Solucionado: Re: Listas de acceso

sociedadportuaria · ‎10-04-2012

No he podido entender mucho las listas de acceso, pero hoy tengo un problema de attaques y quiero aplicas dichas listas.

cree una lista que es la siguiente

configuracion de la interfaz

interface FastEthernet0/0

ip address 10.10.1.5 255.255.255.0

ip access-group FILTRO_INTERNET_INTERFAZ_WAN in

ip access-list extended FILTRO_INTERNET_INTERFAZ_WAN

remark --------------------------------------------------

remark NEGAR IPS

deny ip host 190.255.219.170 any

remark --------------------------------------------------

remark BGP_COLUMBUS

permit tcp host 190.200.40.153 eq bgp host 190.200.40.154

permit tcp host 190.200.40.153 host 190.200.40.154 eq bgp

remark --------------------------------------------------

remark BGP_LEVEL_3

permit tcp host 10.10.1.2 eq bgp host 10.10.1.5

permit tcp host 10.10.1.2 host 10.10.1.5 eq bgp

remark --------------------------------------------------

remark POLITICA_CONSULTA_EXTERNA_DNS

permit udp any host 64.76.97.56 eq domain

permit udp any eq domain host 64.76.97.56

permit tcp any host 64.76.97.56 eq domain

permit tcp any eq domain host 64.76.97.56

permit udp any host 64.76.97.57 eq domain

permit udp any eq domain host 64.76.97.57

permit tcp any host 64.76.97.57 eq domain

permit tcp any eq domain host 64.76.97.57

remark --------------------------------------------------

remark POLITICA_RECEPCION_CORREO_BARRACUDAS

permit tcp any host 64.76.97.6 eq smtp

permit tcp any host 64.76.97.7 eq smtp

remark --------------------------------------------------

remark POLITICA_EDI

permit tcp host 193.106.119.7 host 64.76.97.56 eq 22

permit tcp host 193.109.119.16 host 64.76.97.57 eq 22

remark --------------------------------------------------

remark POLITICA_FTP_PUBLICO

permit tcp any host 64.76.97.56 eq ftp

permit tcp any host 64.76.97.56 eq ftp-data established

remark --------------------------------------------------

remark POLITICA_MEGAPORT

permit tcp host 70.167.181.70 host 64.76.97.15 eq 8200

remark --------------------------------------------------

remark POLITICA_CLIENTES_EXTERNOS

permit tcp any 64.76.97.32 0.0.0.31 eq www

permit tcp any 64.76.97.32 0.0.0.31 eq 8080

permit tcp any 64.76.97.32 0.0.0.31 eq 8081

permit tcp any 64.76.97.32 0.0.0.31 eq 8444

permit tcp any 64.76.97.32 0.0.0.31 eq 443

remark --------------------------------------------------

remark POLITICA_CONEXION_VPN_NORTEL

permit tcp any host 64.76.97.3 eq 1443

permit tcp any host 64.76.97.3 eq 500

permit udp any host 64.76.97.3 eq isakmp

permit gre any host 64.76.97.3

permit esp any host 64.76.97.3

permit ahp any host 64.76.97.3

remark --------------------------------------------------

remark TODO_LO_DEMAS_ESTA_BLOQUEADO

deny ip any any

dicha access list la aplico en la interfaz WAN,

cuando la aplico de lado de la LAN no tengo servicio de nada, no puedo hacer una conexion de la LAN a la INTERNET.

Quien me puede decir que esta mal

Gracias

Jose Luis Diaz Ortega
Ing de Sistemas.
Administrador de redes.

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Julio Carvajal · ‎10-07-2012

Si lo que estas buscando es seguridad te recomiendo otro mecanismo ( ZBFW,CBAC, ACL reflexivas) pero esta lista de accesso va a proveer un poquito de seguridad pero no lo suficiente para una red.

Saludos

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

Ver la solución en mensaje original publicado

Julio Carvajal · ‎10-05-2012

Hola Jorge Luis,

Esto sucede pq las listas de acceso no mantienen una tabla de estado con respecto a las conexiones proveniendo de tu red interna.

Por ende te recomendaria migrar a uno que si lo haga ( IOS firewall: CBAC o ZBFW) recomendando al 100% ZBFW.

Ahora puedes enviarme la version de tu router y te ayudaria con la configuracion.

Show version

Saludos

Recuerda calificar cada respuesta

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

Fernando Soto · ‎10-05-2012

Hola, no me quedo clara la explicacion.

Creo q el problema es q como los creo

ip access-list extended FILTRO_INTERNET_INTERFAZ_WAN

remark --------------------------------------------------

remark NEGAR IPS

deny ip host 190.255.219.170 any

ahi deniega paquete con ip origen 190.255.219.170 hacia cualquiera. lo q no se sabe es si ese host esta dentro de la red de la interface FastEthernet0/0 o afuera.

si lo queres poner en la Lan, ponelo como out , no como in y proba

slds.

sociedadportuaria · ‎10-05-2012

Carvajar gracias por tu respuesta, aqui te envio el show version.

rtr-sprc-internet#show version

Cisco IOS Software, 2801 Software (C2801-ADVIPSERVICESK9-M), Version 12.4(17b), RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport

Compiled Tue 26-Feb-08 03:25 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

rtr-sprc-internet uptime is 3 weeks, 6 days, 3 hours, 59 minutes

System returned to ROM by power-on

System image file is "flash:c2801-advipservicesk9-mz.124-17b.bin"

This product contains cryptographic features and is subject to United

States and local country laws governing import, export, transfer and

use. Delivery of Cisco cryptographic products does not imply

third-party authority to import, export, distribute or use encryption.

Importers, exporters, distributors and users are responsible for

compliance with U.S. and local country laws. By using this product you

agree to comply with applicable laws and regulations. If you are unable

to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:

http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to

export@cisco.com.

Cisco 2801 (revision 7.0) with 116736K/14336K bytes of memory.

Processor board ID FTX1225204Q

2 FastEthernet interfaces

1 Virtual Private Network (VPN) Module

DRAM configuration is 64 bits wide with parity disabled.

191K bytes of NVRAM.

62720K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

Saludos

Jose Luis Diaz Ortega
Ing de Sistemas.
Administrador de redes.

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Julio Carvajal · ‎10-05-2012

Hola,

Podrias intentar correr el proximo comando en tu router

zone ?

Si con ese no te sale nada dale el proximo

ip inspect ?

Me dices que te sale

Saludos

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

sociedadportuaria · ‎10-05-2012

Hola.

rtr-sprc-internet#ip inspect ?

% Unrecognized command

rtr-sprc-internet#

Jose Luis Diaz Ortega
Ing de Sistemas.
Administrador de redes.

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Julio Carvajal · ‎10-05-2012

Hola,

Y el primero??

zone

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

sociedadportuaria · ‎10-05-2012

Hola.

Que pena se me paso colocarlo. Aqui lo adjunto.

rtr-sprc-internet#zone ?

% Unrecognized command

rtr-sprc-internet#zone

Saludos.

Jose Luis Diaz Ortega
Ing de Sistemas.
Administrador de redes.

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Julio Carvajal · ‎10-05-2012

No hay problema,

La version que corres no esta enfocada en seguridad por ende no permite la configuracion de dichos firewalls.

Ahora bien pq quieres aplicar la acl que configuraste para la WAN en la LAN?

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

sociedadportuaria · ‎10-05-2012

Hola.

Creo que me explique mal, lo que quiero hacer es aplicar la ACL en la interfaz WAN, como IN, pero cuando la aplico los que están del lado de la internet acceden sin problema, esto quiere decir que la ACL funciona bien el el sentido de la Internet a la LAN, pero los de la LAN no puede llegar a la internet, todo se mes bloquea.

Adjunto imagen,

Entre el firewall y el 2801 hay una subred válida, al lado derecho del firewall es la DMZ y al la interfaz de abajo es la red LAN, cuando aplico la ACL en la WAN del 2801, lo que esta en encerado en rojo no tiene salida a internet.

Gracias.

Sent from Cisco Technical Support iPhone App

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Fernando Soto · ‎10-06-2012

Para mi el problema lo tenes aca:

remark TODO_LO_DEMAS_ESTA_BLOQUEADO

deny ip any any

Estas denegando todo lo q tenes permitido arriba, por eso no navegan los usuarios detras de la LAN

Si queres bloquear ips externas (los q te atacan) lo q tenes q hacer es defender los equipos q de la Lan q queres proteger de estos ataques. Supone q tenes un server web en la lan con ip 200.12.8.5, lo q podrias hacer es esto:

En la interfaz LAN aplicas

ip access-group 141 out

y el acl141 es asi:

access-list 141 permit tcp any host 200.12.8.5 eq www

access-list 141 deny ip any host 200.2.8.5 log

access-list 141 permit ip any any

permitis a cualq q vaya al puerto 80 del server, pero no otra cosa

y con el ultimo permit permitis todo el resto q no sea lo especificado anteriormente

sociedadportuaria · ‎10-06-2012

Fernando gracisa por tu colaoracion tambien.

Aqui, les voy a detallar en esta imagen un poco mas la topologia, el router donde se esta aplicando la ACL es el RTR-INTERNET en la interfaz Fa0/0 y la aplico como IN, despues que aplico la ACL lo que estan encerrado en negro que pertenecen a la INTERNET puedelln llegar a los servicios que estan encerrado en naranaja (Mi capa de INERNET) y verde (Mi capa de DMZ). Pero los que estan encerrado en rojo no pueden llegar a lada de lo que esta encerrado en NEGRO.

En las capas VERDE manejo una subred de ip publicas al igual en la capa NARANJA. En la LAN que es la de color AZUL si manejo direcciones ip privadas y el FIREWALL hace el NAT.

Gracias por el apoyo recibido.

Jose Luis Diaz Ortega
Ing de Sistemas.
Administrador de redes.

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Fernando Soto · ‎10-06-2012

Si es por esto

remark TODO_LO_DEMAS_ESTA_BLOQUEADO

deny ip any any

Estas denegando todo , salvo lo q no permitiste arriba de ese deny.

Como te decia antes, te conviene ir poniendo deny y permit y por ultimo un

permit ip any any

Slds.

sociedadportuaria · ‎10-07-2012

Gracias Fernando.

Disculpa, mi falta de conocimiento de aCL, pero no se cómo hacerla así como me estas indicando.

Saludos

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.

Fernando Soto · ‎10-07-2012

Vos pusiste muchos permits al principio y un deny al final

pq no probas poniendo

permits a la ip de los servidores con su puerto de escucha ej de servidor web.
permit tcp any host 200.12.8.5 eq www

denegas el resto de las cosas a ese servidor, (el permit al pto 80 esta antes, con lo cual aplica antes y van poder ingresar al pto80 del servidor)

deny ip any host 200.2.8.5 log

con lo cual por ejemplo nunca desde afuera van poder telnetearse al servidor web

Y al final de todo un

permit ip any any