Cómo configurar el Context-based Access Control

(1)

Cómo configurar el Context-based Access Control

Descargue este capítulo

Cómo configurar el Context-based Access Control Feedback

Contenidos

Configurar el control de acceso basado en el contexto Contenido

Requisitos previos para configurar el Context-Based Access Control Restricciones para configurar el Context-Based Access Control

Tráfico FTP y CBAC

Compatibilidad de IPSec y CBAC

Información sobre el Context-Based Access Control Qué hace CBAC

Filtrado de Tráfico Inspección del Tráfico Alertas y Pistas de Auditoría Prevención de intromisión Qué No Hace CBAC

Cómo Funciona CBAC: Descripción General Cómo Funciona CBAC: Detalles

Se examinan los paquetes

Una tabla de estado mantiene la información de estado de la sesión Se aproxima el UDP “sesiones”

Las entradas de lista de acceso se crean y se borran dinámicamente para permitir el tráfico de retorno y las conexiones de datos adicionales

Cuándo y dónde Configurar CBAC El Proceso CBAC

Protocolos admitidos CBAC

Soporte a protocolo RTSP y de H.323 para las aplicaciones multimedia Soporte RTSP

Soporte de H.323

Impacto en la Memoria y en el Rendimiento Selección de una Interfaz: Interno o Externo Configurar las listas de IP Access en la interfaz

Configuración Básica Interfaz Externa Interfaz Interna Sesiones medio abiertas

Examen de la fragmentación del paquete del IP Examen genérico TCP y UDP

Guías de consulta para configurar un Firewall Examen RTSP

RTSP con el RDT

RTSP con TCP solamente (modo entrelazado) RTSP con SMIL

RTSP con RTP (IP/TV) H.323 V2

Como Interpretar el Syslog y los Mensajes de la Consola Generados por CBAC Mensajes de error de la Detección de Ataques de Negación de Servicio Mensajes de Error de Detección de Ataques SMTP

Mensajes de Error de Bloqueo Java Mensajes de error de FTP

Mensajes del Rastro de Auditoría Desactivación de CBAC

Cómo configurar el Context-Based Access Control

Configurar el tiempo de espera global agotado y los umbrales Definición de una regla del examen

Configuración de la Inspección de Protocolo de la Capa de Aplicación Configuración de la Inspección TCP y UDP Genérica

Aplicación de la regla del examen a una interfaz Configurar el registro y el rastro de auditoría Verificar el CBAC

Monitoreo y Mantenimiento de CBAC

Debugging del Control de Acceso Basado en Contexto

(2)

Comandos Genéricos de Debug

Comandos de Debug del Nivel de Transporte Comandos de Debug del Application Protocol Ejemplos de la configuración CBAC

Ejemplo de Configuración de Interfaz Ethernet Ejemplo de Configuración de la Interfaz ATM Ejemplo de Configuración de Oficina Remota a ISP Ejemplo de Configuración de Oficina Remota a Sucursal Ejemplo de Configuración de Sucursal de Dos Interfaces Ejemplo de Configuración de Sucursal de Interfaz Múltiple

Configurar el control de acceso basado en el contexto

Este capítulo describe cómo configurar el Control de acceso basado en el contexto (CBAC). El CBAC proporciona las funciones avanzadas del filtrado de tráfico y se puede utilizar como parte integrante del su Firewall de red. Para más información con respecto a los Firewall, refiera al capítulo “descripción del Firewall Cisco IOS.”

Contenido

• Requisitos previos para configurar el Context-Based Access Control

• Restricciones para configurar el Context-Based Access Control

• Información sobre el Context-Based Access Control

• Cómo configurar el Context-Based Access Control

• Monitoreo y Mantenimiento de CBAC

• Ejemplos de la configuración CBAC

Requisitos previos para configurar el Context-Based Access Control

• Si usted intenta configurar el Control de acceso basado en el contexto (CBAC) pero no tiene una buena comprensión de cómo el CBAC trabaja, usted puede ser que introduzca inadvertidamente los riesgos de seguridad al Firewall y a la red protegida. Usted debe estar seguro que usted entiende qué CBAC hace antes de que usted configure el CBAC.

• Como con todos los dispositivos de interconexión de redes, proteja el acceso en el Firewall configurando las contraseñas según lo descrito en el “configurar del capítulo de las contraseñas y de los privilegios”. Debe considerar también la

configuración de la autenticación, autorización y contabilización de usuarios según lo descrito en la parte "Autenticación, Autorización y Contabilización (AAA)" de esta guía. Las guías de consulta adicionales para ayudarle a establecer una buena política de seguridad se pueden encontrar en “el capítulo de la descripción del Firewall Cisco IOS”.

Restricciones para configurar el Context-Based Access Control

El CBAC tiene las restricciones siguientes:

• El CBAC está disponible solamente para protocolo IP el tráfico. Solamente se examinan el TCP y los paquetes UDP. (El otro tráfico IP, tal como ICMP, no se puede examinar con el CBAC y se debe filtrar con las Listas de acceso básicas en lugar de otro.)

• Si usted configura de nuevo sus Listas de acceso cuando usted configura el CBAC, sea consciente que si sus Listas de acceso bloquean el tráfico TFTP en una interfaz, usted no podrá al netboot sobre esa interfaz. (Esto no es una limitación CBAC-específica, sino es funciones de la lista de acceso existente de la parte de.)

• Los paquetes con el Firewall como la dirección de origen o de destino no son examinados por el CBAC.

• El CBAC ignora los mensajes inalcanzables de ICMP.

• Soportes del examen del protocolo del H.323V2 y RTSP solamente las aplicaciones del servidor cliente siguientes de las multimedias: Cisco IP/TV, jugador de RealNetworks RealAudio G2, Apple QuickTime 4.

Usted puede utilizar el CBAC así como el resto de características de escudo de protección mencionadas previamente en “el capítulo de la descripción del Firewall Cisco IOS”.

El CBAC trabaja con la transferencia y el process switching rápidos.

Esta sección también discute las restricciones respecto a:

• Tráfico FTP y CBAC

• Compatibilidad de IPSec y CBAC Tráfico FTP y CBAC

• Con el FTP, el CBAC no permite las conexiones de tercera persona (de tres vías transferencia FTP).

• Cuando el CBAC examina el tráfico FTP, permite solamente los canales de datos con el puerto destino en el rango de 1024 a 65535.

• El CBAC no abrirá un canal de datos si la autenticación de servidor del FTP cliente falla.

Compatibilidad de IPSec y CBAC

Cuando el CBAC y el IPSec se habilitan en el mismo router, y el router de escudo de protección es un punto final para el IPSec para el flujo determinado, después el IPSec es compatible con el CBAC (es decir, el CBAC puede hacer su examen normal que

(3)

procesa en el flujo).

Si el router no es un punto final de IPSec, pero el paquete es un paquete IPsec, después el CBAC no examinará los paquetes porque el número de protocolo en el encabezado IP del paquete IPsec no es TCP o UDP. El CBAC examina solamente el UDP y los paquetes TCP.

Información sobre el Context-Based Access Control

• Qué hace CBAC

• Qué No Hace CBAC

• Cómo Funciona CBAC: Descripción General

• Cómo Funciona CBAC: Detalles

• Cuándo y dónde Configurar CBAC

• El Proceso CBAC

• Protocolos admitidos CBAC

• Soporte a protocolo RTSP y de H.323 para las aplicaciones multimedia

• Impacto en la Memoria y en el Rendimiento

• Selección de una Interfaz: Interno o Externo

• Configurar las listas de IP Access en la interfaz

• Sesiones medio abiertas

• Examen de la fragmentación del paquete del IP

• Examen genérico TCP y UDP

• Guías de consulta para configurar un Firewall

• Examen RTSP

• H.323 V2

• Como Interpretar el Syslog y los Mensajes de la Consola Generados por CBAC

• Desactivación de CBAC Qué hace CBAC

El CBAC trabaja para proporcionar la protección de la red en los niveles múltiples usando las funciones siguientes:

• Filtrado de Tráfico

• Inspección del Tráfico

• Alertas y Pistas de Auditoría

• Prevención de intromisión Filtrado de Tráfico

CBAC filtra inteligentemente los paquetes TCP y UDP en función de la información de sesión de protocolo de la capa de aplicación. Puede configurar CBAC para permitir que el tráfico TCP y UDP especificado atraviese un firewall solamente cuando la conexión se inicie dentro de la red que se desea proteger. CBAC puede inspeccionar el tráfico para comprobar si hay sesiones que se originen en cualquiera de los lados del firewall y se puede utilizar para los perímetros de la intranet, la extranet e Internet de la red.

Sin el CBAC, el filtrado de tráfico se limita a las aplicaciones de la lista de acceso que examinan los paquetes en la capa de red, o a lo más, la capa de transporte. Sin embargo, el CBAC examina la información no sólo de la capa de red y de la capa de transporte pero también examina la información del Application Layer Protocol (tal como información de la conexión FTP) para aprender sobre el estado de la sesión. Esto permite el soporte de los protocolos que implican los múltiples canales creados como resultado de las negociaciones en el canal de control. La mayor parte de los protocolos de las multimedias así como algunos otros protocolos (tales como FTP, RPC, y SQL*Net) implican los múltiples canales.

Usando el CBAC, el bloqueo de las Javas se puede configurar para filtrar el tráfico HTTP basado en la dirección del servidor o para negar totalmente el acceso a los subprogramas java que no se integran en haber archivado o un archivo comprimido. Con las Javas, usted debe proteger contra el riesgo de usuarios que descargan inadvertidamente los applet destructivos en su red.

Para proteger contra este riesgo, usted podría requerir a todos los usuarios inhabilitar las Javas en su navegador. Si esto no es una solución aceptable, usted puede crear una regla de la inspección de CBAC para filtrar los subprogramas java en el Firewall, que permite que los usuarios descarguen solamente los applet que residen dentro del Firewall y los applet de confianza desde fuera del Firewall. Para el filtrado de contenido extenso de las Javas, exploración activa-x, o del virus, usted puede ser que quiera considerar comprar un producto dedicado del filtrado de contenido.

Inspección del Tráfico

El CBAC examina el tráfico que viaja con el Firewall para descubrir y para manejar la información del estado para el TCP y las Sesiones UDP. Esta información del estado se utiliza para crear las aperturas temporales en las Listas de acceso del Firewall para permitir el tráfico de retorno y las conexiones de datos adicionales para las sesiones autorizadas.

La inspección de los paquetes en la capa de la aplicación, y mantener la información TCP y de Sesión UDP, proporciona el CBAC con la capacidad de detectar y de prevenir los tipos determinados de ataques a la red tales como SYN-inundación. Un ataque de inundación SYN ocurre cuando un atacante de la red inunda un servidor con una presa de los pedidos la conexión y

(4)

no completa la conexión. El volumen resultante de conexiones entreabiertas puede abrumar el servidor, haciéndolo negar el servicio a las peticiones válidas. Los ataques a la red que niegan el acceso a un dispositivo de red se llaman los ataques del servicio negado (DOS).

El CBAC ayuda a proteger contra los ataques DOS de otras maneras. El CBAC examina los números de secuencia del paquete en las conexiones TCP para ver si están dentro de los rangos esperados — el CBAC cae cualquier paquete sospechoso. Usted puede también configurar el CBAC para caer las conexiones entreabiertas, que requieren el proceso y a los recursos de memoria del Firewall para mantener. Además, el CBAC puede detectar inusualmente las altas velocidades de las nuevas conexiones y de los mensajes de alerta del problema.

El CBAC puede ayudar protegiendo contra ciertos ataques DOS que implican los paquetes hechos fragmentos IP. Aunque el Firewall evita que un atacante haga las conexiones reales a un host dado, el atacante puede interrumpir los servicios proporcionados por ese host. Esto es hecha enviando muchos fragmentos NON-iniciales IP o enviando los paquetes fragmentados completos a través de un router con un ACL que filtre el primer fragmento de un paquete fragmentado. Estos fragmentos pueden inmovilizar los recursos en el host de destino mientras que intenta volver a montar los paquetes incompletos.

Alertas y Pistas de Auditoría

CBAC también genera alertas en tiempo real y pistas de auditoría. Las características aumentadas del rastro de auditoría utilizan el SYSLOG para seguir todas las transacciones de la red; sellos del tiempo de grabación, host de origen, computadora principal de destino, puertos usados, y el número total de bytes transmitidos, para la información avanzada, basada en la sesión. Las alertas en tiempo real envían los mensajes de error SYSLOG a las consolas de administración centrales cuando se detecta actividad sospechosa. Utilizando las reglas de inspección de CBAC, puede configurar alertas e información de auditoría para cada Application Protocol. Por ejemplo, si usted quiere generar la información del rastro de auditoría para el tráfico HTTP, usted puede especificar eso en la regla CBAC que cubre el examen HTTP.

Prevención de intromisión

El CBAC proporciona las cantidades limitadas de detección de intrusos para proteger contra los ataques específicos S TP. Con la detección de intrusos, los mensajes de Syslog se revisan y se monitorean para las “firmas específicas del ataque.” Los tipos determinados de ataques a la red tienen las características específicas, o firmas. Cuando el CBAC detecta los ataques, reajusta las conexiones que ofenden y envía la Información de syslog al servidor de Syslog. Refiera a la sección “ejemplos de la

configuración CBAC” más adelante en este capítulo para una lista de firmas soportadas.

Además de la detección de intrusos limitada ofrecida por el CBAC, el conjunto de funciones del Cisco IOS Firewall ofrece la tecnología de la detección de intrusos para las Plataformas del alcance medio y del router de mayor capacidad usando el Cisco IOS Intrusion Prevention System (IPS). El Cisco IOS IPS reestructura y substituye el sistema existente de la detección de intrusos del Cisco IOS (IDS). Es ideal para cualquier perímetro de red, y especialmente para las ubicaciones en las cuales están desplegando a un router y la seguridad complementaria entre los segmentos de red se requiere. También puede proteger las conexiones del intranet y del extranet donde se asigna por mandato la seguridad complementaria, y la sucursal localiza la conexión con la oficina corporativa o Internet.

El Cisco IOS IPS actúa como un sensor en línea de la detección de intrusos, los paquetes de observación y sesiones mientras que él atraviesa el router y analizar cada paquete para hacer juego las firmas unas de los IPS del Cisco IOS. Cuando un ISP Cisco IOS detecta actividad sospechosa, responde antes de que la seguridad de la red pueda verse comprometida y registra el evento mediante mensajes syslog de CIsco IOS o de Intercambio de evento de dispositivo de seguridad (Security Device Event Exchange / SDEE).

Para más información sobre el Cisco IOS IPS, refiera al módulo el “que configura Cisco IOS Intrusion Prevention System (IPS).”

Qué No Hace CBAC

El CBAC no proporciona la filtración inteligente para todos los protocolos; trabaja solamente para los protocolos que usted especifica. Si usted no especifica cierto protocolo para el CBAC, las listas de acceso existente determinarán cómo se filtra ese protocolo. No se creará ningunas aperturas temporales para los protocolos no especificados para la inspección de CBAC.

El CBAC no protege contra los ataques que originan contra dentro de la red protegida a menos que ese tráfico viaje a través de un router que tenga el conjunto de funciones del Cisco IOS Firewall desplegado en él. El CBAC detecta y protege solamente contra los ataques que viajan con el Firewall. Éste es un escenario en el cual usted puede ser que quiera desplegar el CBAC en un router basado en intranet.

El CBAC protege contra los tipos determinados de ataques, pero no cada tipo de ataque. El CBAC no se debe considerar una defensa perfecta, impenetrable. Los atacantes determinados, expertos pudieron poder poner en marcha los ataques eficaces.

Mientras que no hay cosa tal como una defensa perfecta, el CBAC detecta y previene la mayor parte de los ataques populares en su red.

Cómo Funciona CBAC: Descripción General

El CBAC crea las aperturas temporales en las Listas de acceso en las interfaces de escudo de protección. Se crean estas aperturas cuando las salidas de tráfico especificado su red interna con el Firewall. Las aperturas permiten el volver del tráfico (que sería bloqueado normalmente) y canales de datos adicionales para ingresar su red interna detrás con el Firewall. El tráfico se permite detrás con el Firewall solamente si es parte de la misma sesión que el tráfico original que accionó el CBAC al salir con el Firewall.

En este capítulo, los términos “entrantes” y “salientes” se utilizan para describir a la dirección del tráfico en relación con la interfaz del router en la cual el CBAC es aplicado. Por ejemplo, si una regla CBAC es entrante aplicado en la interfaz E0, después los paquetes que ingresan la interfaz E0 de la red serán examinados. Si una regla CBAC es saliente aplicado en la interfaz E0, después los paquetes que dejan la interfaz E0 a la red serán examinados. Esto es similar al trabajo de la manera ACL.

(5)

Por ejemplo, considere una regla de la inspección de CBAC nombrada los hqusers, y suponga que la regla es entrante aplicado en la interfaz E0:

router (config-if)# ip inspect hqusers in

Este comando hace el CBAC examinar los paquetes que entran en esta interfaz de la red. Si un paquete está intentando iniciar una sesión, el CBAC entonces determinará si se permite este protocolo, crea una sesión CBAC, agrega los ACL apropiados para permitir el tráfico de retorno y para hacer cualquier examen contento necesario en cualesquiera paquetes futuros para esta sesión.

Los términos “entrados” y la “salida” se utilizan para describir las interfaces en las cuales el tráfico de la red ingresa o sale el router de escudo de protección. Un paquete ingresa el router de escudo de protección vía la interfaz de entrada, es examinado por el software de escudo de protección y después sale al router vía la interfaz de salida.

En el cuadro 1, las listas de acceso de entrada en el s0 y el s1 se configuran para bloquear el tráfico de Telnet, y no hay lista de acceso de salida configurada en el E0. Cuando el pedido de conexión para la sesión telnet User1 pasa con el Firewall, el CBAC crea una apertura temporal en la lista de acceso de entrada en el s0 para permitir volver el tráfico de Telnet para la sesión telnet User1. (Si la misma lista de acceso se aplica a ambo s0 y s1, la misma apertura aparecería en ambas interfaces.) En caso necesario, el CBAC también habría creado una apertura similar en una lista de acceso de salida en el E0 para permitir el tráfico de retorno.

El cuadro 1 CBAC abre los agujeros temporales en las Listas de acceso del Firewall

Cómo Funciona CBAC: Detalles

Esta sección describe cómo el CBAC examina los paquetes y mantiene la información del estado sobre las sesiones para proporcionar la filtración inteligente.

Se examinan los paquetes

Con el CBAC, usted especifica qué protocolos usted quiere ser examinado, y usted especifica una interfaz y una dirección de la interfaz (en o hacia fuera) donde el examen origina. Solamente los protocolos especificados serán examinados por el CBAC.

Los paquetes que ingresan el Firewall son examinados por el CBAC solamente si primero pasan la lista de acceso de entrada en la lista de la interfaz de entrada y de acceso de salida en la interfaz de salida. Si un paquete es negado por la lista de acceso, el paquete es caído y no examinado simplemente por el CBAC.

La inspección de CBAC sigue los números de secuencia en todos los paquetes TCP, y cae esos paquetes con los números de secuencia que no están dentro de los rangos esperados.

La inspección de CBAC reconoce los comandos específicos a la aplicación (tales como comandos ilegales S TP) en el canal de control, y detecta y previene ciertos ataques del nivel de la aplicación.

Cuando el CBAC sospecha un ataque, la característica DOS puede tomar varias medidas:

• Genere los mensajes de alerta

• Proteja a los recursos del sistema que podrían impedir el funcionamiento

• Bloqueares paquete de los atacantes sospechosos

CBAC usa valores de umbral y de tiempo de espera para administrar la información de estado de la sesión, ayudando a

determinar cuándo se debe descartar las sesiones que no se establecen completamente. Fijando los valores de agotamiento del tiempo para las ayudas de las sesiones de red previenen los ataques DOS liberando encima de los recursos del sistema, cayendo las sesiones después de una determinada cantidad de hora. Fijando los valores de umbral para las ayudas de las sesiones de red previenen los ataques DOS controlando el número de sesiones medio abiertas, que limita al periodo de los recursos del sistema aplicados a las sesiones medio abiertas. Cuando se cae una sesión, el CBAC envía un mensaje de la restauración a los dispositivos en las puntas de los ambos extremos (fuente y destino) de la sesión. Cuando el sistema bajo ataque DOS recibe un comando reset, libera, o libera para arriba, los procesos y los recursos relacionados con esa sesión incompleta.

El CBAC proporciona tres umbrales contra los ataques DOS:

• El número total de TCP medio abierto o de Sesiones UDP

• El número de sesiones medio abiertas basadas sobre el tiempo

• El número de las sesiones medio abiertas TCP-solamente por el host Si se excede un umbral, el CBAC tiene dos opciones:

• Envíe un mensaje de la restauración al final señala de la más vieja sesión medio abierta, haciendo los recursos disponibles para mantener los paquetes SYN nuevamente de llegada.

(6)

• En el caso de la mitad de las sesiones abiertas TCP solamente, el CBAC bloquea todos los paquetes SYN

temporalmente para la duración configurada por el valor de umbral. Cuando el router bloquea un paquete SYN, la entrada en contacto de tres vías TCP nunca se inicia, que evita que el router usar la memoria y procese los recursos necesarios para las conexiones válidas.

La detección y la prevención DOS requiere que usted cree una regla de la inspección de CBAC y aplique esa regla en una interfaz. La regla del examen debe incluir los protocolos que usted quiere monitorear contra los ataques DOS. Por ejemplo, si usted tiene examen TCP habilitado en la regla del examen, después el CBAC puede seguir todas las conexiones TCP para mirar para los ataques DOS. Si la regla del examen incluye el examen del protocolo FTP pero no el examen TCP, el CBAC sigue solamente las conexiones FTP para los ataques DOS.

Para información detallada sobre el descanso y los valores de umbral de la configuración en el CBAC para detectar y para prevenir los ataques DOS, refiérase en “cómo configurar la sección del Context-Based Access Control”.

Una tabla de estado mantiene la información de estado de la sesión

Siempre que se examine un paquete, una tabla de estado se pone al día para incluir la información sobre el estado de la sesión.

El tráfico de retorno será permitido solamente detrás con el Firewall si la tabla de estado contiene la información que indica que el paquete pertenece a una sesión autorizada. El CBAC controla el tráfico que pertenece a una sesión válida. Cuando se examina el tráfico de retorno, la información de la tabla de estado se pone al día cuanto sea necesario.

Se aproxima el UDP “sesiones”

Con el UDP — un Servicio sin conexión — no hay sesiones reales, así que el software aproxima las sesiones examinando la información en el paquete y determinandola si el paquete es similar a otros paquetes UDP (por ejemplo, las mismas direcciones de origen/destino y números del puerto) y si el paquete fue detectado pronto después de otro paquete UDP similar. “Pronto”

significa dentro del período de tiempo de inactividad configurable UDP.

Las entradas de lista de acceso se crean y se borran dinámicamente para permitir el tráfico de retorno y las conexiones de datos adicionales

El CBAC crea y borra dinámicamente las entradas de lista de acceso en las interfaces de escudo de protección, según la información mantenida en las tablas de estado. Estas entradas de lista de acceso se aplican a las interfaces para examinar el flujo de tráfico nuevamente dentro de la red interna. Estas entradas crean las aperturas temporales en el Firewall para permitir solamente el tráfico que es parte de a la sesión autorizada.

Las entradas temporarias de la lista de acceso nunca se guardan al NVRAM.

Cuándo y dónde Configurar CBAC

Configuración CBAC en los Firewall que protegen las redes internas. Tales Firewall deben ser routeres Cisco con el conjunto de funciones del Cisco IOS Firewall configurado según lo descrito previamente en la sección “Firewall Cisco IOS.”

Utilice el CBAC cuando el Firewall pasará el tráfico tal como el siguiente:

• Aplicaciones de Internet estándar TCP y UDP

• Aplicaciones multimedia

• Soporte del Oracle

Utilice el CBAC para estas aplicaciones si usted quisiera que el tráfico de la aplicación fuera permitido con el Firewall solamente cuando la sesión del tráfico se inicia de un lado determinado del Firewall (generalmente de la red interna protegida).

En muchos casos, usted configurará el CBAC en una dirección solamente en una sola interfaz, que hace el tráfico ser permitida nuevamente dentro de la red interna solamente si el tráfico es parte de (válido, existiendo) a la sesión permitida. Esto es una configuración típica para proteger sus redes internas contra el tráfico que origina en Internet.

Usted puede también configurar el CBAC en dos direcciones en una o más interfaces. El CBAC se configura en dos direcciones cuando las redes a ambos lados del Firewall deben ser protegidas, por ejemplo con el extranet o las configuraciones del intranet, y proteger contra los ataques DOS. Por ejemplo, si el Firewall se sitúa entre dos redes de sociedades del partner, usted puede ser que desee restringir el tráfico en las aplicaciones de una dirección con certeza, y restringe el tráfico en la dirección opuesta para otras aplicaciones.

El Proceso CBAC

Esta sección describe una Secuencia de eventos de la muestra que ocurra cuando el CBAC se configura en una interfaz externa que conecte con una red externa tal como Internet.

En este ejemplo, un paquete TCP sale la red interna a través de la interfaz externa del Firewall. El paquete TCP es el primer paquete de una sesión telnet, y el TCP se configura para la inspección de CBAC.

1. El paquete alcanza la interfaz externa del Firewall.

2. El paquete se evalúa contra la lista del acceso de salida existente de la interfaz, y se permite el paquete. (A negó el paquete sería caída simplemente en este momento.)

3. El paquete es examinado por el CBAC para determinar y el registrar información sobre el estado de la conexión del paquete. Esta información se registra en una nueva entrada de tabla del estado creada para la nueva conexión.

(Si la aplicación del paquete — Telnet — no fue configurado para la inspección de CBAC, el paquete sería remitido simplemente hacia fuera la interfaz en este momento sin la inspección por el CBAC. Vea la sección el “definir de una regla del examen” más adelante en este capítulo para la información sobre configurar la inspección de CBAC.)

4. De acuerdo con la información del estado obtenida, el CBAC crea una entrada temporaria de la lista de acceso que se

(7)

inserte al principio de la lista de acceso ampliada entrante de la interfaz externa. Esta entrada temporaria de la lista de acceso se diseña para permitir los paquetes de entrada que son parte de la misma conexión que el paquete saliente acaba de examinar.

5. El paquete saliente se remite hacia fuera la interfaz.

6. Más adelante, un paquete de entrada alcanza la interfaz. Este paquete es parte de la misma conexión Telnet establecida previamente con el paquete saliente. El paquete de entrada se evalúa contra la lista de acceso de entrada, y se permite debido a la entrada temporaria de la lista de acceso creada previamente.

7. El paquete de entrada permitido es examinado por el CBAC, y la entrada de tabla del estado de la conexión se pone al día cuanto sea necesario. De acuerdo con la información del estado actualizada, las entradas temporarias entrantes de la lista de acceso ampliada se pudieron modificar para permitir solamente los paquetes que son válidos para el estado actual de la conexión.

8. Cualquier entrante o paquete saliente adicional que pertenezcan a la conexión se examina para poner al día la entrada de tabla del estado y para modificar las entradas de lista de acceso de entrada temporales como sea necesario, y las se remite a través de la interfaz.

9. Cuando la conexión termina o mide el tiempo hacia fuera, se borra la entrada de tabla del estado de la conexión, y se borran las entradas de la lista de acceso de entrada temporales de la conexión.

En el proceso de la muestra apenas descrito, se configuran las Listas de acceso del Firewall como sigue:

• Una lista de IP Access saliente (estándar o extendida) se aplica a la interfaz externa. Esta lista de acceso permite todos los paquetes que usted quiera permitir que salgan la red, incluyendo los paquetes que usted quiere ser examinado por el CBAC. En este caso, se permiten los paquetes Telnet.

• Una lista de acceso IP ampliado entrante se aplica a la interfaz externa. Esta lista de acceso niega cualquier tráfico que se examinará por el CBAC — incluyendo los paquetes Telnet. Cuando el CBAC se acciona con un paquete saliente, el CBAC crea una apertura temporal en la lista de acceso de entrada para permitir solamente el tráfico que es parte de al válido, sesión existente.

Si la lista de acceso de entrada hubiera sido configurada para permitir todo el tráfico, el CBAC estaría creando las aperturas insustanciales en el Firewall para los paquetes que serían permitidos de todos modos.

Protocolos admitidos CBAC

Usted puede configurar el CBAC para examinar los siguientes tipos de sesiones:

• Todas las sesiones TCP, sin importar el Application Layer Protocol (a veces llamado “examen monocanal” o “genérico”

TCP)

• Todas las Sesiones UDP, sin importar el Application Layer Protocol (a veces llamado “examen monocanal” o “genérico”

UDP)

Usted puede también configurar el CBAC para examinar específicamente ciertos Application Layer Protocol. Los Application Layer Protocol siguientes se pueden todos configurar para el CBAC:

• CU-SeeMe (solamente la versión de White Pine)

• FTP

• H.323 (tal como NetMeeting, ProShare)

• HTTP (bloqueo de las Javas)

• Microsoft NetShow

• Comandos r de UNIX (tales como rlogin, rexec, y rsh)

• Realaudio

• RTSP (protocolo de flujo en tiempo real)

• RPC (Sun RPC, no DCE RPC)

• S TP (protocolo simple mail transport)

La nota CBAC se puede configurar para examinar S TP pero no ESMTP (protocolo simple mail transport extendido). El S TP se describe en el RFC 821. CBAC SMTP inspec no inspecciona la sesión ESMTP o la secuencia de comando. La configuración de la inspección SMTP no es útil para ESMTP y puede causar algunos problemas.

Para determinar si un mail server está haciendo el S TP o el ESMTP, entre en contacto su proveedor de software del mail server, o el telnet al puerto 25 del mail server y observe el banner para ver si señala el S TP o el ESMTP.

• SQL*Net

• Streamworks

• TFTP

• VDOLIVE

Cuando un protocolo se configura para el CBAC, se examina ese tráfico de protocolo, se mantiene la información del estado, y los paquetes se permiten generalmente detrás con el Firewall solamente si pertenecen a una sesión autorizada.

Soporte a protocolo RTSP y de H.323 para las aplicaciones multimedia

(8)

El CBAC soporta varios protocolos para las aplicaciones multimedia que requieren la salida de los datos con las propiedades en tiempo real tales como audio y videoconferencia. Este soporte incluye los protocolos siguientes de la aplicación multimedia:

• Real-Time Streaming Protocol (RTSP)

• H.323 versión 2 (H.323V2)

El examen RTSP y del H.323V2 permite que los clientes en una red protegida reciban los datos asociados a una sesión de las multimedias de un servidor en una red no protegida.

Soporte RTSP

El RTSP es el protocolo de estándares IETF (RFC 2326) para el control sobre la salida de los datos con las propiedades en tiempo real tales como audio y secuencias de video. Es útil para los broadcasts en grande y audio o Video on Demand que fluyen, y es soportado por una variedad de productos de proveedor de fluir las multimedias audios y video, incluyendo el software del Cisco IP/TV, del jugador, y de Apple QuickTime 4 de RealNetworks RealAudio G2.

El RFC 2326 permite que el RTSP ejecute encima el UDP o el TCP, aunque el CBAC soporta actualmente solamente el RTSP TCP basado. El RTSP establece un control de conexión TCP basado, o el canal, entre el cliente y servidor de las multimedias.

El RTSP utiliza este canal a los comandos de control tales como “juego” y “pausa” entre el cliente y servidor. Estos comandos y respuestas de control son texto basado y son similares al HTTP.

El RTSP confía típicamente en un protocolo de transporte de datos basado en UDP tal como Real-Time Transport Protocol (RTP) estándar para abrir los canales diferentes para los datos y para los mensajes RTP Control Protocol (RTCP). Los canales RTP y RTCP ocurren en pares, con el RTP siendo un puerto y un RTCP pares que son el puerto consecutivo siguiente. La comprensión de la relación del RTP y del RTCP es importante para verificar la información de la sesión usando los comandos show CBAC.

El cliente RTSP utiliza el puerto TCP 554 o 8554 para abrir una Conexión multimedia con un servidor. El canal de control del canal de datos o de los datos (usando el RTCP) entre el cliente y el servidor se negocia dinámicamente entre el cliente y el servidor usando los altos puertos uces de los UDP (1024 a 65536).

CBAC utiliza esta información de puerto junto con información de conexión del cliente para crear entradas dinámicas de ACL (lista de control de acceso) en el firewall. Cuando se terminan las conexiones TCP o UDP, el CBAC remueve estas entradas dinámicas de los ACLs apropiados.

El soporte CBAC para el RTSP incluye los modos de transporte de datos siguientes:

• Real-Time Transport Protocol (RTP) estándar

El RTP es una norma de IETF (RFC 1889) que soporta la salida de la información en tiempo real tal como audio y vídeo. El RTP utiliza el RTP Control Protocol (RTCP) para manejar la salida de la secuencia de los datos multimedia. Éste es el modo de operación normal para el software del Cisco IP/TV y de Apple QuickTime 4.

• Transporte de datos reales de RealNetworks (RDT)

El RDT es un protocolo de propietario desarrollado por RealNetworks para el transporte de datos. Este modo utiliza el RTSP para el control de comunicación y utiliza el RDT para la conexión de datos y la retransmisión de los paquetes perdidos. Éste es el modo de operación normal para el RealServer G2 de RealNetworks.

• Interpolado (modo túnel)

En este modo, el RTSP utiliza el canal de control para hacer un túnel el tráfico RTP o RDT.

• Lenguaje sincronizado de la integración multimedia (SMIL)

SMIL es un lenguaje de la disposición que habilita la creación de las Presentaciones multimedia que consisten en los elementos múltiples de la música, de la Voz, de las imágenes, del texto, del vídeo y de los gráficos. Esto implica el control múltiple y las secuencias de datos RTSP entre el jugador y los servidores. Este modo está disponible solamente con el RTSP y el RDT. SMIL es una especificación propuesta del World Wide Web Consortium (W3C). El RealNetworks RealServer y RealServer G2 proporcionan el soporte para SMIL — el Cisco IP/TV y Apple QuickTime 4 no hacen.

Soporte de H.323

El soporte CBAC para el examen de H.323 incluye la versión 2 de H.323 y el H.323V2 de la versión 1. de H.323 proporciona la opción adcional sobre H.323 V1, incluyendo una opción del “comienzo rápido”. La opción de comienzo rápida minimiza el retardo entre el tiempo que un usuario inicia una conexión y el tiempo que el usuario consigue los datos (Voz, vídeo). El examen del H.323V2 es compatible con versiones anteriores con H.323 V1.

Con H.323 V1, después de que una conexión TCP se establezca entre el cliente y servidor (canal H.225), un canal diferente para el control de los media (canal H.245) se abre con el cual los canales de las multimedias para la auditoría y el vídeo se negocian más a fondo.

El cliente del H.323V2 abre una conexión al servidor que está escuchando en el puerto 1720. El canal de datos entre el cliente y el servidor se negocia dinámicamente usando los altos puertos uces de los UDP (1024 a 65536).

CBAC utiliza esta información de puerto junto con información de conexión del cliente para crear entradas dinámicas de ACL (lista de control de acceso) en el firewall. Cuando se terminan las conexiones TCP o UDP, el CBAC remueve estas entradas dinámicas de los ACLs apropiados.

Impacto en la Memoria y en el Rendimiento

Aplicaciones CBAC menos que aproximadamente 600 bytes de memoria por la conexión. Debido al uso de la memoria, usted debe utilizar el CBAC solamente cuando usted necesita. Hay también una pequeña cantidad de adicional procesando eso ocurre siempre que se examinen los paquetes.

El CBAC debe evaluar a veces las Listas de acceso largas, que pudieron haber presentado un impacto negativo al

funcionamiento. Sin embargo, se evita este impacto, porque el CBAC evalúa las Listas de acceso usando un método acelerado

(9)

(el CBAC desmenuza las Listas de acceso y evalúa el hash).

Selección de una Interfaz: Interno o Externo

Usted debe decidir si configurar el CBAC en un interno o una interfaz externa de su Firewall.

“Interno” refiere al lado donde las sesiones deben originar para que su tráfico sea permitido con el Firewall. El “externo” refiere al lado donde las sesiones no pueden originar (las sesiones que originan del lado del externo serán bloqueadas).

Si usted configura el CBAC en dos direcciones, usted debe configurar el CBAC en una dirección primero, usando “las designaciones internas” y “externas” apropiadas de la interfaz. Cuando usted configura el CBAC en la otra dirección, las designaciones de la interfaz serán intercambiadas. (el CBAC se puede configurar en dos direcciones en una o más interfaces.

Configure el CBAC en dos direcciones cuando las redes a ambos lados del Firewall requieren la protección, por ejemplo con el extranet o las configuraciones del intranet, y para la protección contra los ataques DOS.)

El Firewall es el más de uso general con una de dos topologías de red básica. Determinar que de estas topologías es la mayoría como su los propio puede ayudarle a decidir a si configurar el CBAC en una interfaz interna o en una interfaz externa.

La primera topología se muestra en el cuadro 2. En esta topología simple, el CBAC se configura para el Serial1 de la interfaz externa. Esto evita que el tráfico del protocolo especificado ingrese el Firewall y la red interna, a menos que el tráfico sea parte de a la sesión inició dentro de la red interna.

Cuadro 2 topología simple — CBAC configurado en la interfaz externa

La segunda topología se muestra en el cuadro 3. En esta topología, el CBAC se configura para el ethernet0 de la interfaz interna. Esto permite el tráfico externo acceda los servicios en las zonas desmilitarizadas (DMZ), por ejemplo los servicios DNS, pero evita que el tráfico del protocolo especificado ingrese su red interna — a menos que el tráfico sea parte de que una sesión inició dentro de la red interna.

Cuadro 3 topología DMZ — CBAC configurado en la interfaz interna

Usando estas dos topologías de ejemplo, decida si configurar el CBAC en un interno o una interfaz externa.

Para ver los diversos escenarios de la configuración de escudo de protección, vea “la sección de los ejemplos de la configuración CBAC” en el final de este capítulo.

Configurar las listas de IP Access en la interfaz

Para que el CBAC trabaje correctamente, usted necesita aseegurarse que usted tenga listas de IP Access configuradas apropiadamente en la interfaz.

Siga estas tres reglas generales al evaluar sus listas de IP Access en el Firewall:

• Comience con una configuración básica.

Si usted intenta configurar las Listas de acceso sin una buena comprensión de cómo las Listas de acceso trabajan, usted puede ser que introduzca inadvertidamente los riesgos de seguridad al Firewall y a la red protegida. Usted debe estar seguro que usted entiende lo que hacen las Listas de acceso antes de que usted configure su Firewall. Para más

información sobre las listas de control de acceso, refiera a las “listas de control de acceso: Capítulo de la descripción y de las guías de consulta”.

Una configuración inicial básica permite que todo el tráfico de la red fluya de las redes protegidas a las redes no protegidas, mientras que bloquea el tráfico de la red de cualquier red no protegida.

• Permita que el tráfico CBAC deje la red con el Firewall.

Todas las Listas de acceso que evalúan el tráfico que sale de la red protegida deben permitir el tráfico que será examinado por el CBAC. Por ejemplo, si Telnet es examinado por el CBAC, después el tráfico de Telnet se debe permitir en todas las Listas de acceso que se apliquen para traficar dejando la red.

• Utilice las listas de acceso ampliadas para negar el tráfico de retorno CBAC que ingresa la red con el Firewall.

Para que las aperturas temporales sean creadas en una lista de acceso, la lista de acceso debe ser una lista de acceso ampliada. Tan dondequiera que usted tenga Listas de acceso que sean aplicadas al tráfico de vuelta, usted debe utilizar las listas de acceso ampliadas. Las Listas de acceso deben negar el tráfico de retorno CBAC porque el CBAC abrirá los

(10)

agujeros temporales en las Listas de acceso. (Usted quisiera que el tráfico fuera bloqueado normalmente cuando ingresa su red.)

Observesi su Firewall tiene solamente dos conexiones, uno a la red interna y una a la red externa, usando todos los trabajos de las listas de acceso de entrada mana porque se paran los paquetes antes de que consigan una ocasión de afectar al router sí mismo.

Esta sección contiene las secciones siguientes:

• Configuración Básica

• Interfaz Externa

• Interfaz Interna Configuración Básica

La primera vez que usted configura el Firewall Cisco IOS, es útil comenzar con una configuración de la lista de acceso básica que haga la operación del Firewall fácil entender sin la Seguridad de compromiso. La configuración básica permite todo el tráfico de la red del acceso de redes protegidas a las redes no protegidas, mientras que bloquea todo el tráfico de la red (con algunas excepciones) de las redes no protegidas a las redes protegidas.

Cualquier configuración de escudo de protección depende de su política de seguridad del sitio. Si la configuración básica no cumple sus requerimientos de seguridad iniciales del sitio, configure el Firewall para resolver su directiva. Si usted es desconocido con esa directiva o necesita la ayuda con la configuración, entre en contacto a su grupo de la Administración de red para la ayuda. Para las directrices adicionales sobre configurar un Firewall, refiera “verificando a la sección CBAC” en este capítulo.

Utilice las guías de consulta siguientes para configurar las Listas de acceso iniciales del Firewall:

• No configure una lista de acceso para el tráfico de las redes protegidas a las redes no protegidas, significando que todo el tráfico de las redes protegidas puede atravesar la interfaz.

Esto ayuda a simplificar la Administración de Firewall reduciendo el número de Listas de acceso aplicadas en las interfaces.

Por supuesto esto asume un nivel elevado de confianza para los usuarios en las redes protegidas, y asume que no hay usuarios malintencionados en las redes protegidas que pudieron poner en marcha los ataques del “dentro.” Usted puede ajustar el acceso a la red para los usuarios en las redes protegidas mientras que usted gana la experiencia con la configuración de la lista de acceso y la operación del Firewall.

• Configure una lista de acceso que incluya las entradas permitiendo cierto tráfico ICMP de las redes no protegidas.

Mientras que una lista de acceso que niega a toda la parte del tráfico IP no una conexión examinada por el CBAC parece la más segura, no es práctica para el funcionamiento normal del router. El router espera ver el tráfico ICMP del otro Routers en la red. Además, el tráfico ICMP no es examinado por el CBAC, significando que las entradas específicas están necesitadas en la lista de acceso para permitir el tráfico de retorno para los comandos icmp. Por ejemplo, un usuario en una red protegida utiliza ping el comando de conseguir el estatus de un host en una red no protegida; sin las entradas en la lista de acceso que permiten echo reply los mensajes, el usuario en la red protegida no consigue ninguna respuesta ping al comando.

Incluya las entradas de lista de acceso para permitir los mensajes ICMP siguientes:

Mensaje Descripción Respuesta de

eco Los comandos ping salientes requieren los mensajes de la respuesta de eco volverse.

time excedido Los comandos traceroute salientes requieren los mensajes del time excedido volverse.

paquete- demasiado- grande

La detección de MTU de trayecto requiere los mensajes “demasiado-grandes”

volverse.

traceroute Permita un traceroute entrante.

inalcanzable Permita que todos los mensajes “inalcanzables” se vuelvan. Si un router no puede remitir o entregar un datagrama, envía un mensaje inalcanzable de ICMP de nuevo a la fuente y cae el datagrama.

• Agregue una entrada de lista de acceso que niega cualquier tráfico de la red de una dirección de origen que corresponde con un direccionamiento en la red protegida.

Esto se conoce como protección contra spoofing porque previene el tráfico de una red no protegida de si se asume que la identidad de un dispositivo en la red protegida.

• Agregue una entrada que niega los mensajes de broadcast con una dirección de origen de 255.255.255.255.

Esta entrada ayuda a prevenir para transmitir los ataques.

• Por abandono, la entrada más reciente de una lista de acceso ampliada es una negación implícita de todo el tráfico IP permitido no específicamente por otras entradas en la lista de acceso.

(11)

Aunque ésta sea la configuración predeterminada, este enunciado de negación final no se muestra por abandono en una lista de acceso. Opcionalmente, usted puede agregar una entrada a la lista de acceso que niega el tráfico IP con cualquier dirección de origen o de destino sin los efectos no deseados.

Para toda la información sobre cómo configurar las listas de IP Access, refiera “configurando al capítulo de los Servicios IP” del Cisco IOS IP Addressing Services Configuration Guide.

Para las extremidades en la aplicación de las Listas de acceso en un externo o una interfaz interna, revise las secciones

“interfaz externa” y “interfaz interna” en este capítulo.

Interfaz Externa

Aquí están algunas guías de consulta para sus Listas de acceso cuando usted configurará el CBAC en una interfaz externa:

• Si usted tiene una lista de IP Access saliente en la interfaz externa, la lista de acceso puede ser un estándar o una lista de acceso ampliada. Esta lista de acceso de salida debe permitir el tráfico que usted quiere ser examinado por el CBAC. Si el tráfico no se permite, no se inspeccionará por el CBAC, sino que simplemente se descartan.

• La lista de IP Access entrante en la interfaz externa debe ser una lista de acceso ampliada. Esta lista de acceso de entrada debe negar el tráfico que usted quiere ser examinado por el CBAC. (el CBAC creará las aperturas temporales en esta lista de acceso de entrada como apropiada permitir solamente el tráfico de retorno que es parte de al válido, la sesión existente.)

• Para toda la información sobre cómo configurar las listas de IP Access, refiera “configurando al capítulo de los Servicios IP” del Cisco IOS IP Addressing Services Configuration Guide.

Interfaz Interna

Aquí están algunas extremidades para sus Listas de acceso cuando usted configurará el CBAC en una interfaz interna:

• Si usted tiene una lista de IP Access entrante en la interfaz interna o una lista de IP Access saliente en la interfaz externa, estas Listas de acceso pueden ser un estándar o lista de acceso ampliada. Estas Listas de acceso deben permitir el tráfico que usted quiere ser examinado por el CBAC. Si el tráfico no se permite, no se inspeccionará por el CBAC, sino que simplemente se descartan.

• La lista de IP Access saliente en la interfaz interna y la lista de IP Access entrante en la interfaz externa deben ser listas de acceso ampliadas. Estas listas de acceso de salida deben negar el tráfico que usted quiere ser examinado por el CBAC.

(el CBAC creará las aperturas temporales en estas listas de acceso de salida como apropiadas permitir solamente el tráfico de retorno que es parte de al válido, la sesión existente.) Usted no necesita necesariamente configurar una lista de acceso ampliada en la interfaz interna saliente y la interfaz externa entrante, pero por lo menos uno es necesario restringir el tráfico que atraviesa el Firewall en la red protegida interna.

Para toda la información sobre cómo configurar las listas de IP Access, refiera “configurando al capítulo de los Servicios IP” del Cisco IOS IP Addressing Services Configuration Guide.

Sesiones medio abiertas

Un número alto de sesiones medio abiertas (absoluto o medido como la velocidad de llegada) podría indicar inusualmente que está ocurriendo un establecimiento de rechazo del servicio. Para el TCP, “medio abierto” significa que la sesión no ha alcanzado al estado establecido — la entrada en contacto de tres vías TCP todavía no se ha completado. Para el UDP, “medio abierto”

significa que el Firewall no ha detectado ningún tráfico de retorno.

El CBAC mide el número total de sesiones medio abiertas existentes y el índice de tentativas del establecimiento de sesión. Las sesiones medio abiertas TCP y UDP se cuentan en las medidas del número total y de la tarifa. Las medidas de la tarifa se hacen varias veces por el minuto.

Cuando el número de sesiones medio abiertas existentes sube sobre un umbral ( max-incomplete high el número), el software borrará las sesiones medio abiertas como sea necesario para acomodar las peticiones de nueva conexión. El software

continuará borrando las peticiones medio abiertas cuanto sea necesario, hasta el número de descensos medio abiertos existentes de las sesiones debajo de otro umbral ( max-incomplete low el número).

Cuando el índice de nueva conexión intenta las subidas sobre un umbral ( one-minute high el número), el software borrará las sesiones medio abiertas como sea necesario para acomodar las tentativas de la nueva conexión. El software continuará borrando las sesiones medio abiertas cuanto sea necesario, hasta que el índice de nueva conexión intente los descensos debajo de otro umbral ( one-minute low el número). Se miden los umbrales de la tarifa como el número de nuevas tentativas de la conexión de la sesión detectadas en el período más pasado de la muestra de los minutos.

Examen de la fragmentación del paquete del IP

Las reglas de la inspección de CBAC pueden ayudar a proteger los hosts contra ciertos ataques DOS que implican los paquetes hechos fragmentos IP.

Usando el examen de la fragmentación, el Firewall mantiene un estado del interfragment (estructura) para el tráfico IP. Se desechan los fragmentos no iniciales a menos que el fragmento inicial correspondiente fuera permitido para pasar con el Firewall. Los fragmentos no iniciales recibidos antes de los fragmentos iniciales correspondientes se desechan.

El examende la fragmentación de la nota puede tener efectos indeseables en ciertos casos, porque puede dar lugar al Firewall que desecha cualquier paquete cuyos lleguen fragmentos fuera de servicio. Hay muchas circunstancias que pueden causar la salida fuera de servicio de los fragmentos legítimos. Aplicación del examen de la fragmentación en las situaciones donde los fragmentos legítimos, que son probables llegar fuera de servicio, pudieron tener un impacto del rendimiento severo.

(12)

Porque utilizan al Routers que funciona con el Cisco IOS Software en una gran variedad de redes, y porque la característica CBAC es de uso frecuente aislar las redes internas a partir de la una otras de las partes de, la característica del examen de la fragmentación se inhabilita por abandono. La detección de la fragmentación se debe habilitar explícitamente para una regla del examen usando ip inspect name el comando. El tráfico unfragmented nunca se desecha porque falta un estado del fragmento.

Incluso cuando el sistema está bajo ataque pesado con los paquetes fragmentados, el tráfico fragmentado legítimo,

eventualmente, consigue alguna fracción de los recursos estatales del fragmento del Firewall, y el tráfico legítimo, unfragmented puede atravesar el Firewall sin obstáculo.

Examen genérico TCP y UDP

Usted puede configurar el examen TCP y UDP para permitir que el TCP y los paquetes UDP ingresen la red interna con el Firewall, incluso si el Application Layer Protocol no se configura para ser examinado. Sin embargo, el examen TCP y UDP no reconoce los comandos específicos a la aplicación, y por lo tanto no pudo permitir todos los paquetes de devolución para una aplicación, determinado si los paquetes de devolución tienen un diverso número del puerto que el paquete de salida anterior.

Cualquier Application Layer Protocol se examine que tomará la precedencia sobre el examen TCP o del paquete UDP. Por ejemplo, si el examen se configura para el FTP, toda la información del canal de control será registrada en la tabla de estado, y todo el tráfico FTP será permitido detrás con el Firewall si la información del canal de control es válida para el estado de la sesión FTP. El hecho de que el examen TCP esté configurado es inútil a la información del estado FTP.

Con el examen TCP y UDP, los paquetes que ingresan la red deben corresponder con exactamente el paquete correspondiente que salió previamente la red. Los paquetes que ingresan deben tener las mismas direcciones de origen/destino y

fuente/números de puerto de destino que el paquete de salida (pero invertido); si no, los paquetes que ingresan serán bloqueados en la interfaz. También, todos los paquetes TCP con un número de secuencia fuera de la ventana se caen.

Con el examen UDP configurado, las contestaciones serán permitidas solamente detrás adentro con el Firewall si se reciben dentro de un tiempo configurable después de que la petición más reciente fuera enviada. (Este vez se configura con ip inspect udp idle-time el comando.)

Guías de consulta para configurar un Firewall

Como ocurre con todos los dispositivos de networking, siempre se debe proteger el acceso al firewall configurando las contraseñas según lo descrito en el módulo "Configuración de la Seguridad con Contraseñas, Niveles de privilegio y Nombres de Usuario de Login para las Sesiones CLI en los Dispositivos de Networking". Debe considerar también la configuración de la autenticación, autorización y contabilización de usuarios según lo descrito en la parte "Autenticación, Autorización y

Contabilización (AAA)" de esta guía.

También debe considerar las recomendaciones siguientes:

• Al fijar las contraseñas para el acceso privilegiado al Firewall, utilice enable secret el comando bastante que enable password el comando, que no tiene como fuerte un algoritmo de encripción.

• Ponga una contraseña en el puerto de la consola. En los entornos de autenticación, autorización y contabilización (AAA), utilice la misma autenticación para la consola que para el resto. En un entorno NON-AAA, en una configuración mínima login y password los comandos password.

• Piensa en el control de acceso antes de conectar un puerto de consola a la red de cualquier manera, incluida la conexión de un módem al puerto. Tenga en cuenta que una rotura en el puerto de la consola podría dar el control total del firewall, incluso con el control de acceso configurado.

• Aplique listas de acceso y protección por contraseña a todos los puertos de terminal virtual. Utilice listas de acceso para limitar quién puede acceder con Telnet al router.

• No habilite ningún servicio local (como SNMP o NTP) que no utilice. Protocolo de detección de Cisco (CDP) y Network Time Protocol (NTP) están activados de forma predeterminada, y debería desactivarlos si no son necesarios.

Para apagar el CDP, ingrese no cdp run el comando global configuration. Para apagar el NTP, ingrese ntp disable el comando interface configuration en cada interfaz no usando el NTP.

Si debe ejecutar NTP, configure NTP solamente en las interfaces necesarias y configúrelo para que solamente escuche a determinados peers.

Cualquier servicio habilitado puede presentar un posible riesgo de seguridad. Un usuario decidido y malintencionado puede encontrar maneras creativas de hacer un mal uso de los servicios habilitados para acceder al firewall o a la red.

Para los servicios locales habilitados, protege contra el mal uso. Protege al configurar los servicios para comunicar solamente con peers específicos, y protege al configurar las listas de acceso para denegar los paquetes para los servicios en interfaces específicas.

• Protéjase ante la suplantación: protege las redes a ambos lados del firewall de una simulación desde el otro lado. Puede establecer una protección contra los ataques de simulación configurando listas de acceso de entrada en todas las interfaces de modo que solamente pase el tráfico procedente de direcciones de origen esperadas, y deniegue todo el resto del tráfico.

También debe inhabilitar el ruteo de origen. Para el IP, ingrese no ip source-route el comando global configuration. La inhabilitación del ruteo de origen en todos los routers puede ayudar también a evitar la simulación.

También debe inhabilitar los servicios menores. Para el IP, ingrese no service tcp-small-servers y no service udp-small- servers los comandos global configuration. En el Cisco IOS Release 12.0 y Posterior, inhabilitan a estos servicios por abandono.

• Evita que el firewall se utilice como relay configurando listas de acceso en cualquier puerto asíncrono Telnet.

• Normalmente, debe inhabilitar los broadcasts dirigidos para todos los protocolos aplicables en el firewall y en todos los demás routers. Para el IP, utilice no ip directed-broadcast el comando. Raramente, algunas redes IP requieren broadcasts dirigidos; si se da este caso, no inhabilite los broadcasts dirigidos.

(13)

Los broadcasts dirigidos se pueden emplear indebidamente para multiplicar el poder de los ataques de negación de servicio porque cada paquete de negación de servicio enviado se transmite a todos los hosts de una subred. Además, algunos hosts tienen otros riesgos de seguridad intrínsecos al gestionar los broadcasts.

• Configure no proxy-arp el comando de evitar que revelen a las direcciones internas. (Es importante llevarlo a cabo si no cuenta ya con NAT configurado para impedir que se revelen las direcciones internas.)

• Mantenga el firewall en un cuarto seguro (cerrado).

Examen RTSP

En el caso del examen RTSP, la salida de la sesión puede variar basado en el protocolo de las multimedias y el modo de transporte. Esta sección utiliza los ejemplos de las sesiones RTSP y del H.323V2 para ilustrar los procedimientos de verificación y para ilustrar cómo la información de la sesión, y la interpretación de esa información de la sesión, varía basado en el protocolo que es examinado. Esta sección proporciona a la sesión de ejemplo siguiente hecha salir:

• RTSP con el RDT

• RTSP con TCP solamente (modo entrelazado)

• RTSP con SMIL

• RTSP con RTP (IP/TV)

• H.323 V2 RTSP con el RDT

El siguiente ejemplo ilustra el resultado show ip inspect session del comando. Muestra que un canal de control (rtsp) y el canal de datos (RTSP-DATA) está abierto entre los hosts 192.168.155.2 y 192.168.35.1.

router# show ip inspect session Established Sessions

Session 616B4F1C (192.168.155.2:7548)=>(192.168.35.1:6970) rtsp-data SIS_OPEN Session 611E2904 (192.168.35.1:1221)=>(192.168.155.2:554) rtsp SIS_OPEN

El siguiente ejemplo ilustra el resultado show ip access-list del comando. Muestra que dos entradas dinámicas (declaraciones del permiso) fueron agregadas al ACL 100 para la sesión de las multimedias. La entrada TCP crea una apertura dinámica con el Firewall entre el puerto 554 (puerto del protocolo RTSP) en el cliente y el puerto 1221 en el servidor. La entrada UDP crea una apertura dinámica entre el puerto 7548 de los datos en el cliente y el puerto 6970 de los datos en el servidor.

router# show ip access-list Extended IP access list 100

permit udp host 192.168.155.2 eq 7548 host 192.168.35.1 eq 6970 (31 matches) permit tcp host 192.168.155.2 eq 554 host 192.168.35.1 eq 1221 (27 matches)

Después de cerrar la sesión de las multimedias, revise la salida de la sesión usando show los comandos de verificar el software de escudo de protección ha quitado las entradas dinámicas de la configuración.

RTSP con TCP solamente (modo entrelazado)

El siguiente ejemplo ilustra el resultado show ip inspect session del comando. Muestra que solamente un solo canal de control (rtsp) está abierto entre los hosts 192.168.155.2 y 192.168.35.1. En este modo, los datos son tunneled con el Firewall usando la conexión TCP interpolar el RDT o los datos RTP.

Session 611E2904 (192.168.35.1:1228)=>(192.168.155.2:554) rtsp SIS_OPEN

El siguiente ejemplo ilustra el resultado show ip access-list del comando. Muestra que una sola entrada dinámica (declaración del permiso) fue agregada al ACL 100 para la sesión de las multimedias. La entrada TCP crea una apertura dinámica con el Firewall entre el puerto 554 (puerto del protocolo RTSP) en el cliente y el puerto 1228 en el servidor.

router# show ip access-lists Extended IP access list 100

(14)

permit tcp host 192.168.155.2 eq 554 host 192.168.35.1 eq 1228 (391 matches)

RTSP con SMIL

El siguiente ejemplo ilustra el resultado show ip inspect session del comando para el RTSP usando el lenguaje sincronizado de la integración multimedia (SMIL). Muestra que un solo canal de control (rtsp) y los canales de datos múltiples (RTSP-DATA) están abiertos entre los hosts 192.168.155.2 y 192.168.35.1. Los canales de datos aparecen como medias sesiones abiertas porque los flujos de datos UDP en una dirección solamente, que es del servidor al cliente.

Session 616CA914 (192.168.155.2:30616)=>(192.168.35.1:6974) rtsp-data SIS_OPEN Session 616B4E78 (192.168.35.1:1230)=>(192.168.155.2:554) rtsp SIS_OPEN Session 614AB61C (192.168.155.2:29704)=>(192.168.35.1:6976) rtsp-data SIS_OPEN Session 616CAA88 (192.168.155.2:26764)=>(192.168.35.1:6972) rtsp-data SIS_OPEN Half-open Sessions

Session 614AAEF0 (192.168.155.2:15520)=>(192.168.35.1:6970) rtsp-data SIS_OPENING

El siguiente ejemplo ilustra el resultado show ip access-lists del comando. Muestra que se añadieron entradas dinámicas múltiples (sentencias de permiso) a ACL 100 para la sesión multimedia. La entrada TCP crea una apertura dinámica a través del firewall entre el puerto 554 (puerto de protocolo RTSP) en el cliente y el puerto 1230 en el servidor. Las entradas UDP crean las aperturas dinámicas entre los puertos negociados de los datos en el cliente (192.168.155.2) y el servidor (192.168.35.1).

router# show ip access-list Extended IP access list 100

permit udp host 192.168.155.2 eq 29704 host 192.168.35.1 eq 6976 (182 matches) permit udp host 192.168.155.2 eq 30616 host 192.168.35.1 eq 6974 (268 matches) permit udp host 192.168.155.2 eq 26764 host 192.168.35.1 eq 6972 (4 matches) permit udp host 192.168.155.2 eq 15520 host 192.168.35.1 eq 6970 (12 matches) permit tcp host 192.168.155.2 eq 554 host 192.168.35.1 eq 1230 (41 matches)

RTSP con RTP (IP/TV)

El siguiente ejemplo ilustra el resultado show ip inspect session del comando para el RTSP con la aplicación del Cisco IP/TV.

La salida muestra que un solo canal de control (rtsp) y los canales de datos múltiples (RTSP-DATA) están abiertos entre los hosts 192.168.2.15 y 192.168.102.23. Los canales de datos aparecen como sesiones medio abiertas porque los flujos de datos UDP en una dirección solamente, que es del servidor al cliente.

Session 611493C0 (192.168.2.15:2571)=>(192.168.102.23:8554) rtsp SIS_OPEN Half-open Sessions

Session 6114A22C (192.168.102.23:2428)=>(192.168.2.15:20112) rtsp-data SIS_OPENING Session 61149F44 (192.168.102.23:2428)=>(192.168.2.15:20113) rtsp-data SIS_OPENING

(15)

Session 6114A0B8 (192.168.102.23:2429)=>(192.168.2.15:20115) rtsp-data SIS_OPENING Session 6114A3A0 (192.168.102.23:2429)=>(192.168.2.15:20114) rtsp-data SIS_OPENING

El siguiente ejemplo ilustra el resultado show ip access-lists del comando. Muestra que se añadieron entradas dinámicas múltiples (sentencias de permiso) a ACL 100 para la sesión multimedia. La entrada TCP crea una apertura dinámica a través del firewall entre el puerto 554 (puerto de protocolo RTSP) en el cliente y el puerto 1230 en el servidor. Las entradas UDP crean las aperturas dinámicas entre los puertos negociados de los datos en el cliente (192.168.2.15) y el servidor (192.168.102.23).

router# show ip access-lists Extended IP access list 100

Después de cerrar la sesión de las multimedias, revise la salida de la sesión usando show los comandos de verificar que el software de escudo de protección ha quitado las entradas dinámicas de la configuración.

H.323 V2

El siguiente ejemplo ilustra el resultado show ip inspect session del comando para el H.323V2. Muestra un solo canal de control de H.323, un canal RTP Control Protocol para el audio y los datos de video, y un canal de datos RTP entre los hosts 192.168.155.2 y 192.168.35.1.

Session 615E2688 (192.168.35.1:49609)=>(192.168.155.1:49609) H323-RTCP-audio SIS_OPEN Session 615E2688 (192.168.35.1:49508)=>(192.168.155.1:49508) H323-RTP-audio SIS_OPEN Session 615E2688 (192.168.35.1:49410)=>(192.168.155.1:49410) H323-RTP-video SIS_OPEN Session 615E2688 (192.168.35.1:49611)=>(192.168.155.1:49611) H323-RTCP-video SIS_OPEN Session 615E1640 (192.168.35.1:4414)=>(192.168.155.1:1720) H323 SIS_OPEN

El siguiente ejemplo ilustra el resultado show ip access-lists del comando. Muestra que se añadieron entradas dinámicas múltiples (sentencias de permiso) a ACL 100 para la sesión multimedia. La entrada TCP crea una apertura dinámica con el Firewall entre el puerto 1720 (puerto del protocolo del H.323V2) en el cliente y el puerto 4414 en el servidor. Las entradas UDP crean las aperturas dinámicas entre los puertos negociados de los datos en el cliente (192.168.155.1) y el servidor

(192.168.35.1).

Router# show ip access-lists

Extended IP access list 100

Como Interpretar el Syslog y los Mensajes de la Consola Generados por CBAC

El CBAC proporciona los mensajes de Syslog, los mensajes de alerta de consola, y los mensajes del rastro de auditoría. Estos mensajes son útiles porque pueden alertarle a los ataques a la red y porque proporcionan un rastro de auditoría que