permit ip host 172.16.207.94 any (1) ! ... (1) Esta linea se añade para permitir el acceso desde RedIRIS al router del centro. (B) Para evitar el smurfing, el centro debe controlar el tráfico ICMP que este envía a la red (no se debe consumir recursos de la red con tráfico no deseado). Para ello, se añade en el filtro de salida una prohibicion de trafico ICMP dirigido a direcciones broadcast y de red. ... ! access-list 103 deny icmp any 0.0.0.255 255.255.255.0 access-list 103 deny icmp any 0.0.0.0 255.255.255.0 ! ... Evidentemente, es una solución que deja bastante que desear ya que estamos suponiendo clases C, cuando hoy en día los rangos de direcciones son classless. Para mejorar la anterior solución, ya que cada centro sabe perfectamente sus direcciones de red y broadcast, se añadiría en los filtros de entrada una prohibición de tráfico ICMP a estas direcciones. Por ejemplo, supongamos que la red del centro es 192.168.235.0/25. Los filtros quedarian como sigue: ... ! access-list 101 deny icmp any host 192.168.235.0 access-list 101 deny icmp any host 192.168.235.127 access-list 101 permit ip any any ! ... La solución mas eficiente al problema del smurfing consiste en controlar el volumen de tráfico ICMP en los routers de acceso. Esta solucion requiere tanto sw como hw avanzado. Resumiendo, la configuracion del interfaz quedaria como sigue: ... ! ip classless ip default-network 140.222.0.0 ip route 140.222.0.0 255.255.0.0 172.16.207.93 ip subnet-zero ip name-server 192.168.235.3 ! ... ! interface Serial4/3 description Linea de acceso NOMBRE-CENTRO (64 Kbps) ip address 172.16.207.94 255.255.255.252 ip access-group 101 in ip access-group 103 out encapsulation ppp no ip directed-broadcast bandwidth 64 ! ... ! access-list 101 deny icmp any host 192.168.235.0 access-list 101 deny icmp any host 192.168.235.127 access-list 101 deny ip 192.168.235.0 255.255.255.0 any access-list 101 permit tcp any any established access-list 101 permit tcp any host 192.168.235.3 eq domain access-list 101 permit tcp any host 192.168.235.3 eq smtp access-list 101 permit tcp any host 192.168.235.3 eq www access-list 101 permit tcp any host 192.168.235.3 eq ftp access-list 101 permit tcp host 172.16.207.93 host 172.16.207.94 eq telnet access-list 101 permit tcp host xxx.xxx.xxx.xxx host 172.16.207.94 eq telnet access-list 101 permit tcp any ftp-data any gt 1023 access-list 101 deny tcp any any access-list 101 permit udp any host 192.168.235.3 eq domain access-list 101 permit udp any any gt 1023 access-list 101 deny udp any any access-list 101 permit ip any any log access-list 103 deny icmp any 0.0.0.255 255.255.255.0 access-list 103 deny icmp any 0.0.0.0 255.255.255.0 access-list 103 permit ip 192.168.235.0 255.255.255.0 any access-list 103 permit ip host 172.16.207.94 any ! ... Se recomienda encarecidamente actualizar periodicamente la version de IOS del router para disponer de las ultimas tecnologias y caracteristicas del routing.