presentación de...
TRANSCRIPT
![Page 1: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/1.jpg)
Listas de Control de AccesoE. Interiano
![Page 2: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/2.jpg)
Contenido
1. Introducción
2. Pasos para la configuración
3. Tipos de listas de acceso
4. Configuración y ubicación
5. Verificación
![Page 3: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/3.jpg)
1. Introducción
2. Pasos para la configuración
3. Tipos de listas de acceso
4. Configuración y ubicación
5. Verificación
![Page 4: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/4.jpg)
¿Qué son las listas de control de acceso?
Una Lista de control de acceso o ACL es una colección secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior
![Page 5: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/5.jpg)
¿Qué son las listas de control de acceso?
Las ACL son listas de instrucciones que se aplican a una interfaz del enrutador.
Estas listas indican al enrutadorqué tipos de paquetes se deben aceptar y qué tipos de paquetes se deben denegar.
![Page 6: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/6.jpg)
¿Qué parámetros describen las ACLs?
Las ACLs pueden contener información de:
Dirección de origen (red o host)
Dirección de destino (red o host)
Protocolo de capa superior (ej. IP, IPX, TCP, IGRP)
Puerto de capa superior (23, 80 ...)
![Page 7: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/7.jpg)
¿Qué parámetros describen las ACLs?
Dirección destino
Dirección origen
Protocolo
Número de puerto
![Page 8: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/8.jpg)
¿Cómo se evalúan las ACLs?
![Page 9: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/9.jpg)
¿Cómo se evalúan las ACLs?
Las listas de control de acceso se evalúan en el orden en el que están escritas. Si se cumple una regla, las demás no se evalúan.
![Page 10: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/10.jpg)
¿Cómo se evalúan las ACLs?
![Page 11: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/11.jpg)
¿Cómo se evalúan las ACLs?
![Page 12: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/12.jpg)
1. Introducción
2. Pasos para la configuración
3. Tipos de listas de acceso
4. Configuración y ubicación
5. Verificación
![Page 13: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/13.jpg)
¿Cómo se configuran las listas de acceso?
1. Se crea la lista
2. Se coloca en una interfaz a la entrada o a la salida
![Page 14: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/14.jpg)
1. Introducción
2. Pasos para la configuración
3. Tipos de listas de acceso
4. Configuración y ubicación
5. Verificación
![Page 15: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/15.jpg)
¿Cuántos tipos de listas de acceso existen?
1. Estándar
2. Extendidas
Existen dos tipos:
![Page 16: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/16.jpg)
¿Cuál es la diferencia?
Las listas de acceso extendidastrabajan además en la capa deTransporte y capas superiores
Las listas de acceso estándartrabajan únicamente en la capa de red, y por dir. origen
![Page 17: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/17.jpg)
¿Cómo se identifican las listas de acceso?
Las listas de acceso se puedenidentificar por nombre o pornúmero
Las listas por nombre sólo enIOS mayor o igual a 11.2
![Page 18: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/18.jpg)
¿Cómo se identifica el tipo de lista?
Las listas de acceso extendidasIP van de 100 a 199
Las listas de acceso estándarIP van de 1 a 99
En IPX van de 800 a 899 y de900 a 999 respectivamente
![Page 19: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/19.jpg)
¿Existen lista de acceso para otros protocolos?
Si, veamos la tabla completa:
![Page 20: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/20.jpg)
1. Introducción
2. Pasos para la configuración
3. Tipos de listas de acceso
4. Configuración y ubicación
5. Verificación
![Page 21: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/21.jpg)
Ejemplo de listas de acceso estándar
Router(config)#access-list 1 permit 172.16.134.0 0.0.0.255
Router(config-if)#ip access-group 1 out
El mismo númeroque tiene la lista
ANY es lo mismo que0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit 172.16.235.0 0.0.0.255
Router(config)#access-list 1 deny any Última línea implícita
Se coloca en la salida
La secuencia correcta es de suma importancia
Es una lista estándar IPDirección de red Máscara *
![Page 22: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/22.jpg)
¿Cómo se define la máscara?
No tiene el mismo significado quela máscara de subred IP
Los ceros significan : pruebe el bit respectivo
Los unos significan : ignore el bit respectivo
![Page 23: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/23.jpg)
Ejemplo de listas de acceso extendida
Router(config-if)#ip access-group 101 in
El mismo númeroque tiene la lista
Lo mismo que172.16.134.1 0.0.0.0
Router(config)#access-list 101 permit ip any any
Router(config)#access-list 101 deny any Implícito
Router(config)#access-list 101 deny tcp 172.16.134.0 0.0.0.255 host 172.16.134.1 eq 23
Se coloca enla entrada
Permite el restodel trafico
Especifica el tráfico de telnethacia el host 172.16.134.1
![Page 24: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/24.jpg)
¿Cómo se ubican las listas de acceso?
Las reglas para ubicarlas son
Las listas estándar : cerca del destino
Las listas extendidas : cerca de la fuente
![Page 25: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/25.jpg)
Ejercicio 1: crear lista de acceso para:
Permitir el tráfico salientede mi propia red
Bloquear el tráfico entrante demi propia red
Mi red es 172.16.21.0
![Page 26: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/26.jpg)
Solución al ejercicio 1 de ACL
Internet
La ACL Se coloca enla interfaz e0
![Page 27: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/27.jpg)
Solución al ejercicio 1 de ACL
Router(config)#access-list 1 deny 172.16.21.0 0.0.0.255
Router(config-if)#ip access-group 1 out
Router(config)#access-list 2 permit 172.16.21.0 0.0.0.255
Router(config)#access-list 1 deny any
Es una lista estándar IP
Router(config)#access-list 2 deny any
Dirección de mi red
Router(config-if)#ip access-group 2 in
Router(config)#access-list 1 permit anyBloquea el tráfico
Permite el resto
Permite el tráfico de mi red hacia afuera
Bloquea el tráfico no permitido hacia mi redRouter(config)#interface e0
![Page 28: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/28.jpg)
Ejercicio 2: crear lista de acceso para:
Bloquear el tráfico telnet desdecualquier host impar al enrutador
Permitir el tráfico telnet desdecualquier host par al enrutador
Mi enrutador es 172.16.21.1
![Page 29: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/29.jpg)
Solución al ejercicio 2:
Router(config)#access-list 101 permit ip any any
Router(config)#access-list 101 deny tcp 0.0.0.1 255.255.255.254 host 172.16.21.1 eq 23
Router(config-if)#ip access-group 101 in
Aplicamos la lista en la entrada de la interfaz
Selecciona a todos los hosts impares;1/2 de la Internet
Selecciona únicamenteal enrutadorNo olvidemos permitir
el resto del tráfico IP
![Page 30: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/30.jpg)
1. Introducción
2. Pasos para la configuración
3. Tipos de listas de acceso
4. Configuración y ubicación
5. Verificación
![Page 31: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/31.jpg)
¿Cómo se verifican las listas de acceso?
Show access lists
Show ip interface(muestra si están instaladas y en que dirección out o in)
Con la opción “log” al crear la lista(muestra el primer paquete al cualse aplica y luego cada 5 minutos)
![Page 32: Presentación de PowerPointseguridadensistemascomputacionales.zonalibre.org/ACL.pdfRouter(config)#access-list 101 permit ip any any Router(config)#access-list 101 deny tcp 0.0.0.1](https://reader033.vdocuments.net/reader033/viewer/2022041720/5e4e51742dea96363c33e8ce/html5/thumbnails/32.jpg)
Al terminar el capítulo 6, debe conocer los siguientes temas:
•El propósito de las listas de acceso
•Como son evaluadas las listas de control de acceso
•Los tipos de listas de acceso y cómo se crean y modifican
•La función que cumple la máscara en las listas de acceso
•Crear listas de acceso estándar y extendidas
•Dónde se aplican las listas de acceso según el tipo
•Cómo se verifican las listas de acceso
Resumen