Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Listas de Acceso

    Încărcat de

    Ricardo salas
    69 vizualizări18 pagini

    Titlu original

    Listas de acceso

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    69 vizualizări18 pagini

    Listas de Acceso

    Încărcat de

    Ricardo salas

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 18

    Seguridad de Redes

    Presentado por: Mg. Jesús Martín Bravo Suclupe


    Listas de control de acceso - ACLs
    Una ACL se emplea para seleccionar flujos de tráfico según algún
    criterio específico: dirección IP de origen y/o destino, puertos TCP o
    UDP, tipo de tráfico IP, etc.
    Una vez seleccionado el tráfico se aplica una acción, por ejemplo:
    PERMITIR o BLOQUEAR tráfico

    ACL estándar: Selecciona el trafico en base a la dirección de origen del encabezado IP


    ACL extendida: Selecciona el tráfico en base a las direcciones de origen y destino del
    encabezado IP, puertos de origen y destino del encabezado TCP o UDP (Capa 4)
    TIPOS DE
    ACL dinámica: Para permitir el tráfico se utiliza una sesión telnet.
    ACLs
    ACL reflexiva: Permite el tráfico de vuelta en un router.
    ACL basada en tiempo: Permite utilizar una ACL según un horario de tiempo especifico
    ACL basada en contexto (CBAC): Convierte el router en un firewall similar a un ASA.
    Guarda los estados de conexiones (ACK/SEQ). Mas avanzado que otras ACLs.
    Conceptos generales de ACLs

    PERMITIR

    Funciones de
    Router ISR Firewall

    BLOQUEAR
    Para que crear una ACL

    1. Definir el trafico interesante


    2. Crear una política de seguridad mediante el comando access-list o ip access-list.
    3. Aplicar una política en una interfaz del router (física o subinterfaz) en modo de
    entrada o salida.
    Máscaras Wildcard
    Las máscaras Wildcard (español: comodín) permiten seleccionar un grupo de
    direcciones IP. A diferencia de una máscara de subred las cuales definen el tamaño
    de la red, las wildcards permiten escoger granularmente el tráfico que se quiere
    gestionar.

    *.mp3 a*.exe *e*.doc


    Máscaras Wildcard
    Ejemplo: Seleccionar las primeras 8 direcciones IP dela red 192.168.10.0/24
    (Incluyendo la dirección IP de subred)
    Direccion IP Notacion binaria
    192.168.10.0 1100 0000 . 1010 1000. 0000 1010. 0000 0000
    192.168.10.1 1100 0000 . 1010 1000. 0000 1010. 0000 0001
    192.168.10.2 1100 0000 . 1010 1000. 0000 1010. 0000 0010
    192.168.10.3 1100 0000 . 1010 1000. 0000 1010. 0000 0011
    192.168.10.4 1100 0000 . 1010 1000. 0000 1010. 0000 0100
    192.168.10.5 1100 0000 . 1010 1000. 0000 1010. 0000 0101
    192.168.10.6 1100 0000 . 1010 1000. 0000 1010. 0000 0110
    192.168.10.7 1100 0000 . 1010 1000. 0000 1010. 0000 0111
    Máscaras Wildcard
    Ejemplo: Seleccionar las primeras 8 direcciones IP dela red 192.168.10.0/24
    (Incluyendo la dirección IP de subred)

    Direccion IP Notacion binaria


    192.168.10.0 1100 0000 . 1010 1000. 0000 1010. 0000 0000
    192.168.10.1 1100 0000 . 1010 1000. 0000 1010. 0000 0001
    192.168.10.2 1100 0000 . 1010 1000. 0000 1010. 0000 0010
    192.168.10.3 1100 0000 . 1010 1000. 0000 1010. 0000 0011
    192.168.10.4 1100 0000 . 1010 1000. 0000 1010. 0000 0100
    192.168.10.5 1100 0000 . 1010 1000. 0000 1010. 0000 0101
    192.168.10.6 1100 0000 . 1010 1000. 0000 1010. 0000 0110
    192.168.10.7 1100 0000 . 1010 1000. 0000 1010. 0000 0111
    Máscaras Wildcard
    Ejemplo: Seleccionar las primeras 8 direcciones IP dela red 192.168.10.0/24
    (Incluyendo la dirección IP de subred)

    Direccion IP Notacion binaria


    192.168.10.0 1100 0000 . 1010 1000. 0000 1010. 0000 0000
    192.168.10.1 1100 0000 . 1010 1000. 0000 1010. 0000 0001
    192.168.10.2 1100 0000 . 1010 1000. 0000 1010. 0000 0010
    192.168.10.3 1100 0000 . 1010 1000. 0000 1010. 0000 0011
    192.168.10.4 1100 0000 . 1010 1000. 0000 1010. 0000 0100
    192.168.10.5 1100 0000 . 1010 1000. 0000 1010. 0000 0101
    192.168.10.6 1100 0000 . 1010 1000. 0000 1010. 0000 0110
    192.168.10.7 1100 0000 . 1010 1000. 0000 1010. 0000 0111

    La máscara de Wildcard tiene la misma cantidad de dígitos binarios que tiene una dirección IPv4. Cada “0”
    significa que se selecciona exactamente esos bits de la dirección, mientras que cada “1” significa que puede variar
    esos bits e igualmente se seleccionará.
    Máscaras Wildcard
    Ejemplo: Seleccionar las primeras 8 direcciones IP dela red 192.168.10.0/24
    (Incluyendo la dirección IP de subred)

    Direccion IP Notacion binaria


    192.168.10.0 1100 0000 . 1010 1000. 0000 1010. 0000 0000
    192.168.10.1 1100 0000 . 1010 1000. 0000 1010. 0000 0001
    192.168.10.2 1100 0000 . 1010 1000. 0000 1010. 0000 0010
    192.168.10.3 1100 0000 . 1010 1000. 0000 1010. 0000 0011
    192.168.10.4 1100 0000 . 1010 1000. 0000 1010. 0000 0100
    192.168.10.5 1100 0000 . 1010 1000. 0000 1010. 0000 0101
    192.168.10.6 1100 0000 . 1010 1000. 0000 1010. 0000 0110
    192.168.10.7 1100 0000 . 1010 1000. 0000 1010. 0000 0111

    MASCARA WILDCARD: 0000 0000 . 0000 0000. 0000 0000. 0000 0111 = 0.0.0.7
    Máscaras Wildcard
    ¿Qué direcciones IP están incluidas en el rango de direcciones 172.16.20.64 con
    Wildcard 0.0.0.31?
    Máscaras Wildcard
    ¿Qué direcciones IP están incluidas en el rango de direcciones 172.16.20.64 con
    Wildcard 0.0.0.31?

    172.16.20.64 = 1010 1100 . 0001 0000. 0001 0100. 0100 0000


    0.0.0.31 = 0000 0000 . 0000 0000. 0000 0000. 0001 1111

    Rango de direcciones:
    Desde 1010 1100 . 0001 0000. 0001 0100. 0100 0000
    Hasta 1010 1100 . 0001 0000. 0001 0100. 0101 1111

    Desde 172.16.20.64 hasta 172.16.20.95


    Listas de control de acceso estándar
    Filtran paquetes IP basándose en la dirección IP de origen.

    1-99, 1300 a 1999 = ACL Estándar  Numeración de una ACL Estándar

    permit + Dirección IP de origen + Wildcard  Establecimiento de política


    deny
    Listas de control de acceso estándar
    1-99, 1300 a 1999 = ACL Estándar  Numeración de una ACL Estándar

    permit + Dirección IP de origen + Wildcard  Establecimiento de política


    deny

    R1(config)# access-list 1 remark hosts permisibles R1(config)# ip access-list standard RESTRINGE_SALIDA


    R1(config)# access-list 1 permit 172.16.1.2 0.0.0.0 R1(config-std-nacl)# permit 172.16.1.2 0.0.0.0
    R1(config)# access-list 1 permit 172.16.1.3 0.0.0.0 R1(config-std-nacl)# permit 172.16.1.3 0.0.0.0
    R1(config)# access-list 1 permit 172.16.1.128 0.0.0.1 R1(config-std-nacl)# permit 172.16.1.128 0.0.0.1
    Listas de control de acceso estándar
    Ejemplo:
    Crear una lista de acceso que bloquee el trafico de red proveniente de la red 192.168.20.0/24
    excepto del host 192.168.20.4. El resto del trafico de paquetes es permitido.
    Listas de control de acceso estándar
    Ejemplo:
    Crear una lista de acceso que bloquee el trafico de red proveniente de la red 192.168.20.0/24
    excepto del host 192.168.20.4. El resto del trafico de paquetes es permitido.

    R1(config)# access-list 1 permit host 192.168.20.4


    R1(config)# access-list 1 deny 192.168.20.0 0.0.0.255
    R1(config)# access-list 1 permit any
    Reglas de las ACLs
    1. Las ACLs estándar se numeran desde 1 al 99 y desde 1300 a 1999. Las ACLs extendidas se
    numeran entre 100 y 199 o 2000 a 2699.
    2. Las ACLs estándar bloquean o permiten trafico basado en la dirección IP de origen, mientras
    las ACLs extendidas lo hacen considerando también la dirección IP de destino, puertos de
    origen y destino.
    3. Las ACLs estándar se configuran lo mas próximo al destino. Las ACLs extendidas se configuran
    lo mas próximo al origen.
    4. Se puede escribir la palabra “host” para reemplazar una dirección IP con Wildcard 0.0.0.0
    5. Se puede escribir la palabra “any” para reemplazar una dirección IP con Wildcard
    255.255.255.255
    6. Las ACLs tienen una regla implícita final de denegación (deny any/ deny any any)
    7. Las ACLs se ejecutan en orden TOP-DOWN
    Ejemplo práctico
    Configurar ACLs de tal modo que se cumpla:

    - Bloquear el acceso de la red 10.0.0.0/24 a la red 30.0.0.0/24, excepto el host 10.0.0.2


    - La red 20.0.0.0/24 no puede conectarse con la red 10.0.0.0/24
    Bibliografía

    1. Curso “Seguridad de redes” del “Magister de Ingeniería de Redes de


    Comunicaciones” de la Universidad de Chile, dictado por el docente Sergio
    Miranda (2015)
    2. CCNA Security Portable Command Guide. Bob Vachon. ciscopress.com (2016)
    3. Official Cert Guide CCNA Security 210-260. Omar Santos – John Stuppi.
    ciscopress.com (2015)

    S-ar putea să vă placă și