La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

ACL Cisco. 19 Settembre 20052 Access List Nega il traffico basandosi sul contenuto di alcuni campi dei datagram. Nel caso.

Presentazioni simili


Presentazione sul tema: "ACL Cisco. 19 Settembre 20052 Access List Nega il traffico basandosi sul contenuto di alcuni campi dei datagram. Nel caso."— Transcript della presentazione:

1 ACL Cisco

2 19 Settembre Access List Nega il traffico basandosi sul contenuto di alcuni campi dei datagram. Nel caso di un pacchetto IP: Frame Header (for examples, HDLC) Packet (IP header) Segment (for Examples. TCP Header) Data Protocol Source Address Destination Address Port number e TCP flags

3 19 Settembre Access List Tipi di Access List: –Standard Access List, controllano il source address del pacchetto IP –Extended Access List, controllano entrambi source e destination addresses del pacchetto IP. Inoltre puo’ essere filtrato uno specifico protocollo, numero di porta e TCP flags

4 19 Settembre Access List range su IOS Per il protocollo IP: –Standard hanno un range da 1 a 99 –Estese hanno un range da 100 a 199 Per il bridge type-code: –Standard hanno un range da 201 a 299 Per il protocollo IPX: –Standard hanno un range da 800 a 899 –Estese hanno un range da 900 a 999 Per il protocollo Apple Talk –Il range va da 600 a 699

5 19 Settembre Bits della Wildcard Mask Questa maschera permette di stabilire in una Network cosa controllare e cosa ignorare. –Dove c’é uno zero si ha un controllo sul corrispondente bit –Dove c’é un uno il corrispondente bit é ignorato.

6 19 Settembre Wildcard Bits Octet Bit Position Check all Bits Ignore last 6 bits Ignore last 4 bits Don’t check bits

7 19 Settembre Esempio Wildcard Mask Data la Network con wildcard mask –La network é di classe B con il terzo ottetto subnettato. –É possibile usare questa configurazione per controllare le subnet da a

8 19 Settembre Esempio Wildcard Mask Per controllare qualsiasi indirizzo IP si dovrebbe usare: Any IP address Wildcard mask Ignore all Per accettare qualsiasi indirizzo si utilizza l’espressione abbreviata ANY

9 19 Settembre Esempio Wildcard Mask Per controllare uno specifico IP host e quindi controllare tutti i bits: Uno specifico IP address Wildcard mask controlla tutti i bits Per controllare tutti i bits di uno specifico IP address si usa l’abbreviazione Host

10 19 Settembre Sintassi delle ACL estese IP Access-list-number: identifica l’access list Protocol: sono IP, TCP, UDP, ICMP, GRE, IGRP, etc Source, destination: IP addr di provenienza e di destinazione Source-mask e destination-mask, sono la wildcard mask Operators: operatori logici - lt, le, gt, ge, eq, neq, range Operand, port number Router (config)# Access-list access-list-number {permit | deny} protocol Source source-wildcard-mask [operator source-port | source-port] Destination destination-wildcard-mask [operator destination-port | destination-port] [established]

11 19 Settembre Sintassi delle ACL Estese IP Attivare le access list estese su una interfaccia –Access-list-number, indica il numero dell’access list che deve essere richiamato sull’interfaccia –In | out, indica se l’access list é applicata in ingresso o in uscita all’interfaccia Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface atm1/0.5 point-to-point Router(config-subif)#ip access-group access-list-number {in |out}

12 19 Settembre Esempio Router#show running-config interface ATM1/0.5 point-to-point description PVC 17.6M LNF-GARRB-Telecom bandwidth ip address XXX.XXX.XXX.XXX ip access-group 103 in no ip mroute-cache atm pvc aal5snap …

13 19 Settembre Come scrivere le Access-List Fondamentale e’ l’ordine con cui sono scritte le regole delle access-list Le regole vengono controllate sequenzialmente secondo l’ordine di inserimento Alla prima regola verificata si esce dal percorso saltando i controlli successivi E’ importante anche il verso in cui sono applicate sulle interfacce

14 19 Settembre Esempio Per prima cosa, implementiamo la nostra access-list nel verso IN sull’interfaccia Seriale o ATM connessa alla WAN DatiSADA Ip access-group in

15 19 Settembre Esempio (connessioni TCP) Implementiamo l’access-list tenendo conto, se possibile, che e’ conveniente mettere prima le regole verificate piu’ spesso Permesso di tutti i nodi internet all’inoltro di pacchetti TCP per connessioni gia’ stabilite access-list 103 permit tcp any established access-list 103 permit tcp any established access-list 103 permit tcp any established access-list 103 permit tcp any established

16 19 Settembre Porte alte pericolose Elenco di esempio di porte alte UDP e TCP "pericolose": –NFS (udp porta 2049), –Openwin (tcp porta 2000), –MySQL (tcp e udp porta 3306), –X11 (tcp porte ), –adsm (tcp porta 1500), –fontsrv (udp e tcp porte 7000 e 7100)

17 19 Settembre Esempio (blocco porte alte pericolose UDP) Divieto di tutti i nodi internet all’inoltro di pacchetti UDP sulle porte alte pericolose access-list 103 deny udp any any eq 2049 access-list 103 deny udp any any eq 3306 access-list 103 deny udp any host eq 7000 access-list 103 deny udp any any eq 7100

18 19 Settembre Esempio (UDP) Permesso di tutti i nodi internet all’inoltro di pacchetti UDP sulle porte alte (>1024) access-list 103 permit udp any gt 1024 access-list 103 permit udp any gt 1024 access-list 103 permit udp any gt 1024 access-list 103 permit udp any gt 1024

19 19 Settembre Esempio (ssh) Accesso in SSH solo verso macchine ben controllate ed amministrate access-list 103 permit tcp any host eq 22

20 19 Settembre Esempio (net-services) Permesso di tutti i nodi internet verso i Server DNS (53), SMTP (25), WWW (80 e 443) access-list 103 permit tcp any host eq domain access-list 103 permit udp any host eq domain access-list 103 permit tcp any host eq smtp access-list 103 permit tcp any host eq domain access-list 103 permit udp any host eq domain access-list 103 permit tcp any host eq smtp access-list 103 permit tcp any host eq www access-list 103 permit tcp any host eq 443 access-list 103 permit tcp any host eq www

21 19 Settembre Porte utilizzate dai Server AFS afs3-fileserver 7000/tcp # File Server Itself afs3-fileserver 7000/udp # File Server Itself afs3-callback 7001/tcp # Callbacks to Cache Managers afs3-callback 7001/udp # Callbacks to Cache Managers afs3-prserver 7002/tcp # Users & Groups Database afs3-prserver 7002/udp # Users & Groups Database afs3-vlserver 7003/tcp # Volume Location Database afs3-vlserver 7003/udp # Volume Location Database afs3-kaserver 7004/tcp # AFS/Kerberos Auth. Service afs3-kaserver 7004/udp # AFS/Kerberos Auth. Service afs3-volser 7005/tcp # Volume Managment Server afs3-volser 7005/udp # Volume Managment Server afs3-errors 7006/tcp # Error Interpretation Service afs3-errors 7006/udp # Error Interpretation Service afs3-bos 7007/tcp # Basic Overseer Process afs3-bos 7007/udp # Basic Overseer Process afs3-update 7008/tcp # Server-To-Server Updater afs3-update 7008/udp # Server-To-Server Updater afs3-rmtsys 7009/tcp # Remote Cache Manager Service afs3-rmtsys 7009/udp # Remote Cache Manager Service

22 19 Settembre Esempio (AFS Servers) Permesso di tutti i nodi verso gli AFS Server –Autenticazione per client windows (porta 750) access-list 103 permit tcp any host range # access-list 103 permit udp any host range (redund.) access-list 103 permit tcp any host range # access-list 103 permit udp any host range (redund.) - AFS server (compresa autenticazione per client unix) access-list 103 permit udp any host eq 750

23 19 Settembre Esempio (AFS clients) Permesso any to any per le callbacks delle cache dei client AFS access-list 103 permit tcp any any eq 7001 # access-list 103 permit udp any any eq 7001 (redundant)

24 19 Settembre Esempio (NTP Servers) Permesso di tutti i nodi internet verso i Server NTP access-list 103 permit udp any host eq ntp

25 19 Settembre Esempio (FTP Servers) Permesso di tutti i nodi internet ad accedere in FTP ad un server autorizzato access-list 103 permit tcp any host eq 20 access-list 103 permit tcp any host eq 21

26 19 Settembre Esempio (AT e ICMP) Permesso di tutti i nodi internet ad accedere al tunnel Appletalk (gre/ip) access-list 103 permit gre any host Permesso di tutti i nodi internet all’utilizzo dell’ICMP, riservandoci di implementare le funzionalita’ CAR (Committed Access Rate) per limitare la banda destinata all’ICMP access-list 103 permit icmp any any

27 19 Settembre Aumentare la Security disabilitando funzionalita’ globali non necessarie service password-encryption no service finger no service pad no service udp-small-server no service tcp-small-server no ip bootp server

28 19 Settembre Aumentare la Security disabilitando funzionalita’ sulle interfacce non necessarie no ip redirects no ip directed-broadcast no ip proxy-arp

29 19 Settembre Principali tipi di attacchi TCP SYN-flooding –E’ un tipo di denial-of-service che colpisce un server con grandi richieste di connessioni TCP Packet Filtering –Assicurarsi che i pacchetti che entrano in LAN sono validi ed hanno un source address che coincide effettivamente con il mittente Rate Limiting –Limitare il livello di traffici (come ICMP) che non hanno una valida ragione di consumare banda.

30 19 Settembre TCP Intercept Questa funzionalita’ disponibile sui Router CISCO dalla versione di IOS 11.2 F, permette di proteggere server da “denial of service” e “distributed denial of service” tipo: –TCP SYN-flooding attacks

31 19 Settembre TCP SYN flooding attacks Questo attacco si verifica quando un hacker “sommerge” un server di richieste di connessioni. Quest’ultime hanno la caratteristica di avere un unreachable return address e quindi la connessione non viene mai stabilita. Il risultato e’ che queste fallite richieste di connessioni bloccano le richieste valide verso i servizi offerti dal server

32 19 Settembre TCP Intercept Software Il software (IOS) intercetta i TCP synchronization (SYN) packets dal Client ai server interni alla LAN specificati in una apposita access-list estesa. Server WEB INTERNET Client

33 19 Settembre TCP Intercept Software Il software (IOS) stabilisce una connessione con il client per conto del server di destinazione Se successivamente la connessione ha successo il software stabilisce la connessione con il Server In questo modo tentativi di connessioni da unreachable host non raggiungeranno mai i server Inoltre se nell’ultimo minuto le richieste di connessioni incomplete superano le 1100 vengono cancellate le piu’ vecchie e dimezzati i time out di ritrasmissione

34 19 Settembre Sintassi TCP Intercept access-list {deny | permit} tcp any destination destination-wildcard ip tcp intercept list

35 19 Settembre Esempio ACL per TCP Intercept access-list 104 permit tcp any host eq 22 access-list 104 permit tcp any host eq domain access-list 104 permit tcp any host eq smtp access-list 104 permit tcp any host eq domain access-list 104 permit tcp any host eq smtp access-list 104 permit tcp any host eq www access-list 104 permit tcp any host eq 443 access-list 104 permit tcp any host eq www Etc ….

36 19 Settembre Esempio di configurazione di TCP Intercept ip tcp intercept list 104 ip tcp intercept drop-mode random Server WEB INTERNET Client

37 19 Settembre ICMP Rate Limit Per evitare un denial of service di tipo ICMP (ping flood) si puo’ usare il CAR (Committed Access Rate) come comando per limitare questo traffico indesiderato access-list 105 permit icmp any any echo access-list 105 permit icmp any any echo-reply Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface atm1/0.5 point-to-point Router(config-subif)# rate-limit input access-group conform-action trasmit exceed-action drop


Scaricare ppt "ACL Cisco. 19 Settembre 20052 Access List Nega il traffico basandosi sul contenuto di alcuni campi dei datagram. Nel caso."

Presentazioni simili


Annunci Google