Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Seguridad Cap 3

    Hochgeladen von

    Calixto Paco
    10 Ansichten11 Seiten
    segu

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    segu

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    10 Ansichten11 Seiten

    Seguridad Cap 3

    Hochgeladen von

    Calixto Paco
    segu

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 11

    28/06/2016

    Proporcionar seguridad a nivel lgico

    28/06/2016

    Una ACL es una lista secuencial de sentencias de permiso o


    denegacin que se aplican a direcciones IP o protocolos de
    capa superior
    ESPECFICA A GENERAL

    Direccin IP de origen
    Direccin IP de destino
    Tipo de mensaje ICMP
    Puerto TCP/UDP de origen
    Puerto TCP/UDP de destino

    Definen el conjunto de reglas que


    proporcionan control adicional para
    los paquetes

    Ingresan a las
    interfaces
    del router

    Pasan a travs
    del router

    Salen de las
    interfaces
    del router

    28/06/2016

    ACL de entrada: los


    paquetes entrantes
    se procesan antes
    de ser enrutados a
    la interfaz de salida.

    Restringir

    ACL de salida: los


    paquetes entrantes
    se enrutan a la
    interfaz de salida y
    luego son
    procesados a travs
    de la ACL de salida.
    Restringir

    28/06/2016

    Es lo mismo

    0.0.0.0 significa que comparar y buscar coincidencia en esos octetos


    EJ: 192.168.1.10 0.0.0.0 todos los octetos deben coincidir

    Es lo mismo

    255.255.255.255 significa que no buscar igualdad en esas posiciones


    EJ: 192.168.1.10 0.0.0.255 solo los 3 primeros octetos deben coincidir,
    el ltimo puede tener cualquier valor

    28/06/2016

    1.- Elegir si ser de salida o entrada


    2.- Ingresar a dicha interfaz

    Router(config-if)# ip access-group {nmero de lista de acceso | nombre de


    lista de acceso} {in | out}

    Autorizan o deniegan el trfico desde las direcciones IP de origen


    Cuentan con una sentencia implcita "deny any" (denegar todo) al final de la acl.

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit origen


    [wildcard origen]

    nmero entre 1 y 99

    Verificar
    # show access-list

    Las listas de acceso estndar solo controlan las direcciones de origen, deben
    ubicarse lo ms cerca del destino

    28/06/2016

    Ej: Evitar que la PC con IP: 10.1.0.2 pueda enviar trfico a partir del Router A, pero que
    cualquier otro host de su LAN s pueda hacerlo

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit origen


    [wildcard origen]

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit origen [wildcard origen]


    A (config)#access-list 1 deny 10.1.0.2 0.0.0.0 // host 10.1.0.2
    A (config)#access-list 1 permit 10.1.0.0 0.0.255.255
    A (config)#access-list 1 permit 200.100.50.0 0.0.0.3

    A (config)#access-list 1 deny host 10.1.0.2


    A (config)#access-list 1 permit any

    28/06/2016

    1.- Elegir si ser de salida o entrada


    2.- Ingresar a dicha interfaz

    Router(config-if)# ip access-group {nmero de lista de acceso | nombre de lista de acceso}


    {in | out}

    A(config)# int serial 0/2/0


    A(config-if)# ip access-group 1 in

    Ej: Denegar cualquier trfico de la red 192.168.20.0/24 hacia la red 10.1.0.0/16

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit origen


    [wildcard origen]

    28/06/2016

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit origen [wildcard origen]


    B(config)# access-list 2 deny 192.168.20.0 0.0.0.255
    B(config)# access-list 2 permit any
    B(config)# interface fastEthernet 0/0
    B(config-if)# ip access-group 2 out

    Filtran los paquetes IP en funcin de varios atributos: tipo de protocolo,


    direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de
    origen o destino

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit protocol


    origen [wildcard origen] destino[wildcard destino] eq [#puerto]
    nmero entre 100 y 199

    IP, TCP, UDP

    HTTP, FTP, DNS

    Verificar
    # show access-list
    Las listas de acceso extendidas deben ubicarse lo ms cerca del trfico de origen

    28/06/2016

    Ej: Evitar que la PC con IP: 10.1.0.2 pueda acceder a la pgina web de sistemas, pero que
    an pueda hacer ping y cualquier otra pc de esa red acceda a la pgina sin inconveniente.

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit protocol


    origen [wildcard origen] destino[wildcard destino] eq [#puerto]

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit protocol origen


    [wildcard origen] destino[wildcard destino] eq [#puerto]

    B(config)#access-list 100 deny tcp host 10.1.0.2 host 10.2.0.100 eq 80


    B(config)#access-list 100 permit ip any any

    28/06/2016

    1.- Elegir si ser de salida o entrada


    2.- Ingresar a dicha interfaz

    Router(config-if)# ip access-group {nmero de lista de acceso | nombre de lista de acceso}


    {in | out}

    RouterB(config)# int fa 0/0


    RouterB(config-if)#ip access-group 100 in

    Ej: Denegar el trfico de telnet de todas las LAN y el Router B, menos de la LAN
    10.2.0.0/16 hacia el Router D.

    Router(config)# access-list nmero-de-lista-de-acceso deny|permit protocol


    origen [wildcard origen] destino[wildcard destino] eq [#puerto]

    10

    28/06/2016

    Aconfig)#access-list 101 deny tcp any host 50.60.70.130 eq 23


    A(config)#access-list 101 deny tcp any host 130.65.22.253 eq 23
    Aconfig)#access-list 101 permit ip any any

    A(config)# int se 0/2/1


    A(config-if)#ip access-group 101 out

    11

    Das könnte Ihnen auch gefallen