Diferencias

Muestra las diferencias entre dos versiones de la página.

--- redes:ids_ips [2024/11/15 16:49] – thejuanvisu
+++ redes:ids_ips [2024/11/22 16:43] (actual) – thejuanvisu
@@ Línea 59: / Línea 59: @@
   * IPS
   * Concentrador de VPNs
+El problema de estos firewalls es que son excesivamente caros.
+Para implementar el filtrado a nivel de capa de aplicación en nuestros routers tanto la gestión dinámica de aplicaciones como el filtrado dinámico se usa Context Based Access Control en routers cisco como los ISR2 y posteriores. Puede controlar tráfico UDP y TCP entrante y saliente. Si tenemos un firewall, una red interna y una red externa:
+{{drawio>redes:FWAPS.png}}
+Se establecen dos ACL, una de entrada y otra de salida que filtren el tráfico de entrada y salida, mientras que el firewall inspecciona el tráfico TCP y UDC con peticiones HTTPS y DNS.
+==== Tipos de Firewalls de filtrado ====
+  * Filtrado de paquetes sin estado: simples y eficientes, pero no gestionan conexiones ni evitan ataques en capa de aplicación
+  * Filtrado de paquetes con estado: Eficientes, permiten controlar la mayor parte de paquetes de capa de aplicación. No evitan ataques a nivel de capa de aplicación, sin autenticación.
+  * Filtrado a nivel de aplicación: Mejor control de conexiones, evitan ciertos ataques a nivel de aplicación. Menor rendimiento, soporte de protocolos limitado, sin autenticación de usuarios.
+===== Zone Based Firewall (ZBFW)=====
+La configuración de firewall basada en zonas no se suele usar y en su lugar se usan ACL y CBAC, por que se ajusta mejor a redes de gran tamaño. Tiene un enfoque donde se tiene una perspectiva diferente a la hora de configurar el firewall. Antes de hacer configuración de ZBFW se recomienda hacer una copia de seguridad del equipo. En ZBFW se definen parejas de interfaces. Normalmente tenemos una red interna, una externa y una DMZ. Se definen relaciones entre pares de zonas como INSIDE -> DMZ, INSIDE -> OUTSIDE, DMZ -> INSIDE, DMZ -> OUTSIDE, OUTSIDE -> INSIDE o OUTSIDE -> DMZ. Se definen formas de seguridad con estos pares y a estas se les aplican políticas. Las políticas siguen la estructura:
+  * Clase de tráfico
+  * Acciones a aplicar sobre dicha clase de tráfico.
+{{drawio>redes:zbfw.png}}
+Por defecto, las interfaces pertenecen a la zona por defecto, excepto el que va dirigido a las interfaces del router, que se clasifican como self-zone. Las interfaces que pertenecen a la misma zona de seguridad pueden intercambiar tráfico mientras las que no, no pueden a menos que se implemente en una política de tráfico.
+  * Self Zone: Incluye todas las IPs del router, por defecto permiten el tráfico.
+  * Default Zone: Zona de sistema que incluye todas las interfaces que no son miembros de una zona de seguridad (Todas las interfaces pertenecen a esta por defecto)
+Para definir una zona de seguridad se usa el siguiente comando:
+<code cisco>
+zone security OUTSIDE
+zone security DMZ
+zone security OUTSIDE
+</code>
+Creamos una ACL para crear construir dos clases de tráfico:
+<code>
+ip access-list extended ACL-PING-AND-TRACEROUTE //ACL 1
+  permit icmp any any echo
+  permit icmp any any echo-reply
+  permit icmp any any ttl-exceeded
+  permit icmp any any port-unreachable
+  permit icmp any any range 33434 33463 ttl eq 1
+ip access-list extend ACL-DHCP-IN //ACL 2
+  permit udp any eq bootps any eq bootpc
+//Definición de clase de tráfico de la red outside a la self-zone
+class-map type inspect match-any CLASS-OUTSIDE-TO-SELF-PASS
+  match access-group name ACL-PING-AND-TRACEROUTE
+  match access-group name ACL-DHCP-IN
+</code>
+Con esta clase de tráfico se define todo el tipo de tráfico que puede pasar. Se crearan clases de tráfico que van a ser utilizadas para inspeccionar de OUTSIDE a Self ZONE. Una vez creada la clase de tráfico se deben crear las acciones:
+<code>
+policy-map type inspect POLICY-OUTSIDE-TO-SEFL
+  class type inspect CLASS-OUTSIDE-TO-SELF-PASS //clase
+    pass //acción
+  class class-default //clase
+    drop //acción
+</code>
+Finalmente, hay que crear las parejas de zonas de seguridad:
+<code>
+zone-pair security OUTSIDE-TO-SELF source OUTSIDE destination self
+  service-policy tyoe inspect POLICY-OUTSIDE-TO-SELF
+</code>
+Con esto ya tendríamos definida una política OUTSIDE -> self. Finalmente habría que asignar las interfaces a las zonas:
+<code>
+interface GigabitEthernet 0/2
+  zone-member security OUTSIDE
+</code>
+Finalmente podemos usar los siguientes comandos para hacer diagnóstico:
+<code>
+show class-map type inspect
+show policy-map type inspect
+</code>
+===== Traducción de direcciones (NAT) =====
+En la práctica esto se hace en el CPE ya que es donde se cambia de direcciones privadas a direcciones públicas. Se debe conocer la configuración tanto de PAT dinámico como de PAT estático. PAT con mecanismo dinámico de sobrecarga. PAT, también conocido como NAT con sobrecarga se usa para una OP pública y se usa en entornos firewall y a veces en ámbito doméstico. Tenemos los siguientes tipos de nat:
+  * NAT estático: Cada ip privada tiene asociada una pública
+  * NAT Dinámico: Conexiones basadas en un pool de direcciones públicas
+  * Port Address Translation (PAT)
+El funcionamiento de PAT consiste en que se tiene un equipo interno con una ip interna y un equipo con un PAT la convierte en una IP pública cuando se intenta realizar una conexión externa. El firewall genera una entrada en su tabal NAT donde asigna IP privada y purto público, de forma que cuando el tráfico retorna, viene por el puerto que se ha asignado en la IP pública y se deshace el mensaje de traducción. Si se quiere abrir un puerto o mapear un puerto, es un proceso estático donde se definen puerto interno y externo para el tráfico. En entornos corporativos en vez de usar la IP pública de la dirección externa, se asignan rangos de IP públicas para servicios externos. Para ello se definen un rango de IPs privadas, otro de IPs públicas y se vinculan.

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página