Campanha Anti-Spoofing. Anexo B.2 Tutorial de configuração para Clientes Roteadores Cisco

Documentos relacionados
Campanha Anti-Spoofing. Anexo B.1 Tutorial de configuração para Provedores/PoPs Roteadores Cisco

Segurança no roteamento BGP. Italo Valcy Salvador BA, 07/Out/2016

Flexible NetFlow que filtra com monitoramento de desempenho

MANRS. Mutually Agreed Norms for Routing Security

Ligue LSA (tipo 8 LSA) e Intra-Área-prefixo (tipo 9 LSA)

MANRS. Mutually Agreed Norms for Routing Security

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Capítulo 9: Listas de Controle de Acesso

Exercício 6 Engenharia de Tráfego

Curso BCOP. Boas Práticas BGP

Endereçamento IP Básico

Endereçamento. Novas funcionalidades e redes IPv6

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Configurar o buraco negro provocado telecontrole do IPV6 com IPv6 BGP

Exemplo de configuração do enlace virtual OSPFv3

Capítulo 4: Conceitos de Roteamento

APRONET Florianópolis, SC 23/02/19

Vazamento de rota em redes MPLS/VPN

FWSM: Pesquise defeitos o tráfego falhas devido para lesar xlates

Conectando à malha multicast da RNP

CST em Redes de Computadores

Compreendendo o endereço local de link do IPv6

Endereçamento. Um endereço IPv4 é formado por 32 bits. 2³² = Um endereço IPv6 é formado por 128 bits.

Arquitetura e Protocolos de Rede TCP/IP

Configurar o OSPF para filtrar o Tipo 5 LSA

Configurar o Multicast na mobilidade AP expressos de Cisco

Configurar a característica da preferência local do IPv6 BGP

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Captação VACL para a análise de tráfego granulada com Cisco IOS Software running do Cisco catalyst 6000/6500

Licença de uso do material

O BGP prefixa filtros com o 4-byte COMO números

NÃO AUTORIZO O USO DE QUALQUER EQUIPAMENTO DE ÁUDIO E VÍDEO!

Endereçamento. Um endereço IPv4 é formado por 32 bits = Um endereço IPv6 é formado por 128 bits.

Redes de Computadores. Protocolo IP

Implantação de IPv6 na RNP e estudo de caso com NAT64. Guilherme Ladvocat RNP

Erratas CCNA 5.0 (atualizado )

CCNA Exploration Endereçamento de Rede IPv4. kraemer

Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Exemplo de configuração do refletor da rota de BGP do IPv6

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Como Evitar Loops de Roteamento ao Usar NAT Dinâmico

Redes de Computadores 2

Vários protocolos roteados em PVCs ATM utilizando encapsulamento LLC

Configurar recursos do roteamento no interruptor

ENCSIRT 13º ENCONTRO. Data 05/12/2018

Formação para Sistemas Autônomos OSPF. Formação para Sistemas Autônomos

Licença de uso do material

Implantação de IPv6 na RNP e estudo de caso com NAT64. Guilherme Ladvocat RNP

Exercício 3a Filtros Anti-Spoofing

Configurar o Default-route no EIGRP

Camada de Rede. Prof. Bruno Pontes. Endereçamento IP Básico.

Ferramentas para Coexistência e Transição IPv4 e IPv6. Módulo 7

RTBH Remote Triggered Black Role

Laboratório - Visualização das tabelas de roteamento do host

Protocolo e Endereços Internet

Este documento não se restringe a versões de software e hardware específicas.

Configurando uma VPN MPLS Básica

Rotas estáticas do implementar para o exemplo de configuração do IPv6

Utilização de Números de Porta FTP Não- Padrão com NAT

Configurando uma VPN MPLS básica

Disciplina: Segurança de Redes. Professor: Roitier Campos

Anycast RP usando PIM (nexos)

Por que o modo escasso de PIM não trabalha com uma rota estática em um endereço HSRP?

EXERCÍCIOS DE REVISÃO. Segundo Bimestre. Primeiro Bimestre

Redes de Computadores

Redes de Computadores

III Workshop do POP-RS Serviços disponibilizados pelo PoP-RS

Camada de rede. Introdução às Redes de Computadores

DHCPv6 usando o exemplo de configuração da característica da delegação do prefixo

Laboratório - Configuração de endereços IPv6 em dispositivos de rede

Entendendo o IPv6 (I)

Protocolos da camada de redes. Professor Leonardo Larback

Exemplo de configuração para ibgp e ebgp, com ou sem um endereço de loopback

Análise de Vulnerabilidades de Redes em Conexões com PTT

Redes de Computadores

Funcionalidades Básicas do IPv6

LABORATÓRIO IPV6.1. INTRODUÇÃO AO IPV6 Documento versão 0.1. Aluno: Paulo Henrique Moreira Gurgel #

Curso BCOP. Protocolo e Endereços Internet

IPv6! Por que? Quando? Como?

EXERCÍCIOS DE REVISÃO. Segundo Bimestre. Primeiro Bimestre

Como funciona o balanceamento de carga em caminhos de custos desiguais (variância) no IGRP e no EIGRP?

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Acesso à Internet a partir de uma VPN MPLS usando uma tabela de roteamento global

Capítulo 3: Implementar a segurança por meio de VLANs

Material do instrutor Capítulo 2: Roteamento estático

Curso BCOP. Introdução ao roteamento

Exemplo de configuração do filtro ACL do ponto de acesso

Configurar o escape da rota VRF no Switches do nexo de Cisco

Exemplo da configuração de HSRP do IPv6

Capítulo 9: Listas de Controle de Acesso

Boas práticas para peering no PTTMetro

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Materiais do instrutor Capítulo 1: Conceitos de roteamento

Pesquisando defeitos loop de roteamento do Cisco Express Forwarding

Recursos de contabilidade da interface de saída da contabilidade da política do BGP e da contabilidade da política do BGP

Classes de endereços IP - Os bits de endereços IP são reservados um para a classe de rede e os outros para computador (host).

Redes de Computadores e Aplicações. Aula 30 Endereçamento IP Endereços Especiais

Packet Tracer - ping e rastreamento para testar o caminho Topologia

TRANSPORTE DE PREFIXOS VIA VPNV4

Transcrição:

Campanha Anti-Spoofing Anexo B.2 Tutorial de configuração para Clientes Roteadores Cisco

Anexo A.2 Tutorial de configuração para Clientes O CAIS/RNP visando apoiar a disseminação de boas práticas em Segurança da Informação, está fornecendo este tutorial baseado no Portal de Boas Práticas para a Internet no Brasil auxiliando a implantação de controles de segurança para mitigação de ataques realizados através da técnica do IP Spoofing para redes que utilizam equipamentos do fabricante Cisco. Abaixo estão disponíveis as configurações relacionadas a implementação do RPF (Reverse Path Forwarding) e de um filtro que restringe a comunicação de pacotes com origem de endereços reservados que não devem ser roteados pela internet, conforme as recomendações de boas práticas dos documentos BCP38 e BCP84. Filtro para ser aplicado na interface do CPE conectado ao PE Fonte: Portal de Boas Práticas para a Internet no Brasil Os comandos a seguir são exemplos genéricos de configuração, informamos que ambientes Multihomed necessitam de maior atenção na implantação do RPF, e caso não se aplique, recomendamos a configuração dos demais filtros após uma avaliação prévia de impacto em seu cenário. Configuração para IPv4! CEF é preciso para urpf strict ip cef interface GigabitEthernet0/1! Endereço da interface do roteador! Troque este endereço pelo que é usado em sua rede! ip address 192.0.2.1 255.255.255.252! Aplicando Filtro estatico baseado no endereço alocado para o cliente ip access-group FILTRO-BOGONS-V4 in! habilitando Strict urpf ip verify unicast source reachable-via rx 2

! Filtro de rede estático! Caso use enderecos privados na sua rede tome cuidado para nao filtrar trafe go valido. Remova a linha do prefixo utilizado ip access-list extended FILTRO-BOGONS-V4! faixa de enderecos reservados para identificar que o host pertence a rede l ocal deny ip 0.0.0.0 0.255.255.255 any! faixa de enderecos privados deny ip 10.0.0.0 0.255.255.255 any! faixa de enderecos privados do CGNAT deny ip 100.64.0.0 0.63.255.255 any! faixa de enderecos reservados para loopback deny ip 127.0.0.0 0.255.255.255 any! faixa de enderecos reservados para escopo local deny ip 169.254.0.0 0.0.255.255 any! faixa de enderecos privados deny ip 172.16.0.0 0.15.255.255 any! faixa de enderecos reservado para atribuição a protocolos específicos deny ip 192.0.0.0 0.0.0.255 any! faixa de enderecos reservado para documentação deny ip 192.0.2.0 0.0.0.255 any! faixa de enderecos privados deny ip 192.168.0.0 0.0.255.255 any! faixa de enderecos reservado para testes - benchmarking deny ip 198.18.0.0 0.1.255.255 any! faixa de enderecos reservado para documentação deny ip 198.51.100.0 0.0.0.255 any! faixa de enderecos reservado para documentação deny ip 203.0.113.0 0.0.0.255 any! faixa de enderecos reservado da antiga classe D de multicast e uso futuro deny ip 224.0.0.0 31.255.255.255 any! permite todo o resto permit ip any any Fonte: Portal de Boas Práticas para a Internet no Brasil Configuração para IPv6! CEF é necessário para urpf strict ipv6 cef interface GigabitEthernet0/1! Endereço da interface do roteador! Troque este endereço pelo que é usado em sua rede! ipv6 address 2001:DB8:CAFE:FACA::1/64! Aplicando Filtro estatico baseado no endereço alocado para o cliente ipv6 traffic-filter FILTRO-BOGONS-V6! habilitando Strict urpf 3

ipv6 verify unicast source reachable-via rx! bloqueia tudo e permite as faixas! já liberadas para os RIRs! Filtro de rede estático ipv6 access-list extended FILTRO-BOGONS-V6! faixa de endereços reservada para documentacao deny ipv6 2001:db8::/32 any! faixa de endereços dos enderecos globais permit ipv6 2000::/3 any! faixa de endereços dos enderecos link local permit ipv6 fe80::/64 any! Endereco nao especificado permit ipv6 ::/128 any! bloqueia todo o resto deny ipv6 ::/0 any Fonte: Portal de Boas Práticas para a Internet no Brasil 4

Fontes: Portal de Boas Práticas para a Internet no Brasil. Disponível em: <http://bcp.nic.br/>. Acesso em: 04/12/2017. IETF Tools. Disponível em: <https://tools.ietf.org>. Acesso em 04/12/2017. Créditos: RNP Rede Nacional de Ensino e Pesquisa Realização: CAIS Centro de Atendimento a Incidentes de Segurança da RNP Apoio GO Gerência de Operações de Redes GER Gerência de Engenharia de Redes 5

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback