Miki TCS - http://www.miki.cat
 

Seguridad

 

    o Seguridad interna: ACL.

Estas son las ACL que tenemos que definir:
- Acceso a los servidores que se encuentran en la VLAN administrativa:

- Permitimos el tráfico tcp y udp desde la red curricular hacia la red administrativa dirigido al servidor DNS.
- Permitimos el tráfico tcp desde la red curricular hacia la red administrativa dirigido al servidor de correo (El mismo que el DNS).
- Denegamos cualquier otro acceso desde la red curricular hacia la administrativa.
- Permitimos cualquier acceso desde la subred de los administradores de la WAN. (Supondremos que la subred de los administradores del centro del distrito es la 10.2.0.0 / 16). Notese que la linea anterior es necesaria porque si no la siguiente permitiria el acceso desde la red curricular.
- Denegamos cualquier otro tipo de acceso.

Router(config)# access-list 101 permit tcp 10.13.64.0 0.0.31.255 host 10.13.32.3 eq 53
Router(config)# access-list 101 permit udp 10.13.64.0 0.0.31.255 host 10.13.32.3 eq 53
Router(config)# access-list 101 permit tcp 10.13.64.0 0.0.31.255 host 10.13.32.3 eq SMTP
Router(config)# access-list 101 deny ip 10.13.64.0 0.0.31.255 any
Router(config)# access-list 101 permit ip 10.2.0.0 0.0.255.255 any

Router(config)# access-list 101 deny ip any any

Para el acceso completo a los demás servidores, no hay ningún problema puesto que los he ubicado en la VLAN curricular.

Las próximas ACLs que voy a definir se encargan de la seguridad WAN, sus objetivos son marcar un punto de redundancia en la seguridad del acceso desde la WAN a la escuela, y contener el tráfico que se envie de la escuela a la WAN.

- Puesto que nos dicen que debemos permitir todo el acceso a internet, esto incluye a todo el tráfico ip destinado a internet, no obstante me parece insostenible ya que los alumnos podrían usarlo para fines no escolares, como por ejemplo el intercanvio de archivos con programas p2p. Por eso prefiero restinguir el tráfico a los servicios conocidos e indispensables de internet.
- Permitimos el tráfico IGRP hacia la WAN, por si acaso las siguientes linias de la ACL lo deniegan.
- Denegamos cualquier tráfico hacia la WAN. Notese que esto no influye en el acceso a los servidores DNS, SMTP ni HTTP primarios del distrito puesto que estos servidores tendrán direcciones IP públicas.
- Permitimos el tráfico hacia internet de todos los puertos inferiores a 1024.
- Denegamos cualquier otro tipo de acceso.

Router(config)# access-list 102 permit igrp 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
Router(config)# access-list 102 deny ip 10.13.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Router(config)# access-list 102 permit tcp 10.13.0.0 0.0.255.255 any lt 1024
Router(config)# access-list 102 permit udp 10.13.0.0 0.0.255.255 any lt 1024

Router(config)# acces-list 102 deny ip any any

 

- Finalmente para el tráfico WAN - escuela tenemos:
- Permitimos el tráfico igrp por si acaso.
- Permitimos el tráfico de los administradores del distrito (red 10.2.0.0 /16).
- Denegamos cualquier otro tráfico de la WAN. Notese que tampoco influye en el tráfico DNS ni SMTP puesto que proviene de direcciones ip públicas.
- Permitimos cualquier otro tráfico, ya que los posibles accesos desde internet son controlados por el doble firewall.

Router(config)# access-list 103 permit igrp 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
Router(config)# access-list 103 permit ip 10.2.0.0 0.0.255.255 any
Router(config)# access-list 103 deny ip 10.0.0.0 0.255.255.255 any
Router(config)# access-list 103 permit ip any any

Para la ACL especial que se ha comentado en la configuración RDSI (ver RDSI) con número 110 la configuración será la misma que la ACL 102 pero eliminando la linea que se refiere al protocolo igrp, de este modo la llamada no se activará cada vez que igrp quiera enviar actualizaciones, pero si lo hará cuando desde esa escuela se quiera acceder a internet en puertos inferiores al 1024 (también para el acceso DNS, SMTP y HTTP del centro del distrito puesto que usan direcciones ip públicas).

Estos son los comandos para colocar las ACL en el router:

Router(config)# interface ethernet 0
Router(config-if)# ip access-group 101 OUT
Router(config-if)# exit

Router(config)# interface serial 0
Router(config-if)# ip access-group 102 OUT
Router(config-if)# ip access-group 103 IN
Router(config-if)# exit

Esquema:

 

anterior
(Requisitos de seguridad)
home
siguiente
(Seguridad externa: doble firewall)