SlideShare ist ein Scribd-Unternehmen logo

Listasde Acceso

J
Jesus Sanchez Sanchez

ip

TechnologieBusiness
1 von 4
Downloaden Sie, um offline zu lesen
Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas 1. ACLs (Access Lists) Las listas de acceso (ACL) se usan para el filtrado de paquetes en función de ciertos parámetros como pueden ser las direcciones de red origen o destino, los puertos origen o destino, el tipo de protocolo (ip, icmp, tcp, udp, etc). Una de las aplicaciones donde se usan más las listas de acceso es en la seguridad de la red. Con las ACLs se puede bloquear el tráfico no deseado en una interfaz ya sea de salida o de entrada. Sin embargo notad que las ACLs no solo se usan en temas de seguridad, sino que también se usan para filtrar en general paquetes en aplicaciones tan variadas como pueden ser NAT (Network Address Translation), en BGP para filtrar rutas al crear políticas de encaminamiento, etc. Existen ACLs para distintas pilas de protocolos: TCP/IP, IPX/SPX, Apple, etc. En este laboratorio nos centraremos en las ACLs aplicadas a seguridad en la red para la pila de protocolos TCP/IP. La diferencia con las otras pilas de protocolos está en el rango de ACLs que se pueden generar. Por ejemplo las ACLs entre la 1 y la 199 se usan en TCP/IP, mientras que las comprendidas entre la 800 y la 999 se usan para IPX/SPX, otros rangos se usan para DECnet (300-399), XNS (400-599), AppleTalk (600-699), etc. Cuando creamos una lista de acceso y la aplicamos a una interfaz de entrada o de salida, estamos creando una secuencia de instrucciones que son chequeadas cada vez que un paquete entra o sale por esa interfaz. Es importante notar varias características de las ACLs. Primero, que una ACL se aplica a la interfaz ya sea de entrada o de salida. Se pueden crear una ACL para la interfaz de salida y otra distinta para esa interfaz de entrada. Lo segundo, las ACLs son secuencias de instrucciones que son chequeadas contra el paquete. El orden de las instrucciones es importante, ya que cuando una línea de la secuencia da cierta en el chequeo, se toma una acción y se sale de la ACL, es decir no se continua chequeando para comprobar que haya otra línea de la secuencia que también resulta cierta. Por consiguiente es muy importante diseñar la ACL en la secuencia que nos interese más. Por ejemplo no es lo mismo estas dos líneas de un ACL: o Si el paquete es icmp recházalo o Si el paquete es ip acéptalo que la secuencia: o Si el paquete es ip acéptalo o Si el paquete es icmp recházalo Suponed que llegara un paquete ICMP. En el primer caso el paquete se rechazaría ya que la primera línea se cumple, el paquete es ICMP. En el segundo caso el paquete ICMP se aceptaría ya que la primera línea también se cumple, con lo cual ya no se comprobaría la segunda. Otro aspecto importante es que no podemos insertar líneas en la secuencia. Si nos equivocamos al crearla o queremos insertar una línea a a hay que borrar TODA la ACL y volverla a crear. Finalmente, también MUY IMPORTANTE, la última línea de una lista de acceso NUNCA aparece, es decir existe de forma explicita y siempre es DENIEGO TODO. Dentro de las listas de acceso TCP/IP hay dos tipos de ACLs o Listas de acceso IP estándar (1-99) o Listas de acceso IP extendidas (100-199) 1
Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas 1.1. Wildcard mask La wildcard mask es una mascara de 32 bits que indica que bits de la dirección IP se tienen que comprobar y cuales no. Si los bits de la máscara están a 0 entonces se comprueban, si están a 1 entonces no se comprueban. Por ejemplo si queremos que un paquete que entra se compruebe si pertenece al host con dirección IP 145.34.5.6, queremos que se comprueben todos los bits de la dirección IP. Eso significa que la wildcard mask sería 0.0.0.0. En este caso se suele sustituir la tupla @IP WildcardMask por host @IP. Por ejemplo la tupla 145.34.5.6 0.0.0.0 se puede expresar como host 145.34.5.6. Sino quisiéramos que no se comprobasen ninguno pondríamos una wildcard mask de 255.255.255.255. en este caso se suele sustituir la tupla @IP WildcardMask por any. Por ejemplo la tupla 145.34.5.6 255.255.255.255 se puede expresar como any. También podemos expresar redes. Por ejemplo para comprobar todos los paquetes de hosts que vengan de la red 145.34.5.0/24. Eso significa que tenemos que comprobar todos los paquetes cuyos primeros 24 bits coincidan con los de la dirección de red. Luego la wildcard mask debería ser 0.0.0.255. 1.2. ACLs estándar Las ACLs estándar solo usan las direcciones origen para hacer la comprobación. Las listas de acceso estándar tienen números (acl#) comprendidos entre el 1 y el 99. El comando tiene el siguiente formato: access-list acl# {deny|permit} {@IPsource WildcardMask | host @IPsource | any} ip access-group acl# {in |out} El primer commando, access-list, crea la lista de acceso con número acl# y con condición deniego o permito sobre la dirección IP origen especificada con la correspondiente wildcard mask. Recordad que la última línea de una ACL nunca aparece pero siempre es “access-list acl# deny any”. El segundo comando, access-group, asigna la lista de acceso acl# sobre el protocolo IP sobre la interfaz de entrada o de salida donde se ejecuta dicho comando. Ejemplo: Queremos denegar en la interfaz s0 de salida cualquier paquete IP que provenga de la red 10.1.1.0/24. Direcciones R Direcciones internas externas 10.1.1.0/24 e0 s0 198.3.4.0/24 e1 10.1.2.0/24 R# configure terminal R(config)# access-list 1 deny 10.1.1.0 0.0.0.255 R(config)# access-list 1 permit any R(config)# interface s0 R(config-if)# ip access-group 1 out R(config-if)# exit R# show access-lists Primero creamos la lista de acceso con número igual a 1 y denegamos todo el tráfico que venga de la red 10.1.1.0/24. Como la última línea sería denegar todo lo demás (e.g.; la red 10.1.2.0/24), permitimos el resto 2
Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas de direcciones. Aplicamos esta ACL sobre la interfaz de salida s0 porqué si lo hiciésemos sobre la e0 de entrada entonces bloquearíamos los ICMPs de la red 10.1.1.0/24 hacia la red 10.1.2.0/24. 1.2.1. ACLs extendidas Las ACLs extendidas permiten usar tanto las direcciones origen como destino para hacer la comprobación. Además permiten especificar el protocolo sobre el que se quiere hacer la comprobación y en el caso de quesa TCP o UDP especificar el puerto destino. Las listas de acceso extendidas tienen números (acl#) comprendidos entre el 100 y el 199. El comando tiene el siguiente formato: access-list acl# {deny|permit} protocol {@IPsource WildcardMask | host @IPsource | any} {@IPdest WildcardMask | host @IPdest | any} {operador port} ip access-group acl# {in |out} El primer commando, access-list, crea la lista de acceso extendida con número acl# y con condición deniego o permito sobre la dirección IP origen y/o destino especificadas con las correspondientes wildcard masks. Protocol puede ser ip, icmp. tcp, udp, etc. Operador puede ser {lt,gt,eq,neq} (less than, greater than, equal, non equal) y port es un puerto TCP o UDP. Recordad que la última línea de una ACL nunca aparece pero siempre es “access-list acl# deny any any”. Ejemplo: Queremos denegar en la interfaz s0 de salida cualquier paquete ICMP que provenga de la red 10.1.1.0/24 y el acceso a cualquier puerto telnet (puerto 23) por parte de un host de esa red. Direcciones R Direcciones internas externas 10.1.1.0/24 e0 s0 198.3.4.0/24 e1 10.1.2.0/24 R# configure terminal R(config)# access-list 101 deny icmp 10.1.1.0 0.0.0.255 any R(config)# access-list 101 deny tcp 10.1.1.0 0.0.0.255 any eq 23 R(config)# access-list 101 permit any any R(config)# interface s0 R(config-if)# ip access-group 101 out R(config-if)# exit R# show access-lists Primero creamos la lista de acceso extendida 101, denegando el acceso de paquetes ICMP, segundo otra línea denegando el acceso a cualquier host con puerto 23, finalmente permitimos cualquier otro tipo de tráfico. A continuación aplicamos la lista de acceso a la interfaz de salida s0. 2. Sesión de laboratorio La topología del laboratorio es la siguiente: 2 terminales conectados al switch del aula del laboratorio formando la RedA y un terminal conectado al router formando la RedB. 3
Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas RA RB T1 RED B RED D RED A T3 RED C T2 La RedA es la 10.0.X.0/24, la Red B es la 192.5.Y.0/30, la RedB es la 192.6.X.0/24, donde X es el número de PC asignado al terminal Tx e Y es igual a una de las X escogidas. la RedD es la 142.2.X.0/24 donde X es el número de PC asignado al terminal T3. El router RA emula el router de salida de la red principal y el router RB emula el router del ISP. o Configura todos los equipos para que haya conectividad entre ellos (direcciones IP y routing con RIPv2) Queremos proteger la red interna de intrusos. Los servidores públicos estarán situados en la RedC (e.g.; el terminal T2) mientras que la RedA es privada. o Diseña las listas de acceso necesarias para que terminales externos solo puedan acceder a servicios Web y FTP de la red pública, no puedan acceder a la zona privada y los terminales privados tengan acceso a Internet y a los servidores Web y FTP de la zona pública. o Decide donde has de poner las listas de acceso y configura los routers. Puedes poner tantas listas de acceso como creas necesario, pero has de limitarlas al mínimo posible. 4

Empfohlen

Guia 5 3 2015 c2
Guia 5 3 2015 c2Guia 5 3 2015 c2
Guia 5 3 2015 c2erik19borgnia
 
Sql
SqlSql
SqlFabián Alexander Moya
 
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxJose Manuel Mansilla Carrasco
 
netfilter iptables
netfilter iptablesnetfilter iptables
netfilter iptablesJorge Dávila López
 
Lenguaje ensamblador del microprocesador
Lenguaje ensamblador del microprocesadorLenguaje ensamblador del microprocesador
Lenguaje ensamblador del microprocesadorsmfch
 
Comandos redwindows
Comandos redwindowsComandos redwindows
Comandos redwindowsEdgar Aguilar Sánchez
 
Comandos redwindows
Comandos redwindowsComandos redwindows
Comandos redwindowsjoalhunter
 
SolucionDudas_UnidadIII.Funciones
SolucionDudas_UnidadIII.FuncionesSolucionDudas_UnidadIII.Funciones
SolucionDudas_UnidadIII.Funcionesncandolfi
 

Empfohlen

Guia 5 3 2015 c2
Guia 5 3 2015 c2Guia 5 3 2015 c2
Guia 5 3 2015 c2erik19borgnia
 
Sql
SqlSql
SqlFabián Alexander Moya
 
Curso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxCurso de programacion en c++ para microcontroladores pic 16 f87xx
Curso de programacion en c++ para microcontroladores pic 16 f87xxJose Manuel Mansilla Carrasco
 
netfilter iptables
netfilter iptablesnetfilter iptables
netfilter iptablesJorge Dávila López
 
Lenguaje ensamblador del microprocesador
Lenguaje ensamblador del microprocesadorLenguaje ensamblador del microprocesador
Lenguaje ensamblador del microprocesadorsmfch
 
Comandos redwindows
Comandos redwindowsComandos redwindows
Comandos redwindowsEdgar Aguilar Sánchez
 
Comandos redwindows
Comandos redwindowsComandos redwindows
Comandos redwindowsjoalhunter
 
SolucionDudas_UnidadIII.Funciones
SolucionDudas_UnidadIII.FuncionesSolucionDudas_UnidadIII.Funciones
SolucionDudas_UnidadIII.Funcionesncandolfi
 
Sesion09 - Manejo de Excepciones (Oracle)
Sesion09 - Manejo de Excepciones (Oracle)Sesion09 - Manejo de Excepciones (Oracle)
Sesion09 - Manejo de Excepciones (Oracle)José Toro
 
Segundo Laboratorio - Sistemas Digitales I
Segundo Laboratorio - Sistemas Digitales ISegundo Laboratorio - Sistemas Digitales I
Segundo Laboratorio - Sistemas Digitales IAndy Juan Sarango Veliz
 
Sesion07- Estructuras de control (Oracle)
Sesion07- Estructuras de control (Oracle)Sesion07- Estructuras de control (Oracle)
Sesion07- Estructuras de control (Oracle)José Toro
 
Sesion08 - Cursores (Oracle)
Sesion08 - Cursores (Oracle)Sesion08 - Cursores (Oracle)
Sesion08 - Cursores (Oracle)José Toro
 
Sesion06b - Introducción al PL-SQL (Oracle)
Sesion06b - Introducción al PL-SQL (Oracle)Sesion06b - Introducción al PL-SQL (Oracle)
Sesion06b - Introducción al PL-SQL (Oracle)José Toro
 
Charla Mysql
Charla MysqlCharla Mysql
Charla MysqlMatías Alejo Garcia
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat1 2d
 
Tarea final
Tarea finalTarea final
Tarea finaltomas francisco
 
Sesion05 - Manipulacion de datos (Oracle)
Sesion05 - Manipulacion de datos (Oracle)Sesion05 - Manipulacion de datos (Oracle)
Sesion05 - Manipulacion de datos (Oracle)José Toro
 
Electrónica digital: capitulo 5 Circuitos combinacionales MSI
Electrónica digital: capitulo 5 Circuitos combinacionales MSI Electrónica digital: capitulo 5 Circuitos combinacionales MSI
Electrónica digital: capitulo 5 Circuitos combinacionales MSI SANTIAGO PABLO ALBERTO
 
Estadística con Lenguaje R: Sesión Introductoria
Estadística con Lenguaje R: Sesión IntroductoriaEstadística con Lenguaje R: Sesión Introductoria
Estadística con Lenguaje R: Sesión IntroductoriaLuis Fernando Aguas Bucheli
 
Sesión11 - Paquetes (Oracle)
Sesión11 - Paquetes (Oracle)Sesión11 - Paquetes (Oracle)
Sesión11 - Paquetes (Oracle)José Toro
 
Oracle pl sql
Oracle pl sqlOracle pl sql
Oracle pl sqlclaudia_m
 
Problema vliw 2
Problema vliw 2Problema vliw 2
Problema vliw 2Pedro Plopezh
 
Java 8
Java 8Java 8
Java 8BVision
 
Sesion10 - Funciones y procedimientos (Oracle)
Sesion10 - Funciones y procedimientos (Oracle)Sesion10 - Funciones y procedimientos (Oracle)
Sesion10 - Funciones y procedimientos (Oracle)José Toro
 
Examen RyS febrero2007 resuelto
Examen RyS febrero2007 resueltoExamen RyS febrero2007 resuelto
Examen RyS febrero2007 resueltoAlfonso
 
Instrucciones basicas de c++
Instrucciones basicas de c++Instrucciones basicas de c++
Instrucciones basicas de c++Idalia Tristan
 
Acl extendida
Acl extendidaAcl extendida
Acl extendidaadilenejeronimo
 
The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...Brian Solis
 
Open Source Creativity
Open Source CreativityOpen Source Creativity
Open Source CreativitySara Cannon
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)maditabalnco
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sesion09 - Manejo de Excepciones (Oracle)
Sesion09 - Manejo de Excepciones (Oracle)Sesion09 - Manejo de Excepciones (Oracle)
Sesion09 - Manejo de Excepciones (Oracle)José Toro
 
Segundo Laboratorio - Sistemas Digitales I
Segundo Laboratorio - Sistemas Digitales ISegundo Laboratorio - Sistemas Digitales I
Segundo Laboratorio - Sistemas Digitales IAndy Juan Sarango Veliz
 
Sesion07- Estructuras de control (Oracle)
Sesion07- Estructuras de control (Oracle)Sesion07- Estructuras de control (Oracle)
Sesion07- Estructuras de control (Oracle)José Toro
 
Sesion08 - Cursores (Oracle)
Sesion08 - Cursores (Oracle)Sesion08 - Cursores (Oracle)
Sesion08 - Cursores (Oracle)José Toro
 
Sesion06b - Introducción al PL-SQL (Oracle)
Sesion06b - Introducción al PL-SQL (Oracle)Sesion06b - Introducción al PL-SQL (Oracle)
Sesion06b - Introducción al PL-SQL (Oracle)José Toro
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat1 2d
 
Sesion05 - Manipulacion de datos (Oracle)
Sesion05 - Manipulacion de datos (Oracle)Sesion05 - Manipulacion de datos (Oracle)
Sesion05 - Manipulacion de datos (Oracle)José Toro
 
Electrónica digital: capitulo 5 Circuitos combinacionales MSI
Electrónica digital: capitulo 5 Circuitos combinacionales MSI Electrónica digital: capitulo 5 Circuitos combinacionales MSI
Electrónica digital: capitulo 5 Circuitos combinacionales MSI SANTIAGO PABLO ALBERTO
 
Estadística con Lenguaje R: Sesión Introductoria
Estadística con Lenguaje R: Sesión IntroductoriaEstadística con Lenguaje R: Sesión Introductoria
Estadística con Lenguaje R: Sesión IntroductoriaLuis Fernando Aguas Bucheli
 
Sesión11 - Paquetes (Oracle)
Sesión11 - Paquetes (Oracle)Sesión11 - Paquetes (Oracle)
Sesión11 - Paquetes (Oracle)José Toro
 
Oracle pl sql
Oracle pl sqlOracle pl sql
Oracle pl sqlclaudia_m
 
Sesion10 - Funciones y procedimientos (Oracle)
Sesion10 - Funciones y procedimientos (Oracle)Sesion10 - Funciones y procedimientos (Oracle)
Sesion10 - Funciones y procedimientos (Oracle)José Toro
 
Examen RyS febrero2007 resuelto
Examen RyS febrero2007 resueltoExamen RyS febrero2007 resuelto
Examen RyS febrero2007 resueltoAlfonso
 
Instrucciones basicas de c++
Instrucciones basicas de c++Instrucciones basicas de c++
Instrucciones basicas de c++Idalia Tristan
 

Was ist angesagt? (18)

Sesion09 - Manejo de Excepciones (Oracle)
Sesion09 - Manejo de Excepciones (Oracle)Sesion09 - Manejo de Excepciones (Oracle)
Sesion09 - Manejo de Excepciones (Oracle)
 
Segundo Laboratorio - Sistemas Digitales I
Segundo Laboratorio - Sistemas Digitales ISegundo Laboratorio - Sistemas Digitales I
Segundo Laboratorio - Sistemas Digitales I
 
Sesion07- Estructuras de control (Oracle)
Sesion07- Estructuras de control (Oracle)Sesion07- Estructuras de control (Oracle)
Sesion07- Estructuras de control (Oracle)
 
Sesion08 - Cursores (Oracle)
Sesion08 - Cursores (Oracle)Sesion08 - Cursores (Oracle)
Sesion08 - Cursores (Oracle)
 
Sesion06b - Introducción al PL-SQL (Oracle)
Sesion06b - Introducción al PL-SQL (Oracle)Sesion06b - Introducción al PL-SQL (Oracle)
Sesion06b - Introducción al PL-SQL (Oracle)
 
Charla Mysql
Charla MysqlCharla Mysql
Charla Mysql
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat
 
Tarea final
Tarea finalTarea final
Tarea final
 
Sesion05 - Manipulacion de datos (Oracle)
Sesion05 - Manipulacion de datos (Oracle)Sesion05 - Manipulacion de datos (Oracle)
Sesion05 - Manipulacion de datos (Oracle)
 
Electrónica digital: capitulo 5 Circuitos combinacionales MSI
Electrónica digital: capitulo 5 Circuitos combinacionales MSI Electrónica digital: capitulo 5 Circuitos combinacionales MSI
Electrónica digital: capitulo 5 Circuitos combinacionales MSI
 
Estadística con Lenguaje R: Sesión Introductoria
Estadística con Lenguaje R: Sesión IntroductoriaEstadística con Lenguaje R: Sesión Introductoria
Estadística con Lenguaje R: Sesión Introductoria
 
Sesión11 - Paquetes (Oracle)
Sesión11 - Paquetes (Oracle)Sesión11 - Paquetes (Oracle)
Sesión11 - Paquetes (Oracle)
 
Oracle pl sql
Oracle pl sqlOracle pl sql
Oracle pl sql
 
Problema vliw 2
Problema vliw 2Problema vliw 2
Problema vliw 2
 
Java 8
Java 8Java 8
Java 8
 
Sesion10 - Funciones y procedimientos (Oracle)
Sesion10 - Funciones y procedimientos (Oracle)Sesion10 - Funciones y procedimientos (Oracle)
Sesion10 - Funciones y procedimientos (Oracle)
 
Examen RyS febrero2007 resuelto
Examen RyS febrero2007 resueltoExamen RyS febrero2007 resuelto
Examen RyS febrero2007 resuelto
 
Instrucciones basicas de c++
Instrucciones basicas de c++Instrucciones basicas de c++
Instrucciones basicas de c++
 

Andere mochten auch

The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...Brian Solis
 
Open Source Creativity
Open Source CreativityOpen Source Creativity
Open Source CreativitySara Cannon
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)maditabalnco
 
The Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsThe Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsBarry Feldman
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome EconomyHelge Tennø
 

Andere mochten auch (6)

Acl extendida
Acl extendidaAcl extendida
Acl extendida
 
The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...The impact of innovation on travel and tourism industries (World Travel Marke...
The impact of innovation on travel and tourism industries (World Travel Marke...
 
Open Source Creativity
Open Source CreativityOpen Source Creativity
Open Source Creativity
 
Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)Reuters: Pictures of the Year 2016 (Part 2)
Reuters: Pictures of the Year 2016 (Part 2)
 
The Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post FormatsThe Six Highest Performing B2B Blog Post Formats
The Six Highest Performing B2B Blog Post Formats
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome Economy
 

Ähnlich wie Listasde Acceso

Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoJosu Orbe
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ipJAV_999
 
Acl standard
Acl standardAcl standard
Acl standardITEC
 
Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-accesoalfredorata
 
Piam lab-4-ospf-1
Piam lab-4-ospf-1Piam lab-4-ospf-1
Piam lab-4-ospf-1dherym
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidasJAV_999
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeJAV_999
 
Conf ospf
Conf ospfConf ospf
Conf ospf1 2d
 

Ähnlich wie Listasde Acceso (20)

Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_
 
Acls
AclsAcls
Acls
 
Actividad 3: VLAN y ACL
Actividad 3: VLAN y ACLActividad 3: VLAN y ACL
Actividad 3: VLAN y ACL
 
Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de acceso
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ip
 
Acl standard
Acl standardAcl standard
Acl standard
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajo
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptos
 
Acl en windows
Acl en windowsAcl en windows
Acl en windows
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-acceso
 
Guia 7
Guia 7Guia 7
Guia 7
 
Listas de acceso
Listas de accesoListas de acceso
Listas de acceso
 
Piam lab-4-ospf-1
Piam lab-4-ospf-1Piam lab-4-ospf-1
Piam lab-4-ospf-1
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
 
Acls
AclsAcls
Acls
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentemente
 
Acl ejemplos
Acl ejemplosAcl ejemplos
Acl ejemplos
 
Listade Acceso Cisco
Listade Acceso CiscoListade Acceso Cisco
Listade Acceso Cisco
 
Conf ospf
Conf ospfConf ospf
Conf ospf
 
Clase 07
Clase 07Clase 07
Clase 07
 

Kürzlich hochgeladen

Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Kürzlich hochgeladen (15)

Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Listasde Acceso

  • 1. Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas 1. ACLs (Access Lists) Las listas de acceso (ACL) se usan para el filtrado de paquetes en función de ciertos parámetros como pueden ser las direcciones de red origen o destino, los puertos origen o destino, el tipo de protocolo (ip, icmp, tcp, udp, etc). Una de las aplicaciones donde se usan más las listas de acceso es en la seguridad de la red. Con las ACLs se puede bloquear el tráfico no deseado en una interfaz ya sea de salida o de entrada. Sin embargo notad que las ACLs no solo se usan en temas de seguridad, sino que también se usan para filtrar en general paquetes en aplicaciones tan variadas como pueden ser NAT (Network Address Translation), en BGP para filtrar rutas al crear políticas de encaminamiento, etc. Existen ACLs para distintas pilas de protocolos: TCP/IP, IPX/SPX, Apple, etc. En este laboratorio nos centraremos en las ACLs aplicadas a seguridad en la red para la pila de protocolos TCP/IP. La diferencia con las otras pilas de protocolos está en el rango de ACLs que se pueden generar. Por ejemplo las ACLs entre la 1 y la 199 se usan en TCP/IP, mientras que las comprendidas entre la 800 y la 999 se usan para IPX/SPX, otros rangos se usan para DECnet (300-399), XNS (400-599), AppleTalk (600-699), etc. Cuando creamos una lista de acceso y la aplicamos a una interfaz de entrada o de salida, estamos creando una secuencia de instrucciones que son chequeadas cada vez que un paquete entra o sale por esa interfaz. Es importante notar varias características de las ACLs. Primero, que una ACL se aplica a la interfaz ya sea de entrada o de salida. Se pueden crear una ACL para la interfaz de salida y otra distinta para esa interfaz de entrada. Lo segundo, las ACLs son secuencias de instrucciones que son chequeadas contra el paquete. El orden de las instrucciones es importante, ya que cuando una línea de la secuencia da cierta en el chequeo, se toma una acción y se sale de la ACL, es decir no se continua chequeando para comprobar que haya otra línea de la secuencia que también resulta cierta. Por consiguiente es muy importante diseñar la ACL en la secuencia que nos interese más. Por ejemplo no es lo mismo estas dos líneas de un ACL: o Si el paquete es icmp recházalo o Si el paquete es ip acéptalo que la secuencia: o Si el paquete es ip acéptalo o Si el paquete es icmp recházalo Suponed que llegara un paquete ICMP. En el primer caso el paquete se rechazaría ya que la primera línea se cumple, el paquete es ICMP. En el segundo caso el paquete ICMP se aceptaría ya que la primera línea también se cumple, con lo cual ya no se comprobaría la segunda. Otro aspecto importante es que no podemos insertar líneas en la secuencia. Si nos equivocamos al crearla o queremos insertar una línea a a hay que borrar TODA la ACL y volverla a crear. Finalmente, también MUY IMPORTANTE, la última línea de una lista de acceso NUNCA aparece, es decir existe de forma explicita y siempre es DENIEGO TODO. Dentro de las listas de acceso TCP/IP hay dos tipos de ACLs o Listas de acceso IP estándar (1-99) o Listas de acceso IP extendidas (100-199) 1
  • 2. Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas 1.1. Wildcard mask La wildcard mask es una mascara de 32 bits que indica que bits de la dirección IP se tienen que comprobar y cuales no. Si los bits de la máscara están a 0 entonces se comprueban, si están a 1 entonces no se comprueban. Por ejemplo si queremos que un paquete que entra se compruebe si pertenece al host con dirección IP 145.34.5.6, queremos que se comprueben todos los bits de la dirección IP. Eso significa que la wildcard mask sería 0.0.0.0. En este caso se suele sustituir la tupla @IP WildcardMask por host @IP. Por ejemplo la tupla 145.34.5.6 0.0.0.0 se puede expresar como host 145.34.5.6. Sino quisiéramos que no se comprobasen ninguno pondríamos una wildcard mask de 255.255.255.255. en este caso se suele sustituir la tupla @IP WildcardMask por any. Por ejemplo la tupla 145.34.5.6 255.255.255.255 se puede expresar como any. También podemos expresar redes. Por ejemplo para comprobar todos los paquetes de hosts que vengan de la red 145.34.5.0/24. Eso significa que tenemos que comprobar todos los paquetes cuyos primeros 24 bits coincidan con los de la dirección de red. Luego la wildcard mask debería ser 0.0.0.255. 1.2. ACLs estándar Las ACLs estándar solo usan las direcciones origen para hacer la comprobación. Las listas de acceso estándar tienen números (acl#) comprendidos entre el 1 y el 99. El comando tiene el siguiente formato: access-list acl# {deny|permit} {@IPsource WildcardMask | host @IPsource | any} ip access-group acl# {in |out} El primer commando, access-list, crea la lista de acceso con número acl# y con condición deniego o permito sobre la dirección IP origen especificada con la correspondiente wildcard mask. Recordad que la última línea de una ACL nunca aparece pero siempre es “access-list acl# deny any”. El segundo comando, access-group, asigna la lista de acceso acl# sobre el protocolo IP sobre la interfaz de entrada o de salida donde se ejecuta dicho comando. Ejemplo: Queremos denegar en la interfaz s0 de salida cualquier paquete IP que provenga de la red 10.1.1.0/24. Direcciones R Direcciones internas externas 10.1.1.0/24 e0 s0 198.3.4.0/24 e1 10.1.2.0/24 R# configure terminal R(config)# access-list 1 deny 10.1.1.0 0.0.0.255 R(config)# access-list 1 permit any R(config)# interface s0 R(config-if)# ip access-group 1 out R(config-if)# exit R# show access-lists Primero creamos la lista de acceso con número igual a 1 y denegamos todo el tráfico que venga de la red 10.1.1.0/24. Como la última línea sería denegar todo lo demás (e.g.; la red 10.1.2.0/24), permitimos el resto 2
  • 3. Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas de direcciones. Aplicamos esta ACL sobre la interfaz de salida s0 porqué si lo hiciésemos sobre la e0 de entrada entonces bloquearíamos los ICMPs de la red 10.1.1.0/24 hacia la red 10.1.2.0/24. 1.2.1. ACLs extendidas Las ACLs extendidas permiten usar tanto las direcciones origen como destino para hacer la comprobación. Además permiten especificar el protocolo sobre el que se quiere hacer la comprobación y en el caso de quesa TCP o UDP especificar el puerto destino. Las listas de acceso extendidas tienen números (acl#) comprendidos entre el 100 y el 199. El comando tiene el siguiente formato: access-list acl# {deny|permit} protocol {@IPsource WildcardMask | host @IPsource | any} {@IPdest WildcardMask | host @IPdest | any} {operador port} ip access-group acl# {in |out} El primer commando, access-list, crea la lista de acceso extendida con número acl# y con condición deniego o permito sobre la dirección IP origen y/o destino especificadas con las correspondientes wildcard masks. Protocol puede ser ip, icmp. tcp, udp, etc. Operador puede ser {lt,gt,eq,neq} (less than, greater than, equal, non equal) y port es un puerto TCP o UDP. Recordad que la última línea de una ACL nunca aparece pero siempre es “access-list acl# deny any any”. Ejemplo: Queremos denegar en la interfaz s0 de salida cualquier paquete ICMP que provenga de la red 10.1.1.0/24 y el acceso a cualquier puerto telnet (puerto 23) por parte de un host de esa red. Direcciones R Direcciones internas externas 10.1.1.0/24 e0 s0 198.3.4.0/24 e1 10.1.2.0/24 R# configure terminal R(config)# access-list 101 deny icmp 10.1.1.0 0.0.0.255 any R(config)# access-list 101 deny tcp 10.1.1.0 0.0.0.255 any eq 23 R(config)# access-list 101 permit any any R(config)# interface s0 R(config-if)# ip access-group 101 out R(config-if)# exit R# show access-lists Primero creamos la lista de acceso extendida 101, denegando el acceso de paquetes ICMP, segundo otra línea denegando el acceso a cualquier host con puerto 23, finalmente permitimos cualquier otro tipo de tráfico. A continuación aplicamos la lista de acceso a la interfaz de salida s0. 2. Sesión de laboratorio La topología del laboratorio es la siguiente: 2 terminales conectados al switch del aula del laboratorio formando la RedA y un terminal conectado al router formando la RedB. 3
  • 4. Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas RA RB T1 RED B RED D RED A T3 RED C T2 La RedA es la 10.0.X.0/24, la Red B es la 192.5.Y.0/30, la RedB es la 192.6.X.0/24, donde X es el número de PC asignado al terminal Tx e Y es igual a una de las X escogidas. la RedD es la 142.2.X.0/24 donde X es el número de PC asignado al terminal T3. El router RA emula el router de salida de la red principal y el router RB emula el router del ISP. o Configura todos los equipos para que haya conectividad entre ellos (direcciones IP y routing con RIPv2) Queremos proteger la red interna de intrusos. Los servidores públicos estarán situados en la RedC (e.g.; el terminal T2) mientras que la RedA es privada. o Diseña las listas de acceso necesarias para que terminales externos solo puedan acceder a servicios Web y FTP de la red pública, no puedan acceder a la zona privada y los terminales privados tengan acceso a Internet y a los servidores Web y FTP de la zona pública. o Decide donde has de poner las listas de acceso y configura los routers. Puedes poner tantas listas de acceso como creas necesario, pero has de limitarlas al mínimo posible. 4