Exercício 3a Filtros Anti-Spoofing



Documentos relacionados
Atividade PT 5.3.4: Configurando ACLs estendidas Diagrama de topologia

O que é uma firewall? É um router entre uma rede privada e uma rede pública que filtra o tráfego com base num conjunto de regras.

Exercício 5 - Conectando-se a um PTT

Capítulo 9: Listas de Controle de Acesso

GTER 36 Experiência de implantação IPv6 em clientes finais

Cenário. Curso Boas Práticas para Sistemas Autônomos Laboratório

Exercício 6 Engenharia de Tráfego

Os protocolos de encaminhamento têm como objectivo a construção e manutenção automática das tabelas de encaminhamento.

Linux Network Servers

Aula 08. Firewall. Prof. Roitier Campos Gonçalves

Firewall Iptables. Professor: João Paulo de Brito Gonçalves. Campus - Cachoeiro Curso Técnico de Informática

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

INSTRUÇÃO NORMATIVA CONTROLE QUALIDADE DE SERVIÇOS QOS

Firewall IPTables e Exemplo de Implementação no Ambiente Corporativo.

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

CARLOS RAFAEL GUERBER EXERCÍCIOS ROTEADOR

Exercício 2 ibgp. 1. Primeiro, crie uma interface de loopback em cada roteador que será utilizada para estabelecer as sessões ibgp.

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

IPTABLES. Helder Nunes

Listas de Controlo de Acesso (ACLs)

Formação para Sistemas Autônomos. Boas Práticas BGP. Formação para Sistemas Autônomos

Firewalls, um pouco sobre...

Nova visão de Listas de Acesso Cisco CBAC e ZPF

Capítulo 4 TCP/IP FIREWALLS.

Capítulo 11: NAT para IPv4

Configuração para o MK-AUTH

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

Suporte de NAT para conjuntos múltiplos utilizando mapas de rota

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br

ATENÇÃO. No menu downloads do meu site não existe mais o link para baixar uma iso do Mikrotik. (vc deverá providenciar uma iso em outro lugar).

Interconexão de Redes. Aula 03 - Roteamento IP. Prof. Esp. Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Obs: Endereços de Rede. Firewall em Linux Kernel 2.4 em diante. Obs: Padrões em Intranet. Instalando Interface de Rede.

Configuração de VLAN s entre DFL-210 e DGS-3024 (com DHCP Server)

Compartilhamento da internet, firewall

Listas de Acesso (ACL).

Redes IP. M. Sc. Isac Ferreira Telecomunicações e Redes de Computadores: Tecnologias Convergentes

Laboratório b Listas de acesso estendidas para DMZ simples

01 - Entendendo um Firewall. Prof. Armando Martins de Souza armandomartins.souza@gmail.com

GUIA LAB I - REDES DE COMPUTADORES / ECO008 PROF. ISAÍAS LIMA INICIANDO O ROTEADOR MODO DE SETUP

Administração de Redes 2014/15. Encaminhamento estático Princípios do encaminhamento dinâmico

1. Explicando Roteamento um exemplo prático. Através da análise de uns exemplos simples será possível compreender como o roteamento funciona.


Administração de Sistemas

Manual do usuário. Viewer

Packet Tracer - Configurando ACLs Estendidas - Cenário 1

CCNA 2 Conceitos Básicos de Roteadores e Roteamento. Capítulo 7 - Protocolo de Roteamento de Vetor de Distância

Procedimentos para Configuração de Redirecionamento de Portas

Autor: Armando Martins de Souza <armandomartins.souza at gmail.com> Data: 12/04/2010

PROJETO DE IMPLEMENTAÇÃO DE UM SERVIDOR FIREWALL LIVRE UTILIZANDO IPTABLES

Redes de Computadores. 1 Questões de múltipla escolha. TE090 - Prof. Pedroso. 17 de junho de 2015

Roteiro de Práticas de Roteamento IGP usando Quagga

Administração de Redes Firewall IPTables

Aula Prática 9 - Filtragem de Pacotes e Serviço Proxy

TuxFrw 3.0 MSPF Modular Stateful Packet Filter

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Scripting

Solução de baixo custo para BGP usando Mikrotik Router OS GTER 31. Bruno Lopes Fernandes Cabral

Pacote (Datagrama) IP

CONFIGURAÇÃO DE ROTEADORES CISCO. Prof. Dr. Kelvin Lopes Dias Msc. Eng. Diego dos Passos Silva

Troubleshooting em rede básica

Flowspec em ação. Experiência de uso na RNP. Raniery Pontes Junho de 2007

Segurança de Redes. Firewall. Filipe Raulino

Firewalls. Firewalls

Endereçamento Privado Proxy e NAT. 2008, Edgard Jamhour

Uso do iptables como ferramenta de firewall.

IP Source Routing. Uma opção para teste de caminho


Introdução Modelo OSI Sistemas de firewall Bridge x roteamento Atuação de um IPS Funcionamento do Hogwash Instalação do Hogwash Configuração do

Firewall - IPTABLES. Conceitos e Prática. Tópicos em Sistemas de Computação Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.

Segurança de Redes de Computadores

Laboratório Verificando a Configuração Básica de EIGRP

Rede de Computadores II

Laboratório a Configuração de listas de acesso padrão

Nota: Lista Roteadores Teoria e Comandos Professor: Roberto Leal Aluno: Data: Turma: Número: Redes Locais e Metropolitanas

Formação para Sistemas Autônomos. Boas Práticas PTT. Formação para Sistemas Autônomos

Laboratório Configurando o Processo de Roteamento OSPF

Comunicação entre Diferentes Sub-redes IP

IPv6 no Governo Federal

Laboratório b Listas de acesso simples e estendidas

Configurações iniciais

4 Implementação e Ambiente de Simulação

Curso de extensão em Administração de Redes

Segurança de Redes de Computadores

Homologação de Clientes de Videoconferência: Roteiro principal

Exercício 1 OSPF. Cenário inicial: Todos os equipamentos já estão com os endereços IPv4 e IPv6 configurados em suas interfaces físicas.

Instalação e Configuração Iptables ( Firewall)

Pós Graduação Tecnologia da Informação UNESP Firewall

Conectando à malha multicast da RNP

Edital N.º 11/PROAD/SGP/2015 e complementares

Laboratório - Visualização das tabelas de roteamento do host

Trabalhando com NAT no PFSense

GERAL - CAMERA IP. Quando a página de login aparecer, digite admin no nome e admin na senha, e então clique em OK. Tela Principal

Prof. Samuel Henrique Bucke Brito

NIC.BR CURSO DE IPV6 A DISTÂNCIA

Wireless WDS Mesh com MIKROTIK

Este documento é propriedade exclusiva da Cisco Systems, Inc. É concedida permissão para cópia e impressão deste documento para distribuição não

Transcrição:

Exercício 3a Filtros Anti-Spoofing Objetivo: Implementar na rede do ISP filtros anti-spoofing. Cenário: Os endereços das interfaces físicas, o protocolo de roteamento interno e o ibgp já estão configurados. Antes de configurar as sessões e-bgp e obter acesso às redes externas, aplique no roteadores do AS filtros de proteção que impediram que seus clientes enviem pacotes para a Internet com endereços IP falsos (spoofing). Importante destacar que quanto mais próximo do cliente mais restritiva devem ser as regras aplicadas. Dentro desse conceito, nos roteadores que atuam como concentrador, juniper e mikrotik_clientes, deve-se habilitar o rp_filter e filtrar a entrada de pacotes apenas de IPs das redes dos clientes. Nas bordas, recomenda-se apenas adicionar filtro de bogons. 1. Primeiro, configure nos roteadores de borda do AS os filtros anti-spoofing IPv4. Esses filtros irão descartar pacotes cujo endereço de origem seja de prefixos de uso reservado, que não devem ser utilizados na Internet, e permitirá o envio de pacotes de endereços válidos. Para realizar essa tarefa execute os seguintes comandos no roteador mikrotik_borda: ip firewall address-list add address=0.0.0.0/8 list=filtro-bogons-v4 add address=10.0.0.0/8 list=filtro-bogons-v4 add address=100.64.0.0/10 list=filtro-bogons-v4 add address=127.0.0.0/8 list=filtro-bogons-v4 add address=169.254.0.0/16 list=filtro-bogons-v4 add address=172.16.0.0/12 list=filtro-bogons-v4 add address=192.0.0.0/24 list=filtro-bogons-v4 add address=192.0.2.0/24 list=filtro-bogons-v4 add address=192.168.0.0/16 list=filtro-bogons-v4 add address=198.18.0.0/15 list=filtro-bogons-v4 add address=198.51.100.0/24 list=filtro-bogons-v4 add address=203.0.113.0/24 list=filtro-bogons-v4 add address=224.0.0.0/3 list=filtro-bogons-v4 add action=drop chain=forward in-interface=ether2 \ \ \ No roteador cisco execute os seguintes comandos para criar os filtros: # configure terminal # ip access-list extended FILTRO-BOGONS-V4 # deny ip 0.0.0.0 0.255.255.255 any # deny ip 10.0.0.0 0.255.255.255 any # deny ip 100.64.0.0 0.63.255.255 any # deny ip 127.0.0.0 0.255.255.255 any # deny ip 169.254.0.0 0.0.255.255 any # deny ip 172.16.0.0 0.15.255.255 any # deny ip 192.0.0.0 0.0.0.255 any # deny ip 192.0.2.0 0.0.0.255 any # deny ip 192.168.0.0 0.0.255.255 any # deny ip 198.18.0.0 0.1.255.255 any # deny ip 198.51.100.0 0.0.0.255 any # deny ip 203.0.113.0 0.0.0.255 any # deny ip 224.0.0.0 31.255.255.255 any # permit ip any any # interface GigabitEthernet0/0.3XX4 # ip access-group FILTRO-BOGONS-V4 in # interface GigabitEthernet0/0.3XX5 # ip access-group FILTRO-BOGONS-V4 in # interface GigabitEthernet0/0.3XX9

# ip access-group FILTRO-BOGONS-V4 in 2. O filtro de endereços inválidos no IPv6 difere do filtro IPv4. No IPv4 bloqueia-se as poucas faixas de endereços inválidos e permite-se toda a faixa de endereços válidos. No IPv6, como a quantidade de endereços válidos na Internet é apenas uma pequena parte dos endereços existentes (12,5%) é mais eficiente criar regras que liberem as faixas válidas e bloqueiem todas as demais. Para isso, no roteador mikrotik_borda execute os seguintes comandos: ipv6 firewall address-list add address=2001:500::/30 list=filtro-bogons-v6 add address=2001::/32 list=filtro-bogons-v6 add address=2001::/16 list=filtro-bogons-v6 add address=2001:678::/29 list=filtro-bogons-v6 add address=2001:c00::/23 list=filtro-bogons-v6 add address=2001:13c7:6000::/36 list=filtro-bogons-v6 add address=2001:13c7:7000::/36 list=filtro-bogons-v6 add address=2001:43f8::/29 list=filtro-bogons-v6 add address=2002::/16 list=filtro-bogons-v6 add address=2003::/16 list=filtro-bogons-v6 add address=2400::/12 list=filtro-bogons-v6 add address=2600::/12 list=filtro-bogons-v6 add address=2610::/23 list=filtro-bogons-v6 add address=2620::/23 list=filtro-bogons-v6 add address=2800::/12 list=filtro-bogons-v6 add address=2a00::/12 list=filtro-bogons-v6 add address=2801::/24 list=filtro-bogons-v6 add address=2c00::/12 list=filtro-bogons-v6 add address=4d0c::/16 list=filtro-bogons-v6 add address=fe80::/10 list=filtro-bogons-v6 add action=drop chain=forward in-interface=ether2 \ \ \ add chain=forward in-interface=ether2 src-address-list=filtro-bogons-v6 add chain=forward in-interface=ether3 src-address-list=filtro-bogons-v6 add chain=forward in-interface=ether4 src-address-list=filtro-bogons-v6 add action=drop chain=forward in-interface=ether2

No roteador cisco execute os seguintes comandos para criar os filtros anti-spoofing IPv6: # configure terminal # ipv6 access-list FILTRO-BOGONS-V6 # deny ipv6 2001:db8::/32 any # permit ipv6 2001:500::/30 any # permit ipv6 2001::/32 any # permit ipv6 2001::/16 any # permit ipv6 2001:0678::/29 any # permit ipv6 2001:0c00::/23 any # permit ipv6 2001:13c7:6000::/36 any # permit ipv6 2001:13c7:7000::/36 any # permit ipv6 2001:43f8::/29 any # permit ipv6 2002::/16 any # permit ipv6 2003::/16 any # permit ipv6 2400::/12 any # permit ipv6 2600::/12 any # permit ipv6 2610::/23 any # permit ipv6 2620::/23 any # permit ipv6 2800::/12 any # permit ipv6 2a00::/12 any # permit ipv6 2801:0000::/24 any # permit ipv6 2c00::/12 any # permit ipv6 4d0c::/16 any # permit ipv6 fe80::/10 any # deny ipv6 any any # interface GigabitEthernet0/0.3XX4 # interface GigabitEthernet0/0.3XX5 # interface GigabitEthernet0/0.3XX9 3. No roteador cisco é preciso executar o seguinte comando para salvar as configurações: # copy running-config startup-config 4. Nos roteadores mikrotik_clientes e juniper os filtros anti-spoofing devem ser mais restritivos, permitindo apenas o encaminhamento de pacotes cujo endereço de origem pertença aos prefixos alocados para os clientes. Além disso, deve-se habilitar a função rp-filter. No roteador mikrotik_clientes execute os seguintes comandos para criar os filtros para a rede IPv4: add chain=forward in-interface=ether3 src-address=102.xx.8.2/32 add chain= forward in-interface=ether4 src-address=102.xx.1.2/28 add chain=forward in-interface=ether5 src-address=102.xx.2.2/32 add action=drop chain=forward in-interface=ether5 ip settings set rp-filter=strict

No roteador juniper os comandos a serem executados são os seguintes: # edit # set firewall family inet filter CLIENTES-DOMESTICOS-V4 term ANTI-SPOOFING from source-address 102.XX.24.1/32 # set firewall family inet filter CLIENTES-DOMESTICOS-V4 term ANTI-SPOOFING then accept # set firewall family inet filter CLIENTES-DOMESTICOS-V4 term DEFAULT then # set firewall family inet filter CLIENTES-CORP-V4 term ANTI-SPOOFING from source-address 102.XX.17.0/28 # set firewall family inet filter CLIENTES-CORP-V4 term ANTI-SPOOFING then accept # set firewall family inet filter CLIENTES-CORP-V4 term DEFAULT then # set interfaces ge-0/0/0 unit 3XX6 family inet rpf-check # set interfaces ge-0/0/0 unit 3XX6 family inet filter input CLIENTES- DOMESTICOS-V4 # set interfaces ge-0/0/0 unit 3XX7 family inet rpf-check # set interfaces ge-0/0/0 unit 3XX7 family inet filter input CLIENTES-CORP- V4 5. Os filtros para a rede IPv6 são similares aos da rede IPv4. Para configurá-los no roteador mikrotik-clientes execote os seguintes comandos: add chain=forward in-interface=ether3 src-address=4d0c:xx:800::/56 add chain=forward in-interface=ether4 src-address=4d0c:xx:1::/48 add chain=forward in-interface=ether5 src-address=4d0c:xx:2::2/128 add action=drop chain=forward in-interface=ether5 Obs.: Os roteadores mikrotik não apresentam a função rp-filter para redes IPv6. No roteador juniper execute os seguintes comando: # edit # set firewall family inet6 filter CLIENTES-DOMESTICOS-V6 term ANTI-SPOOFING from source-address 4d0c:XX:8800:0::/56 # set firewall family inet6 filter CLIENTES-DOMESTICOS-V6 term ANTI-SPOOFING then accept # set firewall family inet6 filter CLIENTES-DOMESTICOS-V6 term DEFAULT then # set firewall family inet6 filter CLIENTES-CORP-V6 term ANTI-SPOOFING from source-address 4d0c:XX:8001:0::/48 # set firewall family inet6 filter CLIENTES-CORP-V6 term ANTI-SPOOFING then accept # set firewall family inet6 filter CLIENTES-CORP-V6 term DEFAULT then # set interfaces ge-0/0/0 unit 3XX6 family inet6 rpf-check # set interfaces ge-0/0/0 unit 3XX6 family inet6 filter input CLIENTES- DOMESTICOS-V6 # set interfaces ge-0/0/0 unit 3XX7 family inet6 rpf-check # set interfaces ge-0/0/0 unit 3XX7 family inet6 filter input CLIENTES-CORP- V6

Exercício 3b Gerência da Porta 25 Objetivo: Implementar na rede do ISP filtros de gerência da porta 25/TCP. Cenário: Os endereços das interfaces físicas, o protocolo de roteamento interno e o ibgp já estão configurados. Outro filtro importante de ser configurado é o que impede a saída de tráfego da rede dos clientes domésticos com destino à porta 25/TCP, com o intuito de evitar o envio de spams. Nesse exercício abordaremos apenas como criar o filtro que impede o encaminhamento de pacotes com destino a porta 25 e não será tratada nenhuma configuração referente ao servidor de e-mail. 1. Este filtro também deve ser configurado o mais próximo a rede dos clientes domésticos atuando apenas sobre as interfaces que conectam este tipo de cliente. Para realizar a configuração no roteador mikrotik_cliente execute os seguintes comandos: add chain=forward action=drop src-address=0.0.0.0/0 dst-address=0.0.0.0/0 \ dst-port=25 protocol=tcp in-interface=ether3 place-before=0 add chain=forward action=drop src-address=::/0 dst-address=::/0 \ dst-port=25 protocol=tcp in-interface=ether3 place-before=0 No roteador juniper os comandos devem ser os seguintes: > edit address 0.0.0.0/0 protocol tcp port smtp # set firewall family inet filter CLIENTES-DOMESTICOS-V4 term PORTA-25 then # insert firewall family inet filter CLIENTES-DOMESTICOS-V4 term PORTA-25 before term ANTI-SPOOFING address ::/0 next-header tcp port smtp # set firewall family inet6 filter CLIENTES-DOMESTICOS-V6 term PORTA-25 then # insert firewall family inet6 filter CLIENTES-DOMESTICOS-V6 term PORTA-25 before term ANTI-SPOOFING

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback