111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID
2 © 2004, Cisco Systems, Inc. All rights reserved. Session Number Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Título Título Listas control de acceso (ACL) Gracias A: Luis Eduardo Ochaeta Módulo 2 Capítulo 11 Curriculum: CCNA
333 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 3 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
444 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 4 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
555 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Objetivos CCNA ICND
666 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Introducción Que son las ACLs? Limita el tráfico Control de flujo Segmentación Seguridad
777 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. ¿Cómo funcionan?
888 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Números para las ACLs
999 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 9 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
10 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Wilcard Mask Regla 0 verificar 1 no verificar
11 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Ejemplo: Verificando la dirección de red subnet/mask: wilcard/mask: subnet/mask: wilcard/mask: subnet/mask: wilcard/mask: OJO: la wilcard mask en este caso es lo contrario a la mascara de subred Ejemplo extra: verificando la subred (se están prestando 4 bits para hacer 16 subredes) Subnet/mask: Subnet/mask (en binario) Wildcard/mask: Wildcard/mask (en binario)
12 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Ejercicio ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -A una PC de la LAN?
13 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 13 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
14 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. ACL estandard Parámetros Dirección IP origen Número de ACL (1 - 99) Permitir o denegar (permit/deny)
15 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Implementación access-list 1 permit access-list 1 permit access-list 1 permit !(Nota: cualquier otro acceso está implícitamente denegado) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out Out In En modo de configuración global En modo de configuración de interface
16 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Ejercicio ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -Una Pc de la LAN? -Escriba la ACL para permitir paso de paquetes de la LAN hacia la WAN
17 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 17 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
18 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. ACL extendida Algoritmo Parámetros Dirección IP origen Wildcard mask origen Dirección Ip destino Wildcard mask destino Protocolo Permit / Deny
19 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Implementación Router(config)# access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask operator operand] Router(config-if)# ip access-group access-list- number {in | out} Sintaxis
20 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Ejercicio Una Subred y dos PCs en la primera mitad y dos PCs en la segunda mitad. WebServer ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -La LAN de la derecha? Escriba la ACL para denegar paso de paquetes de la PC1 hacia la WAN
21 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 21 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
22 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. ACLs nombradas Ejemplo
23 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 23 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
24 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Ubicación de las ACLs NOTA: esta regla siempre aplica si se están utilizando subinterfaces
25 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 25 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
26 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Verificación
27 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 27 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones
28 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Recomendaciones Configurar las ACLs en routers fronterizos Configurar las ACLs para permitir conexiones consideradas aceptables y denegar todas las demás El mejor lugar para definir una ACL es en un host, mediante un editor de texto Utilice la palabra clave established, si existe la posibilidad que que se produzca coincidencia si el datagrama TCP tiene establecidos los bits de acuse de recibo (ACK). OJO: Si se usan filtros de entrada sólo en la interfaz que sale desde el router al mundo exterior, no se verá reducido el rendimiento de la redes internas.
29 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 29 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones Nota extra
30 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Nota extra Listas de control de acceso basadas en el tiempo Comando Remark Asegurando el acceso al router por la Terminal Virtual Asegurando el acceso al router por Web Lock–and-Key
31 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Listas de control de acceso basadas en el tiempo Utilizando el comando Time-range es posible configurar una lista de control de acceso para que verifique la hora de activación.
32 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Remark Para crear una breve descripción de la ACL se utiliza el comando remark para IOS (12.0.2(T) en adelante).
33 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. VTY Ud puede crear una ACL para poder filtrar el tráfico de acceso al Router por una de las 5 terminales virtuales, asignando la ACL con el comando access-class. Lab_A(config)#access-list 5 permit Lab_A(config)#access-list 5 permit host Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 5 in
34 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Asegurando el acceso por Web Además de asegurar el acceso por terminales virtuales, podemos asegurar la entrada al router para la interface Web del Router. LAb_A(config)#access-list 17 permit LAb_A (config)#ip http server LAb_A (config)#ip http access-class 17
35 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. Lock and Key Lock and Key es una herramienta dentro del router que nos permite abrir un agujero en el Firewall sin comprometer la seguridad de nuestra red interna, esto se hace a travez de la configuración de una ACL dinámica, para que en el momento de autenticarse el usuario, no se verifique la IP y así la ACL no deniegue los paquetes.
36 © 2004, Cisco Systems, Inc. All rights reserved. Presentation_ID Cisco Networking Academy Program, Guatemala, C.A. © 2004, Cisco Systems, Inc. All rights reserved. 36 Introducción Wilcard mask ACL estándar ACL extendidas ACL nombradas Ubicación de las ACL Verificación de las ACL Recomendaciones Nota extra
37 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID