CCNA4 tema4 y 5: Seguridad en la red ACLs

White hat, HACKER
Black hat, CRACKER
PH Freaker, el que altera la red telefónica ya sea de manera física o lógica
Phisier, "pescador", cartas nigerianas, webs falsas...
Spammer, REPETIDOR

Existen 3 tipos de ataques:
-recononceise atack
-access atack
-DoS atac          (Denied of Service)


SEGURIDAD = DOMINAR ACLs
CERT, Equipo de Respuesta de Emergencia Informática
(Déjate todos los puertos abiertos... que sólo se conecto una MAC y fuera!)

1)))aaa
Authentification Autorization Acounting
#
enable secret cisco
username taxo password cisco
aaa new-model
aaa authentification login TOMA local
line console 0
   login authentification TOMA
line vty 0 4
   login authentification TOMA
service password encryption

2)))Loggin activity with SNMP  (Simple Network Management Protocol)
syslog server, sistema de logeo, notario, historial....
0 emergencias
1 alertas
2 critical
3 errors
4 warnigns
5 notifications
6 international
7 debuging

3)))autosecure
Comando que deshabilita todos los servicios no esenciales

4)))Seguridad de ruteo   ACL



SDM, es un programa para hacer seguridad en entorno gráfico



La información de ruteo se puede encriptar!!!
1))))))))))))))))))))))))))))))))))))))))))))))))))))
conf t
key chain RIP-KEY
   key 1
      key-string cisco
int 0/0/0
   ip rip authentification mode md5
   ip rip authentification key-chain RIP-KEY
2))))))))))))))))))))))))))))))))))))))))))))))))))))
conf t
key chain EIGRP-KEY
   key 1
      key-string cisco
int 0/0/0
   ip eigrp authentification mode md5
   ip eigrp authentification key-chain EIGRP-KEY
3)))))))))))))))))))))))))))))))))))))))))))))))))))) 
conf t
int 0/0/0
    ip ospf message-digest-key 1 md5 cisco
    ip ospf authentification message-digest
exit
router ospf 10
    area 0 authentification message-digest



SPOOFING, usar ips falsas para suplantar ips verdaderas

service timestamps        (guarda tiempos cuando se producen eventos)
service tcp-keepalives-in



NTP
ip ssh time-out 15
ip ssh authentification-retries 2         (2 intentos para autenticarse)

line vty 0 4
   no transport input          (capas todo)
   transport input telnet ssh        (solo permites telnet y ssh)
   exec-timeout 3          (corta sessión telnet si no hay actividad en 3 min)

ACL

Es una lista de sentencias de permiso o denegación para controlar el tráfico que entra o sale de la red. No actúa sobre los pakets que origina el propio router.
ip access-list ESTENOMBRE
     deny host 192.168.14.0              (si pones host, no hace falta wildcard 0.0.0.1)
     deny ip 192.168.14.0 0.0.0.255   (si pones ip, es para dar una red!)
interface fastethernet o serial
     ip access-group ESTENOMBRE in o out


Para entender más la wildcar y la mask veamos lo siguiente:
Tenemos la 192.164.14.0, ¿Pasarán la .233 y la .224? con:

255.255.255.0 mask                  255.255.255.255 mask                     255.255.255.1 mask
0.0.0.255 wildcard                       0.0.0.0 wildcard                             0.0.0.254 wildcard
         |||| ||||                                         oooo oooo                                         oooo ooo|

          233                                              233                                                233 no pasa
          244                                              244                                                  <===== 
          pasan                                        no pasan                                            244 pasa
        =====>                                      <=====                                               =====>
  no filtras nada                                   filtras todo                                    filtras impares
                                                                                                           no pasan impares



TCP
Transfer Control Protocol, capa 4
TCP envía un saludo a 3 vías, y mandaba los pakets mezclados poco a poco
UDP ni llama, ni acuerda, ni... mandaba el churro a caparrón

TCP:  21 FTP,  23 Telnet,  25 SMTP,  80 Http,  443 Https,  110 POP .............
UDP:  69 TFTP,  520 RIP .............
TCP/UDP:  53 DNS,  162 SNMP .........

TIPOS DE ACL:

Estándar        (cisco)
Extendida      (cisco)
Complejas: dinámicas
                   reflexivas
                   de tiempo


ESTÁNDAR, se basa en la dirección IP DE ORIGEN para filtrar pakets
EXTENDIDAS, se basan en la dirección IP DE ORIGEN/DESTINO, PUERTO ORIGEN/DESTINO, y/o PROTOCOLO ORIGEN/DESTINO

ACL ESTÁNDAR

access-list 3 permit 192.168.30.0
access-list (1-99,  1300-1999,  o nombre)   permit/deny   ip origen

ACL EXTENDIDA

access-list 180 permit tcp 192.168.20.0 0.0.0.253 any eq 23
aceess-list (100-199,   2000-2699,  o nombre)   permit/deny   protocolo origen   wildcar   puerto

ACL COMPLEJAS

1)dinámicas, meter un telnet con usuario y password
username taxo password cisco
access-list 101permit any host 10.2.2.2 eq telnet
access-list 101 dynamic router-telnet time-out 15 permit ip 192.168.10.0 0.0.0.255 
                                                                                                    192.168.3.0  0.0.0.255
interfaz serial 0/0/0
ip access-group 101 in


2)reflexivas, sólo permites las ips que pides
ip access-list extended outboundfilters                       (permite la evaluación) 
permit tcp 192.168.0.0 0.0.255.255 any reflect tcptraffic
permit icmp 192.168.0.0 0.0.255.255 any reflect icmptraffic
ip access-list extended outboundfilters                       (verifica las ACLs) 
evaluate tcptraffic
evaluate icmptraffic 
interfaz serial 0/0/0                                                       (metes la ACL) 
ip access-group in (o out) 


3)de tiempo, basadas en el reloj
time-range taxo                             (nombras y defines)
periodic monday wednesday friday 8:00 to 17:00
access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range taxo          (asociasACLrango)
interfaz serial 0/0/0
  ip access-group 101 out