Jornadas Técnicas RedIRIS 2000 Seguridad en listas de control de acceso
JT2000 Evitar ataques por Inundación zCómo descubrir la máquina conflictiva? En la interfaz ip route-cache flow yEn el router sh ip cache flow Conviene exportarlo a un servidor cflow zLimitar tráfico en la interfaz: rate-limit input access-group conform-action transmit exceed-action drop zAplicado al ICMP access-list 101 permit icmp any any zExtensible a cualquier servicio zICMP: permitir el acceso a RedIRIS yEl extremo de la interfaz y y
JT2000 Puertos altos o anónimos zDepende de los sistemas, se debe analizar zNo hay casos generales, las aplicaciones pueden cambiar de puerto yej. Napster, puede ayudar filtrar algunos puertos yEn la entrada a nuestro router: access-list 170 deny tcp any gt 6660 lt 6670 zNo conviene saturar el router con listas inmensas zFiltrar en las máquinas
JT2000 Spoofing zMediante CEF: yIp cef habilitado en el router yCorrer verificación de CEF ip verify unicast reverse-path zSe carga la CPU del router zMediante ACL (Unico método si el camino es asimétrico) yen entrada, denegar tráfico originado en direcciones dentro del centro yMétodo recomendado para no cargar el router
JT2000 Otros Servicios zPor defecto, se deniegan todos zLocalizar los servidores zSolo permitir el acceso a los puertos deseados en dichos servidores permit tcp any host x.x.x.x eq domain smtp www ftp (también UDP cuando sea necesario) zConexiones ftp a puertos anónimos: permit tcp any any ftp-data any gt 1024 yanálisis
JT2000 Configuración final ftp://ftp.rediris.es/rediris/red/ip/docs/ejem-cisco.txt