Listas de control de accesonetworkingsignora.pbworks.com/f/Clase1_ACL.pdfUna de las consultas frecuentes es donde aplicar las listas de control de acceso. Esto tiene importancia radical

Listas de control de acceso

Presentador: Juan Carlos Spichiger

Juan Carlos Spichiger -www.redescisco.net

Agenda

• Bienvenida• Importancia de la seguridad y el control del

tráfico.• ¿Qué es una ACL?• Funcionamiento de una ACL y Wildcards• Tipos de ACL• Aplicación de ACL• Ejemplo• Preguntas y respuestas


Importancia de la seguridadAtaques anuales

0

20.000

40.000

60.000

80.000

100.000

Jan

Feb

Mar

Apr

M

ay

Jun Jul

Aug

Sep

Oct Nov Dec

Year 2008

Year 2009

Year 2010

Grafico que representa la cantidad de ataques por año

Fuente: zona-h


Importancia de la seguridad

308412540IIS/5.1

7298703.465nginx

1.1493.9525.846IIS/4.0

1.9201.3080NOYB

1.9725061.059Zeus

16.7418.8054.974Unknown

23.66466.30412.551IIS/5.0

113.935180.926126.403IIS/6.0

319.439486.294390.141Apache

Año 2010Año 2009 Año 2008 Web-server atacados

Gráfico que representa la cantidad de ataques a los webserverconocidos

Fuente: zona-h


Importancia de la seguridad

5.13811.74932.521FTP Server intrusion

42.87499.54636.832Other Web Appli-ca-tion bug

1.0057.38537.526Access cre-den-tials through Man In the Mid-dle attack

33.92057.79732.275SQL Injec-tion

115.57495.40590.801File Inclu-sion

55.72587.31372.192Shares mis-con-fig-u-ra-tion

10.91824.38633.141Attack against the administrator/user (pass-word stealing/sniffing)

Total 2010 Total 2009 Total 2008 Metodos de ataques

Fuente: zona-h


Importancia de la seguridadLinux v/s Windows

050000

100000150000200000250000300000350000400000450000500000

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

Año

Can

tidad

de

ataq

ues

Linux

Windows

Grafico que representa la cantidad de ataques por sistema operativo.Se han considerado todas las versiones de windows y distribuciones de linux

Fuente: zona-h


¿Qué es una acl?

• Las listas de control de acceso o acls son enunciados o sentencias que según su configuración permiten o deniegan paquetes que tratan de atravesar un router.


¿Cómo funciona una lista de acceso?

• Las lista de acceso funcionan de acuerdo a sentencias que son configuradas en el router. Para entender esto haremos un explicación de la vida cotidiana.


Lista de acceso

• Imagine que usted es un guardia de una famosa discoteque…

• Su jefe le ha pedido que solo deje entrar personas mayores de 40 años y con lentes.

• Cualquier persona que no cumpla esta condición no puede entrar.


Lista de acceso

• Para este ejemplo:• Usted es el Router• Las personas son los paquetes• Y las condiciones propuestas por su jefe son

las sentencias que usted debe aplicar cada vez que llegue una persona para dejarla o no dejarla entrar.

• Si aplicamos esta teoría a los routers es más sencillo entender el funcionamiento de las lista de control de acceso.


Tipos de ACL

• Existen varios tipos de acls, pero las que veremos en la sesión de hoy son las más básicas:

• Listas de acceso Estándar• Listas de acceso Extendidas


Tipos de ACL

• Acl estándar filtra paquetes mas cerca del destino del tráfico

• Acl estándar solo filtra protocolo ip

• Acl extendida filtra paquetes más cerca del origen del tráfico.

• Acl extendida filtra otros protocolos como tcp, udp, protocolos de enrutamiento, etc


Reglas de las ACL

• Las Acl por defecto bloquean todo el tráfico con una linea que se conoce como linea implícita.

• Las sentencias se ejecutan línea a línea hasta que se encuentra una coincidencia.

• Cuando una linea hace match el resto de las sentencias no se revisan.

• Solo se puede aplicar 1 acl por interfaz y por protocolo.

• Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz correspondiente.


Sintaxis para ACL estandar

Para ACL Estandar:

Router(config)#Access-list 1-99 permit/deny ip <Red-host> Wilcard

Ejemplo:

Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255

Router(config)#access-list 1 deny any (línea implícita)

Router(config-if)#access-list 1 in (para aplicar la acl)

Comando para chequear listas de acceso:

Router# show access-list

Router# show running-config


Ejemplo acl estandar

Situación: bloquear el trafico proveniente de la red lan 172.16.0.0 que intenta entrar al router2, permitir el resto del tráfico.


Sintaxis para acl extendida

Para ACL extendida

Router(config)#Access-list 100-199 permit/deny ip/tcp/udp/icmp… <Red-hostde origen> Wilcard <Red-host de destino> Wilcard <eq> puerto (solo aplica en protocolos tcp/udp)

Ejemplo:

Router(config)#access-list 100 permit tcp 192.168.0.0 0.0.0.255 any eq 80

Router(config)#access-list 100 deny ip any any (linea implícita)

Router(config-if)#access-list 100 in (para aplicar la acl)

Comando para chequear listas de acceso:

Router# show access-list

Router# show running-config


Ejemplo acl extendida

Situación: bloquear el trafico web que sale de la red lan 200.0.0.0 hacia la red 192.168.0.0


Explicación de la Wildcard

• La máscara de wildcard es la que define si la sentencia hace coincidencia o match

• Los ceros de revisan• Los unos se ignoranEjemplo:


Aplicación de las ACL

Una de las consultas frecuentes es donde aplicar las listas de control de acceso.

Esto tiene importancia radical dado que las acl actúan de manera instantánea y tendrán un efecto inmediato en el tráfico de nuestra red.

Importante: una acl mal hecha o mal aplicada puede ser desastroso.

Por esto es mejor diseñarlas en el papel antes de pasarlas al router.


Ejemplo de ACL

Situación: Se necesita bloquear el trafico ftp y smtp del host de la red lan de R2 con destino a la red 172.16.0.0. permitir el resto del tráfico.Situación: La red 192.168.0.0 puede accesar a la red 200.0.0.0 salvo el protocolo http

Preguntas y respuestas

Gracias

Juan Carlos [email protected]

Documents

Listas de control de accesonetworkingsignora.pbworks.com/f/Clase1_ACL.pdfUna de las consultas frecuentes es donde aplicar las listas de control de acceso. Esto tiene importancia radical