Cómo planificar un servicio de sink hole BGP a nivel de seguridad?



Documentos relacionados
Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

CONVERSIÓN DE UN NÚMERO EN BINARIO A DECIMAL Y VICEVERSA

Dispositivos de Red Hub Switch

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira -

Balanceo de carga y redundancia entre dos ISP con PFSense y MultiWAN

Enrutamiento Básico Talleres para ISP/IXP

CCNA 2. Laboratorio Enrutamiento por defecto con los protocolos RIP e IGRP (Hecho con Packet Tracer 4.11)

! " " & '( ) ( (( * (+,-.!(/0"" ) 8-*9:!#;9"<!""#

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Práctica 4 - Network Address Translation (NAT)

Laboratorio práctico 7.3.5: Prueba de una red prototipo

Qué es el enrutamiento estático?

INSTITUTO TECNOLOGICO DE SALINA CRUZ REDES DE COMPUTADORAS REALIZADA POR: JIMENEZ GARCIA ANGEL DANIEL

DHCP. Dynamic Host Configuration Protocol. Protocolo de Configuración Dinámica de Host. Administración de Redes de Computadores

Instalación y Configuración de un Servidor FTP

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras

GATEWAYS COMO FIREWALLS

INSTALACIÓN DE MICROSOFT ISA SERVER 2006 Y CONFIGURACIÓN DE ACCESO VPN POR MEDIO DE POINT-TO-POINT TUNNELING PROTOCOL

PORTAFOLIO DE EVIDENCIAS. REDES

nos interesa, analizaremos la solución de la empresa

INSTITUTO TECNOLOGICO SUPERIOR DE TEZIUTLAN CONFIGURACION Y ADMON DE REDES

HOWTO: Cómo configurar SNAT

1.4 Análisis de direccionamiento lógico. 1 Elaboró: Ing. Ma. Eugenia Macías Ríos

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

Se puede usar este módulo para agregar 4 puertos seriales, no olvidar que para agregar los módulos se tiene que apagar el router y después encenderlo.

Use QGet para administrar remotamente las descargas múltiples BT

1.- Convierte las direcciones: y a formato binario e identifica su clase.

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha:

Seguridad de la información: ARP Spoofing

5.2.- Configuración de un Servidor DHCP en Windows 2003 Server

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4

Enrutamiento. Emilio Hernández. Carlos Figueira

Práctica de laboratorio 9.6.2: Práctica de laboratorio de reto de configuración de EIGRP

Balanceo de red: Round Robin DNS + NLB

Configuración Servidor DHCP

Qué son los protocolos de enrutamiento Dinámico?

Instalar GFI WebMonitor

Capa de red de OSI. Semestre 1 Capítulo 5 Universidad Cesar Vallejo Edwin Mendoza emendozatorres@gmail.com

Iptables, herramienta para controlar el tráfico de un servidor

Redirección de puertos

Práctica 7 Network Address Translation en routers Cisco

Tipos de conexiones de red en software de virtualizacio n: VirtualBox y VMware

Una vez instalada podremos seleccionar los paquetes que deseamos instalar de una lista.

Práctica de laboratorio c Funciones de múltiples listas de acceso (Desafío)

Instalación y mantenimiento de servicios de Internet. U.T.3.- Servicio DNS

Guía rápida de instalación Cámara CCTV-210

miércoles 7 de septiembre de 2011 Protección perimetral

1. Dada la siguiente tabla, indique si los datos mostrados son correctos o no. Justifique. Dirección de red, Clase Mascara, Subred, Broadcast

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

Seguridad Perimetral y Telefonía IP

INSTALACIÓN Y CONFIGURACIÓN DE ZEROSHELL 2.0 ALVARO JOSÉ ARIAS RAMIREZ Presentado a: ING. JEAN POLO CEQUEDA

Luis Eduardo Peralta Molina Sistemas Operativos Instructor: José Doñe Como crear un Servidor DHCP en ClearOS

INTERNET 4º ESO INFORMATICA / DEP. TECNOLOGIA

Configuración del firewall en Linux con IPtables

UNIVERSIDAD INDUSTRIAL DE SANTANDER DIVISIÓN DE SERVICIOS DE INFORMACIÓN PLIEGO DE CONDICIONES DEFINITIVOS

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Universidad de Antioquia Juan D. Mendoza V.

Segmentación de trafico inalambrico mediante VLANS

TELECOMUNICACIONES Y REDES

INSTALAR EL SERVIDOR DHCP

TUTORIAL - DHCP. RAFAEL BRITO HERNÁNDEZ ( ) Sistema III-Grupo 1 Profesor: José Doñe

Arquitectura de sistema de alta disponibilidad

Instituto Tecnológico de Salina Cruz Fundamentos de Redes Semestre Enero Julio 2015 Reporte de Practica. Practica n 1 Unidad 6

Planificación y administración de redes

Configuración de una NIC

Práctica de laboratorio 8.3.3: Configuración y verificación de las ACL estándar

CFGM. Servicios en red. Unidad 2. El servicio DHCP. 2º SMR Servicios en Red

Capitulo 3. Desarrollo del Software

Tema: Configuración inicial Firewall PIX

Administración de redes IP. Localización y manejo de problemas

(decimal) (hexadecimal) 80.0A.02.1E (binario)

Manual Rápido de Configuración MPLS y BGP de un Router Cisco 1. CONFIGURACIÓN DE UNA INTERFAZ LOOPBACK

Evaluación, Reestructuración, Implementación y Optimización de la Infraestructura de Servidores, Base de Datos, Página Web y Redes

INSTITUTO TECNOLÓGICO DE SALINA CRUZ

Departamento de Enxeñería Telemática Sistemas de Conmutación MPLS p.2

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s

Prácticas con Elastix Asterisk - Lab. 3

Punto CEIBAL Anexo técnico

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

HOWTO: Cómo configurar DNAT para publicar los servicios internos hacia Internet

En la pestaña General, le decimos el Nombre del Equipo y del Dominio.

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

Introduccion a BGP 1

En este trabajo se propone un posible método para permitir esto. Organización ISP Internet

qwertyuiopasdfghjklzxcvbnmqwertyuio pasdfghjklzxcvbnmqwertyuiopasdfghjk lzxcvbnmqwertyuiopasdfghjklzxcvbnm qwertyuiopasdfghjklzxcvbnmqwertyuio

Definición de servidor DHCP

7. VLSM. IST La Recoleta

Alta Disponibilidad! Capa 3!

1. Requerimientos. 2. Montaje de la Red Hardware Software 1 REQUERIMIENTOS 1

SIEWEB. La intranet corporativa de SIE

Internet aula abierta

CCNA2 EXAMEN 6 SU PUNTUACION ES 100%. RESPUESTAS CORRECTAS AL PRIMER INTENTO: 20/20 EJERCICIO COMPLETADO

CITRIX Citrix Application Streaming

Cómo crear un DNS dinámico utilizando No-IP

Informe Final Experiencia 2 Configuración de Firewall, Router y Gateway

Firewall Firestarter. Establece perímetros confiables.

Diseño de las redes de marcado del proveedor de servicio del gran escala con el OSPF

INTERNET ENRUTADOR (ROUTER) Configuración De Red Tipica.

Transcripción:

1. Qué sabe la gente de Seguridad sobre Redes? Necesidad de nuevos servicios (sink hole, redirección de trafico, etc. a nivel de seguridad). - bloqueo de usuarios infectados - Denegaciones de servicio, etc. Dos grupos separados. - Area de Red, NOC, etc. -encargados de la gestión de la infrastructura. - Equipo de seguridad, CERT, CSIRT,etc. problemas de seguridad, mucho tcpdump, firewall y demás. Cómo planificar un servicio de sink hole BGP a nivel de seguridad? Solución: Probar las configuraciones en una maqueta, desde el enfoque de seguridad, hasta comprobar que hace falta para que funcione. - La maqueta debe ser lo suficientemente realista para que la solución sea fácilmente tranportable al mundo real. - Habrá que hacer simplificaciones, pero estas deben ser razonadas realistas Maquetas: Una maqueta "fisica", con equipos similares a los de producción. - Costosa - dificil de gestionar (ruido, espacio, corriente, etc). Maquetas virtuales. - GN3, http://www.gns3.net - VNX, http://www.dit.upm.es/vnx Elección de VNX por dos motivos: - Posibilidad de distribuir escenarios "complejos" en varios equipos - Cercania con los desarrolladores. Qué hace falta para simular el troncal? / Creación de la maqueta. - Simplificación de las conexiones a nivel físico, solamente interfaces ethernet. * Solo los enlaces troncales, * reducción de los enlaces a redes externas * Agregación de enlaces en uno solo.

- II / Direccioamiento. - Direccionamiento estático (/30) para los enlaces entre equipos. - Asignación de direccioamiento de loopback. - No suele utilizarse en los sistemas finales. - Resaltar la importancia del interface de loopback en los routers como interface "siempre vivo". III/ Routing interno. IS-IS en nuestro caso para poder distribuir la información de enlace entre los distintos routers de la red. Necesario para que los routers se vean unos a otros. Malla BGP interna a la hora de enrutar las distintas redes, con un servidor de rutas central. que se tiene con esto? Una simulación, de la red en producción donde los de seguridad podamos jugar sin alterar la red. - Para qué se puede experimentar? -- Sink Hole BGP. * Inyección de prefijos por motivos de seguridad. * Bloqueos de direcciones IP infectadas * Mitigación de DDOS --- Cómo lo probamos? Varias enfoques: - Usar el Servidor de Rutas del Area de Red. - Servidor de rutas independiente, dentro de la malla BGP. - Servidor BPG independiente, como un route reflector. http://tools.ietf.org/html/rfc4456 -------

Qué hace falta? 1. Tener en todos los router una ruta estática a discard (por ejemplo la red 192.168.0.0/16) Esta red es la que se utilizará para los bloqueos de red. 2. Si se quiere reencaminar el tráfico una red que nos permita el "spoofing" 3. Un servidor de rutas/reflector -- El usar el route reflector nos permite: * Separar la gestión de seguridad de la del área de red. * Tener "controlados" que puede hacer los de seguridad. - Limitar el tamaño del prefijo anunciado. -- Configuración en el servidor de rutas/noc: group ibgp-egida { type internal; local-address route_server_noc; import ps-egida-in; family inet { export ps-egida-out; cluster route_server_noc; neighbor route_server_sec { authentication-key "XXX!"; ------ Politica del route server: policy-statement ps-egida-in { term Aceptar { from { protocol [ static bgp ]; route-filter 0.0.0.0/0 prefix-length-range /32-/32; prefix-list-filter pl-egida orlonger; then { local-preference 200; community add RedIRIS_egida;

accept; term Rechazar { then reject; Configuración del reflector: protocols { bgp { group egida { type internal; local-address route_server; import politica-egida-in; family inet { family inet6 { export politica-egida; cluster route_server_noc; neighbour route_server_noc { authentication-key "XXXXX; ## SECRET-DATA configuration policy-options policy-statement politica-egida-in term Rechazar_ALL { then reject; term Aceptar { from protocol [ static aggregate bgp ]; then accept; -- Usos: * En modo experimental para la mitigación de DNS changer. --> Cansados de las alertas de entes externos notificando máquinas infectadas --> Redirección de todas las redes DNSchanger a servidor DNS propio. ---> Respuesta "limpia" y aviso a los clientes infectados.

* Problema: Los usuarios no limpiaban el equipo. ---> Redirección de las peticiones DNS (usando RPZ ) a página indicando la infección. Filtros mantenidos hasta mayo 2013. Usos 2: Bloqueo de máquinas infectadas. ---> redirección de maquinas infectadas// Páginas WWW de phising o malware. cuyos administradores no responden. -----> reenvio a dirección IP con servidor WWW de notificación. ---> Bastante efectivo, los usuarios quieren que se vea su página. Otros usos: - Reutilización de rangos no usados como Darknet. - Mitigación de ataques DDOS - descarte del tráfico - Reenvio a máquinas específicas ------- Estado real del proyecto: - Todo el sistema esta ahora mismo en modo experimental. - Servidor de rutas en máquina virtual con Junos - Red de de trafico no separada del trafico real.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback