25
1 Cisco Access Cisco Access Control List Control List Ing. Luis Eduardo Meléndez Ing. Luis Eduardo Meléndez Campis Campis Especialista en Especialista en Telecomunicaciones Telecomunicaciones Ingeniero de Sistemas Ingeniero de Sistemas

Conferencia ACLs

Embed Size (px)

DESCRIPTION

Conferencia para el buen uso de las ACLs

Citation preview

  • *Cisco Access Control List

    Ing. Luis Eduardo Melndez CampisEspecialista en TelecomunicacionesIngeniero de Sistemas

  • *Listas de Control de AccesoPermiten al administrador de la red especificar condiciones que determinan la manera en que un router controlara el flujo de trafico.Pueden actuar a nivel de direcciones de origen/destino, protocolos y puertos: capas 3 y 4.Son secunciales.

  • *Listas de control de accesoCada ACL es un conjunto de sentencias que filtran a cada paquete en la interfaz instaladaCada ACL sobre cada interfaz, acta en un sentido, distinguiendo tanto sentido de entrada como de salida

  • *Posibles usos de ACLsLimitar el trfico de red y mejorar el desempeo de la red. Por ejemplo, las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de trfico, segn el protocolo. Brindar control de flujo de trfico. Por ejemplo, las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento. Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Por ejemplo, se puede permitir que se enrute el trfico de correo electrnico, pero bloquear al mismo tiempo todo el trfico de telnet.

  • *Declaracin de ACLsLos pasos a seguir para crear una ACL son:definimos la lista que formar un grupoaccess-list nmero .....sentencia..access-list nmero......sentencia..La ltima sentencia implcitamente es negarluego aplicamos dicha ACL sobre los interfaces en el sentido deseado con ip access-group nmero (in/out)

  • *Flujo en la comparacin de ACLsSe manda paquete ICMP Destino inalcanzable

  • *Pasos en la definicin (1/2)

  • *Pasos en la definicin (2/2)

  • *Tipos de ACLsLas ACLs se clasifican segn el nmero utilizado en access-list nmero .....y que estn definidosEstandar IP 1-99Extended IP 100-199AppleTalk 600-699IPX 800-899Extended IPX 900-999IPX Service Advertising Protocol 1000-1099

  • *ACLs: IP estndar y extendedSe definen en modo global de configuracin Router(config)# Las ACLs estndar su formato esaccess-list acl-number {deny | permit} source [source-wildcard ] [log] Las ACLs extended su formato esaccess-list acl_number {deny | permit} proto source [source- wildcard] destination [destination-wildcard] [operand port] [established] [log] A nivel de interfaz:Router(config-if)#ip access-group access-list-number {in | out}

    Log: para registrar los incidentes ( msg: n ACL, si el paquete ha sido permitido o denegado, direccin origen y el nmero de paquetes)proto: ip, tcp, udp, icmp, gre, igrpoperation operand: lt(less than), gt(greater than), eq (equal), neq (non equal) y un nmero de puertoestablished: si la conexin TCP est establecida con acks

  • *WildcardEl enmascaramiento wildcard para los bits de direcciones IP utiliza los nmeros 1 y 0 para referirse a los bits de la direccin. Un bit de mscara wildcard 0 significa comprobar el valor correspondienteUn bit de mascara wildcard 1 significa No comprobar (ignorar) el valor del bit correspondiente

  • *Wildcard (Ejercicio)Dada la direccin IP 192.168.100.64 255.255.255.224, identifique la mscara de wildcard que va a machear los host 192.168.100.64 a 95.Dada la direccin IP 172.16.8.0 255.255.255.0, identifique la mscara wildcard que machea subredes 172.16.8.0 - 172.16.15.0 y todos los host de las subredes.

  • *Trminos Any y hostSi especificamos que cualquiera cumple la sentencia pondramos como direccin IP 0.0.0.0 y de mscara todo 1s para que se ignore (255.255.255.255), por tanto la palabra any sustituye a 0.0.0.0 255.255.255.255Si especificamos una direccin IP determinada, daremos la direccin y luego la mscara de todo 0s, que se simplifica con la palabra host

  • *Ejemplos any y hostANY access-list 1 permit 0.0.0.0 255.255.255.255 Se puede poner como access-list 1 permit any

    HOSTaccess-list 1 permit 172.30.16.29 0.0.0.0Se puede poner como access-list 1 permit host 172.30.16.29

  • *Ejemplo1: ACL estndar En este ejemplo, la ACL slo permite que se enve el trfico desde la red origen 172.16.0.0. El trfico que no es de 172.16.0.0 se bloquea. El ejemplo muestra cmo la ACL slo permite que se enve el trfico desde la red origen 172.16.0.0 y que se bloquee el que no es de 172.16.0.0.

  • *Ejemplo2: Denegar un host especficoACL para bloquear el trfico proveniente de una direccin especfica, 172.16.4.13, y para permitir que todo el trfico restante sea enviado en la interfaz Ethernet 0. El primer comando access-list usa el parmetro deny para denegar el trfico del host identificado. La mscara de direccin 0.0.0.0 en esta lnea requiere que en la prueba coincidan todos los bits. En el segundo comando access-list la combinacin de mscara wildcard / direccin IP 0.0.0.0 255.255.255.255 identifica el trfico de cualquier origen.

  • *Ejemplo 3: Denegar una direccin de redEl ejemplo muestra cmo una ACL est diseada para bloquear el trfico desde una subred especfica, 172.16.4.0, y para permitir que el resto del trfico sea enviado.

  • *Nmeros de puerto reservados

  • *Ejemplo 4: ACL extendida que bloquea el trfico de FTP.

    Observe que el bloqueo del puerto 21 evita que se transmitan los comandos FTP, evitando de esta manera las transferencias de archivo FTP. El bloqueo del puerto 21 evita que el trfico mismo se transmita, pero no bloquea los comandos FTP. Los servidores FTP se pueden configurar fcilmente para funcionar en diferentes puertos. Debe entender que los nmeros de puerto conocidos son simplemente eso: conocidos. No existen garantas de que los servicios estn en esos puertos, aunque normalmente lo estn.

  • *Ejemplo 5: Denegar conexiones telnet de una subredno permite que el trfico de Telnet (eq 23) desde 172.16.4.0 se enve desde la interfaz E0. Todo el trfico desde cualquier otro origen a cualquier otro destino se permite, segn lo indica la palabra clave any. La interfaz E0 est configurada con el comando access-group 101 out ; es decir, ACL 101 se encuentra enlazada a la interfaz saliente E0.

  • *Ubicacin de las ACLsLas ACLs estandar no especifican direcciones destino, de manera que se debe colocar la ACL estndar lo ms cerca posible del destino.las ACLs extendidas se colocaran lo ms cerca posible del origen del trfico denegado.

  • *ACLs NombradasSe usan cuando:- Se desea identificar intuitivamente las ACL utilizando un nombre alfanumrico.-Existen ms de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado.

    Hay que tener en cuenta que:-Las ACL nombradas no son compatibles con las versiones Cisco IOS anteriores a la versin 11.2-No se puede usar el mismo nombre para mltiples ACL. Adems, las ACL de diferentes tipos no pueden tener el mismo nombre. Por ejemplo, no es vlido especificar una ACL estndar llamada Administracin y una ACL extendida con el mismo nombre.

  • *ACLs NombradasRouter(config)# ip access-list {standard | extended} name ip access-list standard Internetfilter permit 128.88.0.0 0.0.255.255 permit 36.0.0.0 0.255.255.255

  • *Verificacin de ACLsshow ip interface: indicada si cualquier ACL est establecida.show access-lists: muestra los contenidos de todas las ACLs-

  • *Show ip interface. Resultado


Router ACLs

Router ACLs

Documents
Autoevaluación ACLS

Autoevaluación ACLS

Documents
ACLS (introducción)

ACLS (introducción)

Documents
Cap5 01 Acls

Cap5 01 Acls

Documents
ACLS Presentation

ACLS Presentation

Documents
ACLS PROVIDER KURS - cstn.chcstn.ch/wp-content/uploads/2017/07/Flyer-ACLS-2.pdf · ACLS. Advanced Cardiovascular Life Support Der ACLS Provider Kurs richtet sich an medizinisches

ACLS PROVIDER KURS - cstn.chcstn.ch/wp-content/uploads/2017/07/Flyer-ACLS-2.pdf · ACLS. Advanced Cardiovascular Life Support Der ACLS Provider Kurs richtet sich an medizinisches

Documents
Linux Acls Final

Linux Acls Final

Documents
Atualização ACLS

Atualização ACLS

Documents
Apostila - ACLS

Apostila - ACLS

Documents
ACLS - 東京都福祉保健局...21 ACLS

ACLS - 東京都福祉保健局...21 ACLS

Documents
ACLS AVANZADO

ACLS AVANZADO

Documents
ACLS Teori

ACLS Teori

Documents
Examen Acls

Examen Acls

Documents
Referat Acls

Referat Acls

Documents
Presentación Algoritmos ACLS

Presentación Algoritmos ACLS

Documents
Algoritma Acls

Algoritma Acls

Documents
Acls update

Acls update

Health & Medicine
BLS & ACLS

BLS & ACLS

Documents
rendoncpr.comrendoncpr.com/docs/ACLS.pdf · ACLS START ACLS IA-B ACLS 2A-B ACLS 3A-F ACLS 4A-C ACLS 5A-B ACLS 6A-D ACL-S 7A-J ACL-S 8A-K ACLS 9A-E ACLS IOA-E ACLS IIA-D ACLS T3-5

rendoncpr.comrendoncpr.com/docs/ACLS.pdf · ACLS START ACLS IA-B ACLS 2A-B ACLS 3A-F ACLS 4A-C ACLS 5A-B ACLS 6A-D ACL-S 7A-J ACL-S 8A-K ACLS 9A-E ACLS IOA-E ACLS IIA-D ACLS T3-5

Documents
Acls -ritmos

Acls -ritmos

Health & Medicine
sj@acls-ma.org ACLS 学校学校学校

[email protected] ACLS 学校学校学校

Documents
19. Tachycardia ACLS

19. Tachycardia ACLS

Health & Medicine
Final Acls

Final Acls

Documents
Laporan ACLS

Laporan ACLS

Documents
ringkasan ACLS

ringkasan ACLS

Documents
Acls Takikardia Aul

Acls Takikardia Aul

Documents
FARMACOLOGIA ACLS

FARMACOLOGIA ACLS

Documents
Acls ritmos

Acls ritmos

Health & Medicine
Acls Algorithms

Acls Algorithms

Documents
Acls Aha 2010

Acls Aha 2010

Documents