La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Netgroup 23 Aprile 2002 Angelo Veloce – LNF Computing Service

PubblicatoMosè Loi Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Netgroup 23 Aprile 2002 Angelo Veloce – LNF Computing Service"— Transcript della presentazione:

1 Netgroup 23 Aprile 2002 Angelo Veloce – LNF Computing Service
CISCO Access-List Netgroup 23 Aprile 2002 Angelo Veloce – LNF Computing Service

2 Access List Nega il traffico basandosi su dei test sul pacchetto IP
Frame Header (for examples, HDLC) Segment (for Examples. TCP Header) Packet (IP header) Data Port number e TCP flags Protocol Source Address Destination Address

3 Access List Che tipo di Access List ci sono?
Standard Access List, controllano il source address del pacchetto IP Extended Access List, controllano entrambi source e destination addresses del pacchetto IP. Inoltre puo’ essere filtrato uno specifico protocollo, numero di porta e TCP flags

4 Come sono identificate le Access List sui Router CISCO:
Per il protocollo IP: Standard hanno un range da 1 a 99 Estese hanno un range da 100 a 199 Per il protocollo IPX: Standard hanno un range da 800 a 899 Estese hanno un range da 900 a 999 Per il protocollo Apple Talk Il range va da 600 a 699

5 Bits della Wildcard Mask
Questa maschera permette di stabilire in una Network cosa controllare e cosa ignorare. Dove c’é uno zero si ha un controllo sul corrispondente bit Dove c’é un uno il corrispondente bit é ignorato.

6 Wildcard Bits Octet Bit Position and 128 64 32 16 8 4 2 1
Address Value for Bit = Check all address Bits = Ignore Last 6 Address Bits = Ignore Last 4 Address Bits = Check Last 2 Address Bits = Do Not Check Address Bits

7 Esempio Wildcard Mask Data la Network con wildcard mask La network é di classe B con il terzo ottetto subnettato . É possibile usare questa configurazione per controllare le subnet da a

8 Esempio Wildcard Mask Per controllare qualsiasi indirizzo IP si dovrebbe usare: Any IP address Per accettare qualsiasi indirizzo si utilizza l’espressione abbreviata ANY Wildcard mask Ignore all

9 Esempio Wildcard Mask Per controllare uno specifico IP host e quindi controllare tutti I bits: Uno specifico IP address Per controllare tutti i bits di uno specifico IP address si usa l’abbreviazione Host Wildcard mask controlla tutti i bits

10 Sintassi delle Access List Estese
Access-list-number, identifica l’access list Protocol, sono IP, TCP, UDP, ICMP, GRE, IGRP Source e destination, identificano source e destination IP address Source-mask e destination-mask, sono la wildcard mask Operator, lt (less than), gt (greater than), eq (equal), neq (not equal), range Operand, port number Router (config)# Access-list access-list-number {permit | deny} protocol Source source-wildcard-mask [operator source-port | source-port] Destination destination-wildcard-mask [operator destination-port | destination-port] [established]

11 Sintassi delle Access List Estese
Attivare le access list estese su una interfaccia Access-list-number, indica il numero dell’access list che deve essere richiamato sull’interfaccia In | out, indica se l’access list é applicata in ingresso o in uscita all’interfaccia Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface atm1/0.5 point-to-point Router(config-subif)#ip access-group access-list-number {in |out}

12 Esempio Router#show running-config | begin interface ATM1/0.5
interface ATM1/0.5 point-to-point description PVC 17.6M LNF-GARRB-Telecom bandwidth 17600 ip address XXX.XXX.XXX.XXX ip access-group 103 in no ip mroute-cache atm pvc aal5snap

13 Come scrivere le Access-List
Fondamentale e’ l’ordine in cui sono scritte le access-list Man mano che si esegue l’access-list se si verificano delle condizioni si esce dal percorso saltando i controlli successivi E’ importante anche il verso in cui sono applicate sulle interfacce

14 Esempio Per prima cosa, implementiamo la nostra access-list nel verso IN sull’interfaccia Seriale o ATM connessa alla WAN Dati SA DA Ip access-group <numero access-list> in

15 Esempio (connessioni TCP)
Implementiamo l’access-list dalla “testa” ovvero dalle prime regole che vengono controllate. Permesso di tutti i nodi internet all’inoltro di pacchetti TCP per connessioni gia’ stabilite access-list 103 permit tcp any XXX.XXX.XXX established access-list 103 permit tcp any YYY.YYY.YYY established access-list 103 permit tcp any ZZZ.ZZZ.ZZZ established access-list 103 permit tcp any TTT.TTT.TTT established

16 Porte alte pericolose Divieto a tutti i nodi verso le porte alte "pericolose": NFS (udp e tcp porta 2049), Openwin (tcp porta 2000), MySQL (tcp e udp porta 3306), X (tcp porte ), adsm (tcp porta 1500), fontsrv (udp e tcp porte 7000 e 7100)

17 Esempio (blocco porte alte pericolose UDP)
Divieto di tutti i nodi internet all’inoltro di pacchetti UDP sulle porte alte pericolose access-list 103 deny udp any any eq 2049 access-list 103 deny udp any any eq 3306 access-list 103 deny udp any host <font-server-IP> eq 7000 access-list 103 deny udp any any eq 7100

18 Esempio (UDP) Permesso di tutti i nodi internet all’inoltro di pacchetti UDP sulle porte alte (>1024) access-list 103 permit udp any XXX.XXX.XXX gt 1024 access-list 103 permit udp any YYY.YYY.YYY gt 1024 access-list 103 permit udp any ZZZ.ZZZ.ZZZ gt 1024 access-list 103 permit udp any TTT.TTT.TTT gt 1024

19 Esempio (ssh) Permettiamo l’accesso in SSH solo verso macchine amministrate dal servizio di calcolo access-list 103 permit tcp any host <ssh-server1-ip> eq 22 access-list 103 permit tcp any host <ssh-server2-ip> eq 22 access-list 103 permit tcp any host <ssh-server3-ip> eq 22

20 Esempio (net-services)
Permesso di tutti i nodi internet verso i Server DNS (53), SMTP (25), WWW (80) access-list 103 permit tcp any host <dns-server1-ip> eq domain access-list 103 permit udp any host <dns-server1-ip> eq domain access-list 103 permit tcp any host eq smtp access-list 103 permit tcp any host <dns-server2-ip> eq domain access-list 103 permit udp any host <dns-server2-ip> eq domain access-list 103 permit tcp any host <smtp-server2-ip> eq smtp access-list 103 permit tcp any host <http-server1-ip> eq www access-list 103 permit tcp any host <http-server2-ip> eq www access-list 103 permit tcp any host <webmail-ip> eq 443 access-list 103 permit tcp any host <http-server3-ip> eq www

21 Porte utilizzate dagli AFS Server
afs3-fileserver 7000/tcp # File Server Itself afs3-fileserver 7000/udp # File Server Itself afs3-callback /tcp # Callbacks to Cache Managers afs3-callback /udp # Callbacks to Cache Managers afs3-prserver /tcp # Users & Groups Database afs3-prserver /udp # Users & Groups Database afs3-vlserver /tcp # Volume Location Database afs3-vlserver /udp # Volume Location Database afs3-kaserver /tcp # AFS/Kerberos Auth. Service afs3-kaserver /udp # AFS/Kerberos Auth. Service afs3-volser /tcp # Volume Managment Server afs3-volser /udp # Volume Managment Server afs3-errors /tcp # Error Interpretation Service afs3-errors /udp # Error Interpretation Service afs3-bos /tcp # Basic Overseer Process afs3-bos /udp # Basic Overseer Process afs3-update /tcp # Server-To-Server Updater afs3-update /udp # Server-To-Server Updater afs3-rmtsys /tcp # Remote Cache Manager Service afs3-rmtsys /udp # Remote Cache Manager Service

22 Esempio (AFS Servers) Permesso di tutti i nodi verso gli AFS Server
Autenticazione per client windows (porta 750) access-list 103 permit udp any host <afs-server1-ip> eq 750 access-list 103 permit udp any host <afs-server2-ip> eq 750 - AFS server (compresa autenticazione per client unix) access-list 103 permit tcp any host <afs-server1-ip> range # access-list 103 permit udp any host <afs-server1-ip> range (redundant) access-list 103 permit tcp any host <afs-server2-ip> range # access-list 103 permit udp any host <afs-server2-ip> range (redundant)

23 Esempio (AFS clients) Permesso any to any per le callbacks delle cache dei client AFS access-list 103 permit tcp any any eq 7001 # access-list 103 permit udp any any eq 7001 (redundant)

24 Esempio (NTP Servers) Permesso di tutti i nodi internet verso i Server NTP access-list 103 permit udp any host <ntp-server1-ip> eq ntp

25 Esempio (FTP Servers) Permesso di tutti i nodi internet ad accedere in FTP ad un server autorizzato access-list 103 permit tcp any host <ftp-server1-ip> eq 20 access-list 103 permit tcp any host <ftp-server1-ip> eq 21

26 Esempio (AT e ICMP) Permesso di tutti i nodi internet ad accedere al tunnel Appletalk (gre/ip) access-list 103 permit gre any host <tunnel-interface-ip> Permesso di tutti i nodi internet all’utilizzo dell’ICMP, riservandoci di implementare le funzionalita’ CAR (Committed Access Rate) per limitare la banda destinata all’ICMP access-list 103 permit icmp any any

27 Aumentare la Security disabilitando funzionalita’ globali non necessarie
service password-encryption no service finger no service pad no service udp-small-server no service tcp-small-server no ip bootp server

28 Aumentare la Security disabilitando funzionalita’ sulle interfacce non necessarie
no ip redirects no ip directed-broadcast no ip proxy-arp

29 Principali tipi di attacchi
TCP SYN-flooding E’ un tipo di denial-of-service che colpisce un server con grandi richieste di connessioni TCP Packet Filtering Assicurarsi che i pacchetti che entrano in LAN sono validi ed hanno un source address che coincide effettivamente con il mittente Rate Limiting Limitare il livello di traffici (come ICMP) che non hanno una valida ragione di consumare banda.

30 TCP Intercept Questa funzionalita’ disponibile sui Router CISCO dalla versione di IOS 11.2 F, permette di proteggere server da “denial of service” e “distributed denial of service” tipo: TCP SYN-flooding attacks

31 TCP SYN flooding attacks
Questo attacco si verifica quando un hacker “sommerge” un server di richieste di connessioni. Quest’ultime hanno la caratteristica di avere un unreachable return address e quindi la connessione non viene mai stabilita. Il risultato e’ che queste fallite richieste di connessioni bloccano le richieste valide verso i servizi offerti dal server

32 TCP Intercept Software
Il software (IOS) intercetta i TCP synchronization (SYN) packets dal Client ai server interni alla LAN specificati in una apposita access-list estesa. Server WEB INTERNET Client

33 TCP Intercept Software
Il software (IOS) stabilisce una connessione con il client per conto del server di destinazione. Se successivamente la connessione ha successo il software stabilisce la connessione con il Server. In questo modo tentativi di connessioni da unreachable host non raggiungeranno mai i server Inoltre se nell’ultimo minuto le richieste di connessioni incomplete superano le 1100 vengono cancellate le piu’ vecchie e dimezzati i time out di ritrasmissione

34 Sintassi TCP Intercept
access-list <access-list-number> {deny | permit} tcp any destination destination-wildcard ip tcp intercept list <access-list-number>

35 Esempio Access-List per TCP Intercept
access-list 104 permit tcp any host <ssh-server1-ip> eq 22 access-list 104 permit tcp any host <ssh-server2-ip> eq 22 access-list 104 permit tcp any host <ssh-server3-ip> eq 22 access-list 104 permit tcp any host <dns-server1-ip> eq domain access-list 104 permit tcp any host <smtp-server1-ip> eq smtp access-list 104 permit tcp any host <dns-server2-ip> eq domain access-list 104 permit tcp any host <smtp-server2-ip> eq smtp access-list 104 permit tcp any host <http-server1-ip> eq www access-list 104 permit tcp any host <http-server2-ip> eq www access-list 104 permit tcp any host <webmail-ip> eq 443 access-list 104 permit tcp any host <http-server3-ip> eq www Etc ….

36 Esempio di configurazione di TCP Intercept
ip tcp intercept list 104 ip tcp intercept drop-mode random Server WEB INTERNET Client

37 ICMP Rate Limit Per evitare un denial of service di tipo ICMP (ping flood) si puo’ usare il CAR (Committed Access Rate) come comando per limitare questo traffico indesiderato access-list 105 permit icmp any any echo access-list 105 permit icmp any any echo-reply Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface atm1/0.5 point-to-point Router(config-subif)# rate-limit input access-group conform-action trasmit exceed-action drop Attenzione: ICMP Rate Limit non testato

38 Domande?

Scaricare ppt "Netgroup 23 Aprile 2002 Angelo Veloce – LNF Computing Service"

Presentazioni simili

Prof. Carla Fanchin – L.S. Tron

Prof. Carla Fanchin – L.S. Tron
1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì

1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì
Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.

Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.
Elaborazione del Book Informatico

Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Italo Losero S tray B ytes strane cose succedono nelle reti....

Italo Losero S tray B ytes strane cose succedono nelle reti....
Corso di laurea in INFORMATICA

Corso di laurea in INFORMATICA
Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Indirizzamento a classi Alberto Polzonetti

Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Indirizzamento a classi Alberto Polzonetti
Applicazioni Telematiche delle reti tra calcolatori E.Mumolo. DEEI

Applicazioni Telematiche delle reti tra calcolatori E.Mumolo. DEEI
Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web
I protocolli TCP/UDP prof.: Alfio Lombardo.

I protocolli TCP/UDP prof.: Alfio Lombardo.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
TCP/IP.

TCP/IP.
Servizio DHCP.

Servizio DHCP.
5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003 All Rights Reserved)

5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
La rete in dettaglio: rete esterna (edge): applicazioni e host

La rete in dettaglio: rete esterna (edge): applicazioni e host
5-1 Point to Point Data Link Control Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003.

5-1 Point to Point Data Link Control Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (©
Realizzazione e gestione di Local Area Network Ceracchi Fabiana Mansi Luigi Tutor Angelo Veloce.

Realizzazione e gestione di Local Area Network Ceracchi Fabiana Mansi Luigi Tutor Angelo Veloce.
Il firewall di Linux: IPTables 19 Settembre 2005.

Il firewall di Linux: IPTables 19 Settembre 2005.
Come programmare servizi di rete?

Come programmare servizi di rete?

Presentazioni simili

Annunci Google