La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Access Control List Modulo 11, Semestre 2 CCNA..

Publicada porAntonio Maidana Herrera Modificado hace 7 años

Presentaciones similares

Presentación del tema: "Access Control List Modulo 11, Semestre 2 CCNA.."— Transcripción de la presentación:

1 Access Control List Modulo 11, Semestre 2 CCNA.

2 Introducción Las listas de control de Acceso (ACLs) son un conjunto de condiciones que se aplican al tráfico que viaja a traves de la interfaz de un enrutador. Las ACLs le dicen al entutador que tipos de paquetes aceptar o negar. Con estas listas podemos habilitar el manejo del tráfico y accesos seguros desde y hacia una red ya sea interna o externa.

3

4 ACL Configuración de ACLs Estándar y Extendidas con la CLI
Las ACL son usadas ampliamente en las redes de computadoras y en la seguridad de red para mitigar los ataques de red y controlar el tráfico de red. Los administradores utilizan ACLs para definir y controlar clases de tráfico sobre dispositivos de red basados en varios parámetros. Estos parámetros son específicos de la capas 2, 3, 4 y 7 del modelo OSI.

5 ACL Configuración de ACLs Estándar y Extendidas con la CLI
Prácticamente cualquier tipo de tráfico puede ser definido explícitamente mediante el uso de la apropiada ACL numerada. Por ejemplo, en el pasado, el campo type Ethernet de la cabecera de una trama Ethernet era usado para definir ciertos tipos de tráfico. Un valor para el campo type de 0x8035 indica una trama RARP. Las ACL numeradas con un valor entre 200 y 299 eran usadas para controlar el tráfico en función del campo type Ethernet.

6 ACL Configuración de ACLs Estándar y Extendidas con la CLI
También era común la creación de ACLs basadas en direcciones MAC. Una ACL numerada entre 700 y 799 indica que el tráfico es clasificado y controlado basado en direcciones MAC. Después de que el tipo de clasificación se especifica, se controlan los parámetros requeridos para que la ACL pueda ser establecida. Por ejemplo, una ACL numerada entre 700 y 799 podría ser utilizada para bloquear un cliente con una dirección MAC de asociación con un predeterminado punto de acceso.

7 ACL Configuración de ACLs Estándar y Extendidas con la CLI
Hoy, cuando clasificamos el tráfico, los más comunes Tipos de parámetros utilizados en seguridad relacionados con las ACLs implican dirección IPv4 e IPv6 así como puertos TCP y UDP. Por ejemplo, una ACL puede permitir a todos los usuarios con una dirección de red IP específica descargar ficheros desde Internet usando un FTP seguro. Esa misma ACL puede ser usada para denegar a todas las direcciones IP el el acceso a FTP tradicionales.

8

9 Búsqueda secuencial.

10 LISTAS DE CONTROL DE ACCESO
Configuración de ACLs Estándar y Extendidas con la CLI

11 Basic Rules. Una lista de acceso por protocolo por dirección.
Las ACLs estándares deben aplicarse lo mas cerca al destino. Las ACLs extendidas deben aplicarse lo mas cerca a la fuente. Para saber si la aplicación de la lista sera de entrada o de salida tenemos que visualizar como el router ve el tráfico. Los enunciados son procesados de forma secuencial desde el inicio hasta que el tráfico coincide con alguno. Si no coincide con ningún enunciado entonces el paquete es negado. Existe un “implicit deny” al final de todas las ACLs. Los enunciados de las ACLs deben escribirse de lo especifico a lo general (hosts especificos deben negarse primero y grupos o filtros mas generales después).

12 Rules. Primero se evalua si el tráfico coincide con alguna regla, si coincide con alguna, entonces se realiza la función de permitir o negar. Nunca trabajar con una ACL que se encuentra aplicada y funcionando en una interfaz. Se recomienda utilizar un editor de texto para crear comentarios sobre las condiciones que se estan evaluando para corrobar que es la lógica correcta. Al añadir nuevas lineas a una ACL, se agregarán al final de la lista. El comando no access-list x removerá toda la lista, no se pueden seleccionar únicamente líneas para borrar. Una IP ACL enviará un “ICMP host unreachable message” a quien envía un paquete que fue rechazado y descartará el paquete. Hay que tener cuidado al remover una ACL. Si esta se encuentra aplicada a una interfaz en producción y es removida puede que el IOS (varia segun la version) niegue todo el tráfico.

13 Wildcard y palabras especiales.
Wildcard mask es una cantidad de 32 bits dividida en 4 octetos. Los 0s y los 1s se utilizan para identificar como se deben tratar los bits correspondientes de la IP. Existen algunas palabras con las que se pueden sustituir las wildcard masks. La palabra host sustituye a la wildcard mask y any sustituye a

14 Verificando ACLs Comandos show que nos permiten verificar la creación y aplicación de nuestras ACLs: show ip interface show access-lists show running-config

15 Standard ACLs.

16 Extended ACLs.

17 Extended ACLs.

18 Named ACLs IP named ACLs se introdujeron a partir de los Cisco IOS 11.2, permitiendo las ACLs standard y extended pudieran definirse con nombres en lugar de números. Ventajas: Es mas fácil identificar a una ACL por un nombre. Elimina las reestricciones de la numeración por tipo de ACL. Provee la habilidad de modificar las ACLs sin borrarlas. Se pueden añadir líneas al final de las ya creadas.

19 Named ACLs

20 Placing ACLs. Recordar: Un administrador sólo puede colocar una ACL en un router sobre el cual tenga control, por lo tanto el lugar donde se coloca debe ser determinado por el contexto en el que nos encontramos.

21 Firewalls. Recordando:
Un firewall es una estructura que existe entre el usuario y el mundo exterior para proteger nuestra red interna de intrusos. Las ACLs pueden funcionar como Firewalls.

22 Restricting VTYs Para aplicar una ACL a una interfaz utilizamos el comando ip access-group, para aplicarla a una terminal virtual utilizamos el comando access-class. Consideraciones al configurar lineas VTY: Solo pueden ser aplicadas “numbered ACLs”. Se tienen que establecer reestricciones idénticas en todas las terminales virtuales, ya que un intruso puede tratar de conectarse a cualquiera de ellas.

23 Restricting VTYs

24 ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs estándar
Determinar si utilizar ACLs estándar o extendidas se basa en los objetivos generales de la ACL completa. Por ejemplo, imagínese un escenario en el cual todo el tráfico desde una sola subred, , debe ser denegado hacia otra subred, pero el resto del tráfico debe permitirse.

25 ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs estándar
En este caso se puede aplicar una ACL estándar saliente sobre la interface Fa0/0: Todos los hosts de la subred son bloqueados al salir por la interface Fa0/0 hacia la subred Estos son los parámetros del comando access-list: • El parámetro 1 indica que se trata de una ACL estándar. • El parámetro deny indica que el tráfico que coincide con el parámetro seleccionado no es enviado. • El parámetro es la dirección IP de la subred origen. • El parámetro es la máscara de wildcard. Los ceros indican la posición que deben coincidir al ejecutar la función AND; los unos indican la posición que serán ignoradas. La mascara con ceros en los tres primeros octetos indica que esas posiciones deben coincidir. El 255 indica que el último octeto será ignorado. • El parámetro permit indica que el tráfico que coincide los parámetros seleccionados es enviado. • El parámetro any es una abreviación para las direcciones IP origen. Indica una dirección origen y una máscara wildcard ; todas las direcciones coincidirán. Debido al deny implícito al final de todas las ACLs, el comando access-list 1 permit any debe ser incluido para asegurar que sólo el tráfico que proviene de la subred es bloqueado y que el resto del tráfico es permitido.

26 ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs extendidas
En comparación con las ACLs estándar, las ACLs extendidas permiten que determinados tipos de tráfico sean denegados o permitidos. Imagina un escenario en el que el tráfico FTP desde una subred debe ser denegado hacia otra subred. En este caso, una ACL extendida se requiere para filtrar un tipo de tráfico específico.

27 ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs extendidas
En esta ACL, el acceso al FTP es denegado desde subred /24 a la subred /24. El resto del tráfico es permitido. El puerto TCP 21 es utilizado para controlar el tráfico FTP. El puerto TCP 20 es utilizado para transferir datos FTP. Ambos puertos son denegados. La sentencia permit ip any any es requerida al final de la ACL, de lo contrario, todo el tráfico es denegado debido a la sentencia implícita deny. En este ejemplo, la mejor ubicación de la ACL es hacia el interior de la interface Fa0/1. Esto asegura que el tráfico FTP no deseado es parado antes de debilitar los recursos de procesamiento del router.

28 ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs extendidas
En esta ACL, el acceso al FTP es denegado desde subred /24 a la subred /24. El resto del tráfico es permitido. El puerto TCP 21 es utilizado para controlar el tráfico FTP. El puerto TCP 20 es utilizado para transferir datos FTP. Ambos puertos son denegados. La sentencia permit ip any any es requerida al final de la ACL, de lo contrario, todo el tráfico es denegado debido a la sentencia implícita deny. En este ejemplo, la mejor ubicación de la ACL es hacia el interior de la interface Fa0/1. Esto asegura que el tráfico FTP no deseado es parado antes de debilitar los recursos de procesamiento del router. Tener en cuenta, con esta ACL, una sentencia permit any any reemplaza la sentencia implícita que deniega todo el tráfico que está al final de cada ACL. Esto significa que el resto del tráfico, incluyendo el tráfico FTP originado en la red /24 y destinado a cualquier otra red distinta de la red /24, será permitido.

29 Access Control List Modulo 11, Semestre 2 CCNA.

Descargar ppt "Access Control List Modulo 11, Semestre 2 CCNA.."

Presentaciones similares

Listas de Acceso Módulo 11.

Listas de Acceso Módulo 11.
Access Control Lists (ACLs)

Access Control Lists (ACLs)
LISTAS DE CONTROL DE ACCESO

LISTAS DE CONTROL DE ACCESO
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11

LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
LISTAS DE CONTROL DE ACCESO (ACL)

LISTAS DE CONTROL DE ACCESO (ACL)
Access Control List Modulo 11, Semestre 2 CCNA..

Access Control List Modulo 11, Semestre 2 CCNA..
Capítulo 9: Listas de control de acceso

Capítulo 9: Listas de control de acceso
LISTAS DE CONTROL DE ACCESO

LISTAS DE CONTROL DE ACCESO
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.

En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
Qué es un Firewall Es un dispositivo que filtra el tráfico entre redes, como mínimo dos. Este puede ser un dispositivo físico o un software sobre un sistema.

Qué es un Firewall Es un dispositivo que filtra el tráfico entre redes, como mínimo dos. Este puede ser un dispositivo físico o un software sobre un sistema.
Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.

Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.
1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.

1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.
¡LOS SERVIDORES DE FTP Y NUBE!

¡LOS SERVIDORES DE FTP Y NUBE!
NAT Y PAT ANALISIS Y DISEÑO DE REDES. ING. CESAR ARELLANO SALAZAR.

NAT Y PAT ANALISIS Y DISEÑO DE REDES. ING. CESAR ARELLANO SALAZAR.
 El protocolo PPP esta descrito en los RFC 1661 a Es el estándar usado en Internet para conexiones de un nodo aislado hacia un servidor en Internet.

 El protocolo PPP esta descrito en los RFC 1661 a Es el estándar usado en Internet para conexiones de un nodo aislado hacia un servidor en Internet.
© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 9: División de redes IP en subredes.

© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 9: División de redes IP en subredes.
DOCENTE: Lic. Juan Araujo Herencia.  El punto de acceso es un dispositivo de capa 2, por intermedio de estos dispositivos, las estaciones Wireless.

DOCENTE: Lic. Juan Araujo Herencia.  El punto de acceso es un dispositivo de capa 2, por intermedio de estos dispositivos, las estaciones Wireless.
Capítulo 4: Capa Red - IV ELO322: Redes de Computadores

Capítulo 4: Capa Red - IV ELO322: Redes de Computadores
Internet Protocols (IPs)

Internet Protocols (IPs)
Internet Protocols (IPs)

Internet Protocols (IPs)

Presentaciones similares

Anuncios Google