Listas de control de acceso Presentador: Juan Carlos Spichiger

Agenda • Bienvenida • Importancia de la seguridad y el control del tráfico. • ¿Qué es una ACL? • Funcionamiento de una ACL y Wildcards • Tipos de ACL • Aplicación de ACL • Ejemplo • Preguntas y respuestas Juan Carlos Spichiger www.redescisco.net

Importancia de la seguridad Ataques anuales 100.000 80.000 Year 2008

60.000

Year 2009 40.000

Year 2010

20.000

Se p O ct No v De c

Ja n Fe b M ar Ap r M ay Ju n Ju l Au g

0

Grafico que representa la cantidad de ataques por año Fuente: zona-h

Juan Carlos Spichiger www.redescisco.net

Importancia de la seguridad Web-server atacados

Año 2008

Año 2009

Año 2010

Apache

390.141

486.294

319.439

IIS/6.0

126.403

180.926

113.935

IIS/5.0

12.551

66.304

23.664

Unknown

4.974

8.805

16.741

Zeus

1.059

506

1.972

NOYB

0

1.308

1.920

IIS/4.0

5.846

3.952

1.149

nginx

3.465

870

729

540

412

308

IIS/5.1

Gráfico que representa la cantidad de ataques a los webserver conocidos Fuente: zona-h

Juan Carlos Spichiger www.redescisco.net

Importancia de la seguridad Metodos de ataques

Total 2008

Total 2009

Total 2010

Attack against the administrator/user (pass-word stealing/sniffing)

33.141

24.386

10.918

Shares mis-con-fig-u-ra-tion

72.192

87.313

55.725

File Inclu-sion

90.801

95.405

115.574

SQL Injec-tion

32.275

57.797

33.920

Access cre-den-tials through Man In the Mid-dle attack

37.526

7.385

1.005

Other Web Appli-ca-tion bug

36.832

99.546

42.874

FTP Server intrusion

32.521

11.749

5.138

Fuente: zona-h

Juan Carlos Spichiger www.redescisco.net

Importancia de la seguridad 500000 450000 400000 350000 300000 250000 200000 150000 100000 50000 0 10 20

09 20

08 20

07 20

06 20

05 20

04 20

03 20

02 20

20

20

01

Linux Windows

00

Cantidad de ataques

Linux v/s Windows

Año

Grafico que representa la cantidad de ataques por sistema operativo. Se han considerado todas las versiones de windows y distribuciones de linux Fuente: zona-h

Juan Carlos Spichiger www.redescisco.net

¿Qué es una acl? • Las listas de control de acceso o acls son enunciados o sentencias que según su configuración permiten o deniegan paquetes que tratan de atravesar un router.

Juan Carlos Spichiger www.redescisco.net

¿Cómo funciona una lista de acceso? • Las lista de acceso funcionan de acuerdo a sentencias que son configuradas en el router. Para entender esto haremos un explicación de la vida cotidiana.

Juan Carlos Spichiger www.redescisco.net

Lista de acceso • Imagine que usted es un guardia de una famosa discoteque… • Su jefe le ha pedido que solo deje entrar personas mayores de 40 años y con lentes. • Cualquier persona que no cumpla esta condición no puede entrar.

Juan Carlos Spichiger www.redescisco.net

Lista de acceso • • • •

Para este ejemplo: Usted es el Router Las personas son los paquetes Y las condiciones propuestas por su jefe son las sentencias que usted debe aplicar cada vez que llegue una persona para dejarla o no dejarla entrar. • Si aplicamos esta teoría a los routers es más sencillo entender el funcionamiento de las lista de control de acceso. Juan Carlos Spichiger www.redescisco.net

Tipos de ACL • Existen varios tipos de acls, pero las que veremos en la sesión de hoy son las más básicas: • Listas de acceso Estándar • Listas de acceso Extendidas

Juan Carlos Spichiger www.redescisco.net

Tipos de ACL • Acl estándar filtra • Acl extendida filtra paquetes mas cerca paquetes más cerca del destino del tráfico del origen del tráfico. • Acl estándar solo filtra • Acl extendida filtra protocolo ip otros protocolos como tcp, udp, protocolos de enrutamiento, etc

Juan Carlos Spichiger www.redescisco.net

Reglas de las ACL • Las Acl por defecto bloquean todo el tráfico con una linea que se conoce como linea implícita. • Las sentencias se ejecutan línea a línea hasta que se encuentra una coincidencia. • Cuando una linea hace match el resto de las sentencias no se revisan. • Solo se puede aplicar 1 acl por interfaz y por protocolo. • Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz correspondiente. Juan Carlos Spichiger www.redescisco.net

Sintaxis para ACL estandar Para ACL Estandar: Router(config)#Access-list 1-99 permit/deny ip Wilcard

Ejemplo:

Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255 Router(config)#access-list 1 deny any (línea implícita) Router(config-if)#access-list 1 in (para aplicar la acl) Comando para chequear listas de acceso: Router# show access-list Router# show running-config Juan Carlos Spichiger www.redescisco.net

Ejemplo acl estandar

Situación: bloquear el trafico proveniente de la red lan 172.16.0.0 que intenta entrar al router2, permitir el resto del tráfico.

Juan Carlos Spichiger www.redescisco.net

Sintaxis para acl extendida Para ACL extendida Router(config)#Access-list 100-199 permit/deny ip/tcp/udp/icmp… Wilcard Wilcard puerto (solo aplica en protocolos tcp/udp)

Ejemplo: Router(config)#access-list 100 permit tcp 192.168.0.0 0.0.0.255 any eq 80 Router(config)#access-list 100 deny ip any any (linea implícita) Router(config-if)#access-list 100 in (para aplicar la acl) Comando para chequear listas de acceso: Router# show access-list Router# show running-config Juan Carlos Spichiger www.redescisco.net

Ejemplo acl extendida

Situación: bloquear el trafico web que sale de la red lan 200.0.0.0 hacia la red 192.168.0.0

Juan Carlos Spichiger www.redescisco.net

Explicación de la Wildcard • La máscara de wildcard es la que define si la sentencia hace coincidencia o match • Los ceros de revisan • Los unos se ignoran Ejemplo:

Juan Carlos Spichiger www.redescisco.net

Aplicación de las ACL Una de las consultas frecuentes es donde aplicar las listas de control de acceso. Esto tiene importancia radical dado que las acl actúan de manera instantánea y tendrán un efecto inmediato en el tráfico de nuestra red.

Importante: una acl mal hecha o mal aplicada puede ser desastroso. Por esto es mejor diseñarlas en el papel antes de pasarlas al router.

Juan Carlos Spichiger www.redescisco.net

Ejemplo de ACL

Situación: Se necesita bloquear el trafico ftp y smtp del host de la red lan de R2 con destino a la red 172.16.0.0. permitir el resto del tráfico. Situación: La red 192.168.0.0 puede accesar a la red 200.0.0.0 salvo el protocolo http

Juan Carlos Spichiger www.redescisco.net

Preguntas y respuestas

Gracias Juan Carlos Spichiger [email protected]