Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Cap5 ACL

    Hochgeladen von

    Jairo Rayo Cedillo
    61 Ansichten72 Seiten
    Diapositivas Cap5

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    PPT, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    Diapositivas Cap5

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PPT, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    61 Ansichten72 Seiten

    Cap5 ACL

    Hochgeladen von

    Jairo Rayo Cedillo
    Diapositivas Cap5

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PPT, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 72

    Listas de Acceso

    Accediendo la WAN Captulo 5

    ITE I Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    Objetivos
    Explicar cmo se utilizan las ACL para proteger una red de sucursal de mediana empresa, incluido el concepto de filtrado de paquetes, el propsito de las ACL, cmo se utilizan para controlar el acceso y los tipos de ACL de Cisco.
    Configurar las ACL estndar en una red de sucursal de mediana empresa, incluida la definicin de los criterios de filtrado, la configuracin de las ACL estndar para filtrar el trfico y su aplicacin a las interfaces del router. Configurar las ACL extendidas en una red de sucursal de mediana empresa, incluida la configuracin de las ACL extendidas y denominadas, la configuracin de filtros, la verificacin, la supervisin y la resolucin de problemas de las ACL extendidas. Describir las ACL complejas en una red de sucursal de mediana empresa, incluida la configuracin de ACL dinmicas, reflexivas y basadas en tiempo, la verificacin y resolucin de problemas de las ACL complejas y la explicacin de las claves relevantes.
    2006 Cisco Systems, Inc. All rights reserved. Cisco Public

    ITE 1 Chapter 6

    5.1 Cmo utilizar las ACL para la proteccin de las redes

    Accediendo la WAN Captulo 5

    ITE I Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    Un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn: Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP Puerto TCP/UDP de origen Puerto TCP/UDP de destino Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos de capa superior.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    10

    Cmo funcionan las ACL? Las ACL no actan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al trfico entrante o saliente. Las sentencias de la ACL operan en orden secuencial. Una sentencia implcita final cubre todos los paquetes para los cuales las condiciones no resultan verdaderas (implicit deny any statement/deny all traffic).

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    11

    ACL de entrada

    ACL de salida

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    12

    Las ACL y el enrutamiento, y los procesos de las ACL en un router

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    13

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    14

    Cmo funcionan las ACL Estndar?

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    15

    A partir del IOS de Cisco Versin 11.2, puede utilizar un nombre para identificar una ACL de Cisco. Los nmeros de ACL del 200 al 1299 son utilizados por otros protocolos (AppleTalk e IPX)
    ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

    16

    Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son:
    Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible. Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    17

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    18

    5.2 Configuracin de las ACL Estndar

    Accediendo la WAN Captulo 5

    ITE I Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    19

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    20

    access-list 2 deny 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255
    ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

    21

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    22

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    23

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    24

    Mscaras wildcard
    Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. La mscara determina qu parte de la direccin IP de origen y destino aplicar a la concordancia de direcciones. Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin. Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin. Las mscaras wildcard generalmente son denominadas mscaras inversas.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    25

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    26

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    27

    Palabras clave de la mscara de bits wildcard


    La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos los bits de direcciones IP deben coincidir o que slo un host coincide. La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta mscara indica que debe ignorarse toda la direccin IP o que deben aceptarse todas las direcciones.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    28

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    29

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    30

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    31

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    32

    Si el router no admite SSH, puede mejorar parcialmente la seguridad de las lneas administrativas restringiendo el acceso VTY con listas de acceso. Las listas de acceso no estn diseadas para bloquear paquetes que se originan dentro del router. Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas.
    ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

    33

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    34

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    35

    Creacin de ACL Estndar Nombradas Asignar un nombre a una ACL facilita la comprensin de su funcin. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben comenzar con un nmero.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    36

    Creacin de ACL Estndar Nombradas Asignar un nombre a una ACL facilita la comprensin de su funcin. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben comenzar con un nmero.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    37

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    38

    Edicin de las ACL nombradas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    39

    5.3 Configuracin de las ACL Extendidas

    Accediendo la WAN Captulo 5

    ITE I Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    40

    ACL Extendidas Las ACL extendidas numeradas utilizan los identificadores que van del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. Las ACL extendidas verifican la direccin de origen del paquete, la direccin de destino, los protocolos y los nmeros de puerto (o servicios). Al igual que las ACL estndar las ACL contienen una denegacin implcita.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    41

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    42

    Prueba de puertos y servicios Pueden utilizarse operaciones lgicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt).

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    43

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    44

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    45

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    46

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    47

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    48

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    49

    5.3 Configuracin de ACL Complejas

    Accediendo la WAN Captulo 5

    ITE I Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    50

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    51

    Beneficios Cuando utilizarlas? Uso de un mecanismo de desafo Cuando desea un usuario remoto para autenticar los usuarios o grupo de usuarios remotos individuales especfico para acceder al host Administracin simplificada en dentro de la red, conectndose internetworks ms grandes desde sus hosts remotos a travs En muchos casos, reduccin de la de Internet. cantidad de procesamiento de un Cuando desea que un router necesario para las ACL subconjunto de hosts de una red Reduccin de la oportunidad de local acceda a un host de una red intromisiones a la red por parte de remota protegida por un firewall. piratas informticos Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    52

    ACL dinmicas El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza ACL dinmicas (disponible slo para trfico IP) Dependen de la conectividad Telnet, de la autenticacin (local o remota) y de las ACL extendidas. Permiten el trfico por un perodo determinado

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    53

    Ejemplos de ACL dinmicas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    54

    Ejemplos de ACL dinmicas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    55

    Ejemplos de ACL dinmicas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    56

    Ejemplos de ACL dinmicas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    57

    ACL reflexivas
    Obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Permiten el trfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan fuera de la red. Proporcionan una forma ms exacta de filtrado de sesin que una ACL extendida que utiliza el parmetro established Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas Beneficios Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall. Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de denegacin de servicios. Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor control de los paquetes que ingresan a la red.
    ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

    58

    Ejemplo de ACL reflexivas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    59

    Ejemplo de ACL reflexivas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    60

    Ejemplo de ACL reflexivas

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    61

    ACL basadas en el tiempo Similar en funcin a la ACL extendida, pero admite control de acceso basado en el tiempo.

    Beneficios.

    Ofrecen al administrador de red ms control de los permisos y denegaciones de acceso a los recursos. Permiten a los administradores de red controlar los mensajes de registro. Las entradas de las ACL pueden registrar el trfico en determinados momentos del da, pero no de forma permanente. De esta manera, los administradores pueden simplemente denegar el acceso, sin tener que analizar los diferentes registros que se generan durante las horas pico.

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    62

    Ejemplo de ACL basadas en tiempo

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    63

    Ejemplo de ACL basadas en tiempo

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    64

    Ejemplo de ACL basadas en tiempo

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    65

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    66

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    67

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    68

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    69

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    70

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    71

    ITE 1 Chapter 6

    2006 Cisco Systems, Inc. All rights reserved.

    Cisco Public

    72

    Das könnte Ihnen auch gefallen