La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

LISTAS DE CONTROL DE ACCESO

Publicada porAlberto Espinoza Lagos Modificado hace 8 años

Presentaciones similares

Presentación del tema: "LISTAS DE CONTROL DE ACCESO"— Transcripción de la presentación:

1 LISTAS DE CONTROL DE ACCESO

2 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI Las ACL son usadas ampliamente en las redes de computadoras y en la seguridad de red para mitigar los ataques de red y controlar el tráfico de red. Los administradores utilizan ACLs para definir y controlar clases de tráfico sobre dispositivos de red basados en varios parámetros. Estos parámetros son específicos de la capas 2, 3, 4 y 7 del modelo OSI. Prácticamente cualquier tipo de tráfico puede ser definido explícitamente mediante el uso de la apropiada ACL numerada. Por ejemplo, en el pasado, el campo type Ethernet de la cabecera de una trama Ethernet era usado para definir ciertos tipos de tráfico. Un valor para el campo type de 0x8035 indica una trama RARP. Las ACL numeradas con un valor entre 200 y 299 eran usadas para controlar el tráfico en función del campo type Ethernet. También era común la creación de ACLs basadas en direcciones MAC. Una ACL numerada entre 700 y 799 indica que el tráfico es clasificado y controlado basado en direcciones MAC. Después de que el tipo de clasificación se especifica, se controlan los parámetros requeridos para que la ACL pueda ser establecida. Por ejemplo, una ACL numerada entre 700 y 799 podría ser utilizada para bloquear un cliente con una dirección MAC de asociación con un predeterminado punto de acceso. Hoy, cuando clasificamos el tráfico, los más comunes Tipos de parámetros utilizados en seguridad relacionados con las ACLs implican dirección IPv4 e IPv6 así como puertos TCP y UDP. Por ejemplo, una ACL puede permitir a todos los usuarios con una dirección de red IP específica descargar ficheros desde Internet usando un FTP seguro. Esa misma ACL puede ser usada para denegar a todas las direcciones IP el el acceso a FTP tradicionales.

3 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI

4 LISTAS DE CONTROL DE ACCESO
ACLs Estándar Las ACL numeradas en los rangos 1-99 y son ACLs estándar IPv4 y IPv6. Las ACLs estándar examinan la dirección IP origen en el cabecera IP del paquete. Estas ACLs se utilizan para filtrar paquetes basándose únicamente en la información de origen de capa 3. Las ACLs estándar permiten o deniegan el tráfico basándose en la dirección de origen. La sintaxis del comando para configurar una ACL IP estándar numerada es: El primer valor especifica el número de la ACL. Para las ACLs estándar, el número está en un rango de 1 a 99. El segundo valor especifica si permitir o denegar el tráfico con la dirección IP origen configurado. El tercer valor es la dirección IP origen que debe ser comprobada. El cuarto valor es la máscara de wildcard a ser aplicada a la dirección IP previamente configurada para indicar el rango.

5 LISTAS DE CONTROL DE ACCESO
ACLs Extendidas Las ACL extendidas comprueban paquetes basándose en información de origen y destino de capa 3 y capa 4. La información de capa 4 puede incluir puertos TCP y UDP. Las ACLs extendidas proporcionan mayor flexibilidad y control sobre el acceso a la red que las ACLs estándar. La sintaxis del comando para configurar una ACL IP numerada extendida es la siguiente:

6 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI De manera similar a las ACLs estándar, el primer valor especifica el número de la ACL. Las ACLs numeradas entre o son ACLs extendidas. El valor siguiente indica si permitir o denegar según los criterios que siguen. El tercer valor indica el tipo de protocolo. El administrador debe especificar IP, TCP, UDP u otro sub-protocolo específico IP. La dirección IP origen y la máscara de wildcard determinan donde se origina el tráfico. La dirección IP destino y su máscara de wildcard son utilizadas para indicar el destino final del tráfico de red. Aunque el parámetro puerto es opcional, cuando la dirección IP y la máscara son configuradas, el administrador debe especificar el número de puerto a comprobar, ya sea mediante número o por un nombre de puerto bien conocido, de lo contrario todo el tráfico a ese destino será eliminado. Todas las ACLs asumen un deny implícito, indicando que si un paquete no coincide con ninguno de los criterios especificados en la ACL, el paquete es denegado. Una vez que la ACL es creada, al menos una sentencia permit debería ser incluida o todo el tráfico será eliminado una vez que la ACL sea aplicada a una interface. Ambas ACLs, estándar y extendidas, pueden ser usadas para analizar paquetes que entran y salen de una interface. La lista es examinada secuencialmente. La primera sentencia que coincida para la búsqueda en la lista y define la acción a llevarse a cabo (permitir o denegar). Una vez que la ACL IP estándar o extendida ha sido creada, el administrador debe aplicarla a la interface apropiada. El comando para aplicar la ACL a una interface es:

7 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI El comando para aplicar la ACL a una línea vty: ACLs Nombradas Es posible crear una ACL nombrada en lugar de una ACL numerada. Las ACLs nombradas deben ser especificadas como estándar o extendidas. Ejecutando este comando se coloca al usuario dentro del modo de configuración donde son introducidos los comandos permit y deny. Los comandos permit y deny tienen la misma sintaxis básica que los comandos de las ACL IP numeradas.

8 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI Una ACL estándar nombrada puede usar sentencias deny y permit. Una ACL extendida nombrada ofrece parámetros adicionales:

9 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI Las ventajas de utilizar ACLs nombradas es que un administrador puede borrar una entrada específica de una ACL nombrada yendo al modo de subconfiguracion ACL y ejecutamos el comando con el parámetro no. Usar el parámetro no con una entrada de una ACL numerada da como resultado que la ACL será borrada completamente. Un administrador puede también añadir entradas en el medio de una ACL nombradas. Con una ACL numerada, los comandoS sólo pueden ser añadidos al final de la ACL. Una vez que se ha creado la sentencia ACL, el administrador la activa sobre una interface con el comando ip access-group, especificando el nombre de la ACL: Una ACL puede también ser usada para permitir o denegar direcciones IP específicas desde accesos virtuales. Las ACLs estándar permiten que las restricciones sean aplicadas sobre las direcciones IP o el rango de direcciones IP origen. Una ACL extendida hace lo mismo pero puede también indicar el protocolo como por ejemplo el puerto 23 (Telnet) o el puerto 22 (SSH). La ACL access-class extendida solo soportan el parámetro any para el destino. La lista de acceso debe ser aplicada al puerto vty.

10 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI

11 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI

12 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI

13 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI Al final de una sentencia ACL, el administrador tiene la opción de configurar el parámetro log. Si este parámetro es configurado, el software Cisco IOS compara los paquetes y encuentra una coincidencia en la sentencia. El router los registra en cualquier método de registro habilitado, como por ejemplo la consola, el búfer interno del router, o un servidor syslog. Varias partes de información son registradas: • Acción: permitir o denegar. • Protocolo: TCP, UDP o ICMP. • Direcciones origen y destino. • Para TCP y UDP: números de puerto origen y destino. • Para ICMP: tipos de mensajes.

14 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI Los mensajes de registro son generados con el primer paquete que coincide y después en intervalos de cinco minutos después del primer paquete que coincide. Habilitar el parámetro log en un router o un switch Cisco afecta seriamente el rendimiento del dispositivo. Cuando el logging está habilitado, los paquetes son o process o fast switched. El parámetro log debería ser usado sólo cuando la red está bajo ataque y un administrador está intentando determinar quien es el atacante. En este caso, un administrador debería habilitar el logging para el periodo requerido y reunir la información adecuada, después deshabilitar el logging.

15 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI

16 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI Varias advertencias deberían ser consideradas cuando trabajamos con ACLs: • Un deny all implícito: Todas las ACLs Cisco terminan con una sentencia implícita “deny all”. Incluso si está presente en una ACL, está allí. • Filtrado de paquetes de una ACL estándar: Las ACLs estándar están limitadas a filtrar paquetes basados sólo en direcciones origen. Las ACLs extendidas podrían ser creadas para aplicar completamente una política de seguridad. • Orden de las sentencias: Las ACLs tienen una política de primera coincidencia. Cuando una sentencia coincide, la lista ya no es más examinada. Ciertas sentencias de las ACL son más específicas que otras y, por lo tanto, deben estar situadas más arriba en la ACL. Por ejemplo, bloquear todo el tráfico UDP en la parte superior de la lista niega la sentencia que permite paquetes SNMP, el cual usa UDP, que está más abajo en la lista. Un administrador debe asegurarse que las sentencias de la parte superior de la ACL no nieguen otras sentencias que se encuentren más abajo. • Filtro direccional: Las ACLs Cisco tienen un filtro direccional que determinan si los paquetes entrantes (hacia la interface) o paquetes salientes (salientes de la interface) son examinados. Un administrador debe comprobar la dirección de datos que una ACL está filtrando. • Modificando ACLs: Cuando un router compara un paquete con una ACL, las entradas de la ACL son examinadas desde arriba hacia abajo. Cuando un router localiza una sentencia con criterios coincidentes, la ACL deja de procesar y el paquete es permitido o denegado basándose en la entrada de la ACL. Cuando una nueva entrada es añadida a una ACL, siempre son añadidas al final. Esto puede hacer que las nuevas entradas no puedan ser utilizadas si una entrada previa es más general. Por ejemplo, si una ACL tiene una entrada que deniega a la red /24 el acceso a un servidor, pero la siguiente sentencia (más abajo) permite el acceso a ese servidor de un host de esa red, el host , el host aún será denegado. Esto es porque el router asocia los paquetes desde la dirección a la sentencia de la red /24 que deniega el tráfico y no sigue leyendo las siguientes líneas. Cuando se añade una nueva sentencia a una ACL que es inútil, se debe crear una nueva ACL con las sentencias ordenadas correctamente. La antigua ACL debe ser borrada, y la nueva ACL debe ser asignada a la interface del router. Si usamos el Cisco IOS Release 12.3 o posterior, se pueden usar los números de secuencia para asegurar que las nuevas sentencias sean añadidas a la ACL en la localización correcta. La ACL es procesada hacia abajo basándose en los números de secuencia de las sentencias (de menor a mayor). • Paquetes especiales: El router genera paquetes, como por ejemplo actualizaciones de la tabla de enrutamiento, los cuales no están sujetos a sentencias de la ACL salientes en el router origen. Si las políticas de seguridad requieren filtrar esos tipos de paquetes, ACLs entrantes sobre routers adyacentes u otros mecanismos de filtro de los router usando ACLs deben hacer la tarea de filtrado.

17 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI Ahora que la sintaxis y las líneas generales para las ACLs IP estándar y extendidas se han definido, cuales son algunos escenarios específicos para los cuales las ACLs proporcionan un solución de seguridad?

18 LISTAS DE CONTROL DE ACCESO
Utilización de ACLs estándar y extendidas ACLs estándar Determinar si utilizar ACLs estándar o extendidas se basa en los objetivos generales de la ACL completa. Por ejemplo, imagínese un escenario en el cual todo el tráfico desde una sola subred, , debe ser denegado hacia otra subred, pero el resto del tráfico debe permitirse.

19 LISTAS DE CONTROL DE ACCESO
Utilización de ACLs estándar y extendidas ACLs estándar En este caso se puede aplicar una ACL estándar saliente sobre la interface Fa0/0: Todos los hosts de la subred son bloqueados al salir por la interface Fa0/0 hacia la subred Estos son los parámetros del comando access-list: • El parámetro 1 indica que se trata de una ACL estándar. • El parámetro deny indica que el tráfico que coincide con el parámetro seleccionado no es enviado. • El parámetro es la dirección IP de la subred origen. • El parámetro es la máscara de wildcard. Los ceros indican la posición que deben coincidir al ejecutar la función AND; los unos indican la posición que serán ignoradas. La mascara con ceros en los tres primeros octetos indica que esas posiciones deben coincidir. El 255 indica que el último octeto será ignorado. • El parámetro permit indica que el tráfico que coincide los parámetros seleccionados es enviado. • El parámetro any es una abreviación para las direcciones IP origen. Indica una dirección origen y una máscara wildcard ; todas las direcciones coincidirán. Debido al deny implícito al final de todas las ACLs, el comando access-list 1 permit any debe ser incluido para asegurar que sólo el tráfico que proviene de la subred es bloqueado y que el resto del tráfico es permitido.

20 LISTAS DE CONTROL DE ACCESO
Utilización de ACLs estándar y extendidas ACLs extendidas En comparación con las ACLs estándar, las ACLs extendidas permiten que determinados tipos de tráfico sean denegados o permitidos. Imagina un escenario en el que el tráfico FTP desde una subred debe ser denegado hacia otra subred. En este caso, una ACL extendida se requiere para filtrar un tipo de tráfico específico.

21 LISTAS DE CONTROL DE ACCESO
Utilización de ACLs estándar y extendidas ACLs extendidas En esta ACL, el acceso al FTP es denegado desde subred /24 a la subred /24. El resto del tráfico es permitido. El puerto TCP 21 es utilizado para controlar el tráfico FTP. El puerto TCP 20 es utilizado para transferir datos FTP. Ambos puertos son denegados. La sentencia permit ip any any es requerida al final de la ACL, de lo contrario, todo el tráfico es denegado debido a la sentencia implícita deny. En este ejemplo, la mejor ubicación de la ACL es hacia el interior de la interface Fa0/1. Esto asegura que el tráfico FTP no deseado es parado antes de debilitar los recursos de procesamiento del router.

22 LISTAS DE CONTROL DE ACCESO
Utilización de ACLs estándar y extendidas ACLs extendidas En esta ACL, el acceso al FTP es denegado desde subred /24 a la subred /24. El resto del tráfico es permitido. El puerto TCP 21 es utilizado para controlar el tráfico FTP. El puerto TCP 20 es utilizado para transferir datos FTP. Ambos puertos son denegados. La sentencia permit ip any any es requerida al final de la ACL, de lo contrario, todo el tráfico es denegado debido a la sentencia implícita deny. En este ejemplo, la mejor ubicación de la ACL es hacia el interior de la interface Fa0/1. Esto asegura que el tráfico FTP no deseado es parado antes de debilitar los recursos de procesamiento del router. Tener en cuenta, con esta ACL, una sentencia permit any any reemplaza la sentencia implícita que deniega todo el tráfico que está al final de cada ACL. Esto significa que el resto del tráfico, incluyendo el tráfico FTP originado en la red /24 y destinado a cualquier otra red distinta de la red /24, será permitido.

23 LISTAS DE CONTROL DE ACCESO
Utilización de ACLs estándar y extendidas ACLs extendidas

24 LISTAS DE CONTROL DE ACCESO
Utilización de ACLs estándar y extendidas ACLs extendidas

25

Descargar ppt "LISTAS DE CONTROL DE ACCESO"

Presentaciones similares

Protocolos de Inter-red

Protocolos de Inter-red
Capa 4 Capa de Transporte

Capa 4 Capa de Transporte
Switches, routers, hubs & “patch panels”

Switches, routers, hubs & “patch panels”
Servicios de red e Internet

Servicios de red e Internet
Listas de Acceso Módulo 11.

Listas de Acceso Módulo 11.
Access Control Lists (ACLs)

Access Control Lists (ACLs)
Punto 3 – Protocolo IP Juan Luis Cano. Internet Protocol (en español Protocolo de Internet) o IP es un protocolo no orientado a conexión usado tanto por.

Punto 3 – Protocolo IP Juan Luis Cano. Internet Protocol (en español Protocolo de Internet) o IP es un protocolo no orientado a conexión usado tanto por.
Objetivos Describir la forma en que las redes impactan nuestras vidas diarias. Describir el rol del trabajo en red en la actualidad. Identificar los componentes.

Objetivos Describir la forma en que las redes impactan nuestras vidas diarias. Describir el rol del trabajo en red en la actualidad. Identificar los componentes.
Curso de Actualización Configuración Básica de Switch

Curso de Actualización Configuración Básica de Switch
E NRUTAMIENTO E STÁTICO Prof.:Sergio Quesada Espinoza Conf. Dispositivos de Red.

E NRUTAMIENTO E STÁTICO Prof.:Sergio Quesada Espinoza Conf. Dispositivos de Red.
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.

PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Enrutamiento estático

Enrutamiento estático
Aspectos básicos de networking: Clase 5

Aspectos básicos de networking: Clase 5
Access List A continuación aprenderemos a configurar las listas de acceso en los routers Cisco. Las mismas son empleadas las redes de datos permanentemente,

Access List A continuación aprenderemos a configurar las listas de acceso en los routers Cisco. Las mismas son empleadas las redes de datos permanentemente,
LISTAS DE CONTROL DE ACCESO

LISTAS DE CONTROL DE ACCESO
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Listas de control de acceso Acceso a la WAN: capítulo 5.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Listas de control de acceso Acceso a la WAN: capítulo 5.
TCP/IP V4 Redes de Computadoras uclv.

TCP/IP V4 Redes de Computadoras uclv.
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11

LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
FIREWALL.

FIREWALL.
INTEGRANTES: MARTINEZ MISHELL MEDINA ENID MENENDEZ EVELYN INTEGRANTES: MARTINEZ MISHELL MEDINA ENID MENENDEZ EVELYN.

INTEGRANTES: MARTINEZ MISHELL MEDINA ENID MENENDEZ EVELYN INTEGRANTES: MARTINEZ MISHELL MEDINA ENID MENENDEZ EVELYN.

Presentaciones similares

Anuncios Google