Roteamento e Segurança
Protocolos de Roteamento São mecanismos para descoberta dinâmica de caminhos Problemas: Rotas Assimétricas IP loose Source Route Option Soluções: Rejeitar rotas assimétricas Rejeitar pacotes com IpLooseSourceOption habilitado 40
Roteadores Problema: Implicação: Propagação de pacotes RIP (Routing Information Protocol) falsos. Implicação: Hosts e roteadores geralmente acreditam neles. Se a máquina atacante está próximo do alvo é fácil subverter o tráfego. 41
Intruso propagando tabelas de roteamento para subverter o tráfego RIP Y X B 42
Intruso, após subverter o tráfego Y X B 43
Roteadores Solução: RIP2 provê autenticação através de um campo de autenticação (password simples) Roteadores devem ser configurados de maneira a saber quais rotas podem aparecer em cada interface. 44
Regras Anti-spoofing ! Filtrando pacotes sem nosso endereço de origem ! entrada (in) com 127. como endereço origem acc 101 deny ip 127.0.0.0 0.255.255.255 0.0.0.0 255.255.255.255 ! entrada com endereços reservados acc 101 deny ip 10.0.0.0 0.255.255.255 0.0.0.0 255.255.255.255 acc 101 deny ip 172.16.0.0 0.240.255.255 0.0.0.0 255.255.255.255 acc 101 deny ip 192.168.0.0 0.0.255.255 0.0.0.0 255.255.255.255 ! Filtrando pacotes sem nosso endereço de origem acc 102 permit ip ip.sua.rede.0 0.0.0.255 0.0.0.0 255.255.255.255 acc 102 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Listas de Acesso (1) access-list 1 permit 0.0.0.0 access-list 1 deny 0.0.0.0 255.255.255.255 access-list 2 deny 0.0.0.0 access-list 2 permit 0.0.0.0 255.255.255.255
Listas de Acesso (2) access-list 121 permit tcp any 143.54.0.0 0.0.255.255 gt 1032 access-list 121 permit udp any 143.54.0.0 0.0.255.255 gt 1032 access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq ftp-data access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq ftp access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq telnet access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq smtp access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq domain access-list 121 permit udp any 143.54.0.0 0.0.255.255 eq domain access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq gopher access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq www access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq pop2 access-list 121 permit tcp any 143.54.0.0 0.0.255.255 eq pop3 access-list 121 permit udp any 143.54.0.0 0.0.255.255 eq 517
Listas de Acesso (3) Ativação na interface interface Ethernet0 ip address 200.200.20.2 255.255.255.0 ip access-group 101 out
RIP router rip distribute-list 2 out Ethernet0 distribute-list 1 out Serial0 distribute-list 2 in Serial1 network 200.6.44.0 network 200.132.0.0 network 200.17.172.0 redistribute static metric 9 passive-interface Serial0 passive-interface Serial1 passive-interface Serial4
SNMP snmp-server community snmp-server community xpto RO snmp-server location CPD/UFRGS
Logs logging buffered logging monitor critical logging trap debugging logging facility local2 logging 200.132.0.21 !
Sincronização ! ntp clock-period 17180087 ntp update-calendar ntp server 200.19.119.65 end