Beruflich Dokumente
Kultur Dokumente
10.10.10.1/24
Aplicación de ACL´s
Las listas de acceso pueden aplicarse de las siguientes formas:
Listas de Acceso de Entrada (in): Los paquetes entrantes
son procesados antes de ser enrutados a una interfaz de
salida. Resulta más eficaz dado que evita la sobrecarga
asociada a las búsquedas en las tablas de enrutamiento.
Listas de Acceso de Salida (out): Los paquetes entrantes
son enrutados a la interfaz de salida y después son
procesados por medio de la lista de acceso de salida antes de
su transmisión.
Configuración e Implementación
de una ACL
Pasos para determinar tipo y ubicación de las ACLs:
• Determinar los requisitos del filtrado de tráfico
• Decidir qué tipo de ACL utilizar (estándar o extendida)
• Determinar el router y la interfaz a los cuales aplicar la ACL
• Determinar en qué dirección filtrar el tráfico
Pautas de Configuración e
Implementación de una ACL
Configuración de una ACL estandar
Sintaxis (en modo de configuración global):
access-list (1-99) (deny | permit) (ip origen) (wildcard origen)
Ejemplo: Dada una red compleja, bloquear solo la subred 172.17.3.0/24,
excepto la máquina 172.17.3.10.
access-list 1 permit 172.17.3.10 0.0.0.0
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit 0.0.0.0 255.255.255.255
{access-list 1 deny 0.0.0.0 255.255.255.255 } implícito
Utilizando términos any, host:
access-list 1 permit host 172.17.3.10
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any
{access-list 1 deny any} implícito
Luego debe asignarse la ACL a una o más interfaces:
interface Fa0/0
ip access-group 1 out
Configuración de una ACL estandar
El administrador desea impedir que el tráfico que se origina en la red
192.168.10.0/24 llegue a la red 192.168.30.0/24.
Configuración de una ACL estandar
Ej. 192.168.16.0/24
192.168.14.0/24 192.168.17.0/24
Crear una ACL que solo permita ingresar los paquetes de la subred
192.168.16.0/24 a la subred 192.168.14.0/24.
Router1(config)# access-list 1 permit 192.168.16.0 0.0.0.255
Router1(config)# interface fa 0
Router1(config-if)# ip-access-group 1 out
Configuración de una ACL estandar
Ej. 192.168.16.0/24
192.168.14.0/24 192.168.17.0/24
192.168.14.0/24 192.168.17.0/24
192.168.14.0/24 192.168.17.0/24
Ej. Cree una lista de acceso para permitir que el tráfico de la red
192.168.14.0/24 sólo pueda ingresar a la red 192.168.17.0/24
Router (config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255
Router(config)# interface FastEthernet0
Router(config-if)# ip access-group 101 __
Configuración de una ACL extendida
192.168.16.0/24
192.168.14.0/24 192.168.17.0/24
Ej. Cree una lista de acceso para permitir que el tráfico de la red
192.168.14.0/24 sólo pueda ingresar a la red 192.168.17.0/24
Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255
Router1(config)# interface FastEthernet0
Router1(config-if)# ip access-group 101 in
Configuración de una ACL extendida
192.168.14.0/24 192.168.17.0/24
Ej. Cree una lista de acceso para denegar sólo el tráfico de correo
electrónico, ping y TFTP que vaya de la red 192.168.16.0/24 al host
192.168.17.5/24
Router(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25
Router(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0
Router(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69
Router(config)# access-list 111 permit ip any any
Router(config)# interface FastEthernet0
Router(config-if)# ip access-group 111 __
Configuración de una ACL extendida
192.168.16.0/24
192.168.14.0/24 192.168.17.0/24
Ej. Cree una lista de acceso para denegar sólo el tráfico de correo
electrónico, ping y TFTP que vaya de la red 192.168.16.0/24 al host
192.168.17.5/24
Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25
Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0
Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69
Router2(config)# access-list 111 permit ip any any
Router2(config)# interface FastEthernet0
Router2(config-if)# ip access-group 111 in
Configuración de una ACL extendida
Ej. Cree una lista de acceso para cerrar todos los puertos excepto los puertos
TCP 20, 21 y 25, y UDP 69.
Configuración de una ACL extendida
Ej. Cree una lista de acceso para cerrar todos los puertos excepto los puertos
TCP 20, 21 y 25, y UDP 69.
ACL ESTANDAR:
Router(config-std-nacl)#(deny | permit) (ip origen) (wildcard origen)
ACL EXTENDIDA:
Router(config-ext-nacl)# (deny|permit) (protocolo) (IP origen) (wildcard
origen) (IP destino) (wildcard destino) [(operador) (operando)]
Sintaxis de ACL nombradas
ACL ESTANDAR:
Router(config-std-nacl)#(deny | permit) (ip origen) (wildcard origen)
ACL EXTENDIDA:
Router(config-ext-nacl)# (deny|permit) (protocolo) (IP origen) (wildcard
origen) (IP destino) (wildcard destino) [(operador) (operando)]
Luego se asocia la ACL a una interfaz con el siguiente comando:
Router(config-if)# ip access-group [nombre][in|out]
Ejemplos de ACL nombradas
Crear una ACL con el nombre INTRANET que niegue todo trafico
FTP de cualquier origen a cualquier destino. Asociarla a la
interfaz ethernet 1 como trafico saliente.
10.0.0.1 10.0.0.2
2. Bloqueo de Direcciones IP
• Es importante bloquear el posible acceso a nuestra red de paquetes
originados en direcciones IP que no se consideran legítimas (anti-
spoofing).
DIRECCIONES IP PRIVADAS
• Es frecuente que quienes desean ocultar su identidad utilicen con
este propósito direcciones IP privadas (RFC 1918) u otro tipo de
direcciones IP reservadas o especiales.
• La RFC 1918 (Request For Comments) contiene la documentación
de protocolos y tecnologías de Internet, referidas a la direcciones
privadas, en las que se establece junto a la IANA (Internet Assigned
Numbers Authority) la reserva de bloques de direcciones IP para
el uso en redes privadas, mismas que no pueden ser utilizadas en
internet.
2. Bloqueo de Direcciones IP
• Como no es posible realizar conexiones entre distintas redes
privadas a través de Internet, distintas compañías pueden usar el
mismo rango de direcciones privadas sin riesgo de que se
generen conflictos con ellas, es decir, no se corre el riesgo de que
una comunicación le llegue por error a un tercero que esté usando la
misma dirección IP.
• Si un dispositivo de una red privada necesita comunicarse con otro
dispositivo de otra red privada distinta, es necesario que cada red
cuente con una puerta de enlace con una dirección IP pública, de
manera que pueda ser alcanzada desde fuera de la red y así se
pueda establecer una comunicación, ya que un router podrá tener
acceso a esta puerta de enlace hacia la red privada. Esta puerta de
enlace será un dispositivo de traducción de dirección de red
(NAT) o un servidor proxy.
2. Bloqueo de Direcciones IP
• La "Autoridad de Números Asignados en Internet“, (IANA), ha
reservado los tres siguientes bloques de direcciones IP para el uso
en redes privadas:
10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
192.168.0.0 - 192.168.255.255 (192.168.0.0/16)
2. Bloqueo de Direcciones IP
DIRECCIONES DE RED ESPECIALES
• La dirección de loopback tiene el rango 127.0.0.0/8 (127.0.0.1)se
utiliza para identificar interfaces de red virtual creadas por
software que representan al propio dispositivo independiente de
la dirección IP que se la haya asignado, no existe físicamente en el
equipo, pero realiza todas las funciones de un interfaz física. Se
pueden crear tantos interfaces loopback como sean requeridas. Se
utiliza en tareas de diagnóstico de conectividad (estado de
interfaces, tarjetas de red, etc) y validez del protocolo de
enrutamiento, así como para indicar que el destino del protocolo
solicitado es el mismo host.
2. Bloqueo de Direcciones IP
2. Bloqueo de Direcciones IP
• Dirección de Broadcast, en toda red existe un mecanismo para
enviar un mensaje o paquete que reciben todas las computadoras
de la red. Este mecanismo se llama broadcast. En las redes IP, la
dirección de broadcast es 255.255.255.255. Pero Internet es una red
de redes, no es práctico ni deseable que cualquier broadcast se
propague por el mundo entero. Por tanto, un mensaje con
dirección de destinatario 255.255.255.255 solamente se difunde en
la red local (la red al cual pertenece la computadora o dispositivo
emisor). En este sentido, las redes que ingresan de internet a
nuestra red privada no pueden tener como origen la dirección de
broadcast 255.255.255.255.
2. Bloqueo de Direcciones IP
• Dirección de Multicast: Una dirección multicast está asociada con
un grupo de receptores interesados. De acuerdo al RFC 3171 las
direcciones desde la 224.0.0.0 a la 239.255.255.255 (224.0.0.0/3)
están destinadas para ser direcciones de multicast, por lo que no
es posible recibir información proveniente de esta subred en
nuestra red privada.
2. Bloqueo de Direcciones IP
La configuración del bloqueo de éstas direcciones IP con una ACL
extendida:
Router#configure terminal
Router(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router(config)#access-list 100 deny ip host 255.255.255.255 any
Router(config)#access-list 100 deny ip 224.0.0.0 31.255.255.255 any
Router(config)#access-list 100 permit ip any any
Router(config)#exit
Router(config)#interface serial0/0
Router(config-if)#ip access-group 100 in
2. Bloqueo de Direcciones IP
La configuración del bloqueo de éstas direcciones IP con una ACL
extendida nombrada será:
Router#configure terminal
Router(config)#ip access-list extended ANTISPOOF
Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any
Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any
Router(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip host 255.255.255.255 any
Router(config-ext-nacl)#deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface serial0/0
Router(config-if)#ip access-group ANTISPOOF in
3. Uso de claves robustas y encriptadas
• Asegúrese de utilizar claves largas y con caracteres alfanuméricos, lo
que reduce la posibilidad de que sean violadas por un ataque de
fuerza bruta. Este comando Cisco IOS le permite asegurar una
longitud de caracteres mínima para cada clave:
Router(config)# security passwords min-length 10
• Asegúrese de que todas las claves estén encriptadas, al menos con
un algoritmo de encripción básico:
Router(config)# service password encryption
RESUMEN DE SERVICIOS BASICOS
SERVICIO PROTOCOLO PUERTO SIGLA DESCRIPCION
21
utiliza para transferir archivos desde y a un sistema PC remoto. Permite
FTP TCP ftp manejar archivos, crear carpetas, eliminar ficheros, carpetas, poner
atributos y definir tipos de acceso a fichero.
23
Con Telnet puede crear una sesión de terminal sobre un servidor Telnet
TELNET TCP telnet con el cliente Telnet. Administración remota
DNS (Domain Name Server - Servidor de nombres de dominio) es el
DNS UDP/TCP 53 domain/udp responsable de la asignación y la resolución de nombres en las redes
basadas en IP.
HTTP (Hypertext Transfer Protocol - Protocolo de transferencia de
80
hipertextos) es un protocolo de transferencia para transferir información
HTTP TCP www en la World Wide Web (WWW). Con el HTTP tendrá acceso a una
página HTML guardada.
Mensajes ICMP (Protocolo de mensajes de control de Internet) es un protocolo que
ICMP ICMP - - permite administrar información relacionada con errores de los equipos
(ping) en red.
Ing. María Isabel Maidana Salcedo