Beruflich Dokumente
Kultur Dokumente
ITE I Chapter 6
Cisco Public
Objetivos
Explicar cmo se utilizan las ACL para proteger una red de sucursal de mediana empresa, incluido el concepto de filtrado de paquetes, el propsito de las ACL, cmo se utilizan para controlar el acceso y los tipos de ACL de Cisco.
Configurar las ACL estndar en una red de sucursal de mediana empresa, incluida la definicin de los criterios de filtrado, la configuracin de las ACL estndar para filtrar el trfico y su aplicacin a las interfaces del router. Configurar las ACL extendidas en una red de sucursal de mediana empresa, incluida la configuracin de las ACL extendidas y denominadas, la configuracin de filtros, la verificacin, la supervisin y la resolucin de problemas de las ACL extendidas. Describir las ACL complejas en una red de sucursal de mediana empresa, incluida la configuracin de ACL dinmicas, reflexivas y basadas en tiempo, la verificacin y resolucin de problemas de las ACL complejas y la explicacin de las claves relevantes.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public
ITE 1 Chapter 6
ITE I Chapter 6
Cisco Public
ITE 1 Chapter 6
Cisco Public
ITE 1 Chapter 6
Cisco Public
ITE 1 Chapter 6
Cisco Public
ITE 1 Chapter 6
Cisco Public
Un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn: Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP Puerto TCP/UDP de origen Puerto TCP/UDP de destino Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos de capa superior.
ITE 1 Chapter 6
Cisco Public
ITE 1 Chapter 6
Cisco Public
ITE 1 Chapter 6
Cisco Public
10
Cmo funcionan las ACL? Las ACL no actan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al trfico entrante o saliente. Las sentencias de la ACL operan en orden secuencial. Una sentencia implcita final cubre todos los paquetes para los cuales las condiciones no resultan verdaderas (implicit deny any statement/deny all traffic).
ITE 1 Chapter 6
Cisco Public
11
ACL de entrada
ACL de salida
ITE 1 Chapter 6
Cisco Public
12
ITE 1 Chapter 6
Cisco Public
13
ITE 1 Chapter 6
Cisco Public
14
ITE 1 Chapter 6
Cisco Public
15
A partir del IOS de Cisco Versin 11.2, puede utilizar un nombre para identificar una ACL de Cisco. Los nmeros de ACL del 200 al 1299 son utilizados por otros protocolos (AppleTalk e IPX)
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public
16
Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son:
Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible. Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red.
ITE 1 Chapter 6
Cisco Public
17
ITE 1 Chapter 6
Cisco Public
18
ITE I Chapter 6
Cisco Public
19
ITE 1 Chapter 6
Cisco Public
20
access-list 2 deny 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public
21
ITE 1 Chapter 6
Cisco Public
22
ITE 1 Chapter 6
Cisco Public
23
ITE 1 Chapter 6
Cisco Public
24
Mscaras wildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. La mscara determina qu parte de la direccin IP de origen y destino aplicar a la concordancia de direcciones. Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin. Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin. Las mscaras wildcard generalmente son denominadas mscaras inversas.
ITE 1 Chapter 6
Cisco Public
25
ITE 1 Chapter 6
Cisco Public
26
ITE 1 Chapter 6
Cisco Public
27
ITE 1 Chapter 6
Cisco Public
28
ITE 1 Chapter 6
Cisco Public
29
ITE 1 Chapter 6
Cisco Public
30
ITE 1 Chapter 6
Cisco Public
31
ITE 1 Chapter 6
Cisco Public
32
Si el router no admite SSH, puede mejorar parcialmente la seguridad de las lneas administrativas restringiendo el acceso VTY con listas de acceso. Las listas de acceso no estn diseadas para bloquear paquetes que se originan dentro del router. Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas.
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public
33
ITE 1 Chapter 6
Cisco Public
34
ITE 1 Chapter 6
Cisco Public
35
Creacin de ACL Estndar Nombradas Asignar un nombre a una ACL facilita la comprensin de su funcin. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben comenzar con un nmero.
ITE 1 Chapter 6
Cisco Public
36
Creacin de ACL Estndar Nombradas Asignar un nombre a una ACL facilita la comprensin de su funcin. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben comenzar con un nmero.
ITE 1 Chapter 6
Cisco Public
37
ITE 1 Chapter 6
Cisco Public
38
ITE 1 Chapter 6
Cisco Public
39
ITE I Chapter 6
Cisco Public
40
ACL Extendidas Las ACL extendidas numeradas utilizan los identificadores que van del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. Las ACL extendidas verifican la direccin de origen del paquete, la direccin de destino, los protocolos y los nmeros de puerto (o servicios). Al igual que las ACL estndar las ACL contienen una denegacin implcita.
ITE 1 Chapter 6
Cisco Public
41
ITE 1 Chapter 6
Cisco Public
42
Prueba de puertos y servicios Pueden utilizarse operaciones lgicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt).
ITE 1 Chapter 6
Cisco Public
43
ITE 1 Chapter 6
Cisco Public
44
ITE 1 Chapter 6
Cisco Public
45
ITE 1 Chapter 6
Cisco Public
46
ITE 1 Chapter 6
Cisco Public
47
ITE 1 Chapter 6
Cisco Public
48
ITE 1 Chapter 6
Cisco Public
49
ITE I Chapter 6
Cisco Public
50
ITE 1 Chapter 6
Cisco Public
51
Beneficios Cuando utilizarlas? Uso de un mecanismo de desafo Cuando desea un usuario remoto para autenticar los usuarios o grupo de usuarios remotos individuales especfico para acceder al host Administracin simplificada en dentro de la red, conectndose internetworks ms grandes desde sus hosts remotos a travs En muchos casos, reduccin de la de Internet. cantidad de procesamiento de un Cuando desea que un router necesario para las ACL subconjunto de hosts de una red Reduccin de la oportunidad de local acceda a un host de una red intromisiones a la red por parte de remota protegida por un firewall. piratas informticos Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas
ITE 1 Chapter 6
Cisco Public
52
ACL dinmicas El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza ACL dinmicas (disponible slo para trfico IP) Dependen de la conectividad Telnet, de la autenticacin (local o remota) y de las ACL extendidas. Permiten el trfico por un perodo determinado
ITE 1 Chapter 6
Cisco Public
53
ITE 1 Chapter 6
Cisco Public
54
ITE 1 Chapter 6
Cisco Public
55
ITE 1 Chapter 6
Cisco Public
56
ITE 1 Chapter 6
Cisco Public
57
ACL reflexivas
Obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Permiten el trfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan fuera de la red. Proporcionan una forma ms exacta de filtrado de sesin que una ACL extendida que utiliza el parmetro established Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas Beneficios Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall. Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de denegacin de servicios. Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor control de los paquetes que ingresan a la red.
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public
58
ITE 1 Chapter 6
Cisco Public
59
ITE 1 Chapter 6
Cisco Public
60
ITE 1 Chapter 6
Cisco Public
61
ACL basadas en el tiempo Similar en funcin a la ACL extendida, pero admite control de acceso basado en el tiempo.
Beneficios.
Ofrecen al administrador de red ms control de los permisos y denegaciones de acceso a los recursos. Permiten a los administradores de red controlar los mensajes de registro. Las entradas de las ACL pueden registrar el trfico en determinados momentos del da, pero no de forma permanente. De esta manera, los administradores pueden simplemente denegar el acceso, sin tener que analizar los diferentes registros que se generan durante las horas pico.
ITE 1 Chapter 6
Cisco Public
62
ITE 1 Chapter 6
Cisco Public
63
ITE 1 Chapter 6
Cisco Public
64
ITE 1 Chapter 6
Cisco Public
65
ITE 1 Chapter 6
Cisco Public
66
ITE 1 Chapter 6
Cisco Public
67
ITE 1 Chapter 6
Cisco Public
68
ITE 1 Chapter 6
Cisco Public
69
ITE 1 Chapter 6
Cisco Public
70
ITE 1 Chapter 6
Cisco Public
71
ITE 1 Chapter 6
Cisco Public
72