SlideShare ist ein Scribd-Unternehmen logo

47272592 listas-control-acceso

A
alfredorata
Technologie
1 von 8
Downloaden Sie, um offline zu lesen
GUÍA DE LABORATORIO LISTAS DE CONTROL DE ACCESO Área EEyT
Confeccionado por: Dirección Área Electricidad, Electrónica y Telecomunicaciones Derechos Reservados Titular del Derecho: INACAP N° de inscripción en el Registro de Propiedad Intelectual # __.__de fecha __-__-__. © INACAP 2003.
LISTAS DE CONTROL DE ACCESO (ACL) Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo por otro lado el acceso autorizado. Aunque las herramientas de seguridad, como las contraseñas, equipos de callback y dispositivos de seguridad física son de ayuda, a menudo carecen de la flexibilidad del filtrado básico de tráfico, y los controles específicos que la mayoría de los administradores prefieren. Por ejemplo, un administrador de red puede permitir que los usuarios tengan acceso a Internet, pero puede no considerar conveniente que los usuarios externos hagan telnet a la LAN. Los routers proporcionan capacidades básicas de filtrado de tráfico, como bloqueo del tráfico de Internet, con listas de control de acceso (ACL). Una ACL es una colección secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior. Existen las ACL estándar y extendidas. Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Conceptos previos: En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. La siguiente tabla muestra los identificadores. Tipo de lista de acceso Identificador IP estándar 1-99 IP extendida 100-199 Código del tipo puente 200-299 IPX estándar 800-899 IPX extendido 900-999 IPX SAP 1000-1099 Listas de acceso IP estándar: Las listas de acceso estándar permiten o prohíben paquetes en base a la dirección IP de origen del paquete.
Máscara Wildcard: Las listas de acceso IP estándar y extendidas utilizan una máscara WILDCARD. Al igual que una dirección IP, una máscara wildcard es una cantidad de 32 bits escrita en un formato decimal con puntos. La máscara wildcard le indica al Router qué bits de la dirección usar en las comparaciones. Los bits de direcciones correspondientes a los bits de máscara wildcard establecidos en 1 se ignoran en las comparaciones, mientras que los bits de direcciones de máscara wildcard establecidos en 0 se usan en las comparaciones. Listas de acceso IP extendida: Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estándar, debido a que permiten habilitar filtrado en base a las direcciones de origen y destino del paquete IP. Comandos: A continuación de definen los comandos más utilizados para la creación de listas de acceso. Comando Descripción Access-list-number Identifica la lista a la que pertenece la entrada. Permit / deny Indica si la entrada permite o impide el tráfico a la red especificada. Source Indica la dirección IP de origen. Destination Indica la dirección IP destino. Source-Wildcard Identifica qué bits del campo de Destination-Wildcard dirección deben coincidir. Any Aplicar a todos Show access-list Muestra las listas de acceso de todos lo protocolos
EJEMPLOS Ejemplo de lista de acceso estándar: INTERNET 10.48.0.3 B C D A Workstation Workstation Workstation Workstation 10.51.0.0 Ethernet E0 Router A 10.48.0.0 La configuración de la lista de acceso para el router A: Router(config)#access-list 2 permit 10.48.0.3 Router(config)#access-list 2 deny 10.48.0.0 0.0.255.255 Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255 Router(config)#! (note: all other access implicitly denied) Router(config)#interface Ethernet 0 Router(config)#ip access group 2 in • El host B puede comunicarse con el host A. Está permitido por la primera línea de la lista de acceso, que utiliza una máscara de host implícita. • El host C no puede comunicarse con el host A. El host D está en una subred que esta explícitamente permitida por la tercera línea de la lista de acceso. • El host D puede comunicarse con el host A. El host D esta en una subred que esta explícitamente permitida por la tercera línea de la lista de acceso. • Los usuarios de Internet no pueden comunicarse con el host A. Los usuarios que estén fuera de esta red no están explícitamente permitidos, por lo que son denegados por defecto con el “deny any” implícito al final de la lista de acceso.
Ejemplo de lista de acceso IP extendida: INTERNET Correo DNS FTP 172.22.1.2 172.22.2.0 B Navegador Tower box Tower box Tower box Workstation Workstation S0 172.22.3.0 Ethernet E1 E0 Router B 172.22.1.0 Router A access-list 118 permit tcp any 172.22.0.0 0.0.255.255 eq www established access-list 118 permit tcp any host 172.22.1.2 eq smtp access-list 118 permit udp any any eq dns access-list 118 permit udp 172.22.3.0 0.0.0.255 172.22.1.0 o.0.0.255 eq snmp access-list 118 deny icmp any 172.22.0.0 0.0.255.255 echo access-list 118 permit icmp any any echo reply ! interface Ethernet 0 ip access-group 118 out En el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0 del router A. Esta configuración permite que las respuestas a las consultas del navegador del cliente A en Internet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas). Las consultas mediante navegador desde orígenes externos no son permitidas explícitamente y son descartadas por el deny any implícito del final de la lista de acceso. También permite enviar correo electrónico SMTP exclusivamente al servidor de correo. El servidor está autorizado para resolver peticiones DNS. La subred 172.22.1.0 es controlada por el grupo de administración de red que está ubicado en servidor del cliente B, por lo que las consultas de administración de red SNMP, se les permitirá llegar a estos dispositivos del servidor. Los intentos de hacer un ping a la red corporativa desde afuera de la red de la subred 172.22.3.0 fallarán, ya que la lista de acceso bloquea las peticiones echo. Sin embargo, las respuestas a las peticiones echo generadas desde dentro de la red corporativa serán autorizadas a volver a entrar a la red.
EJERCICIOS 1.- Es necesario realizar el diseño de red LAN para una empresa con múltiples sucursales. Se requiere que cada sucursal tenga dos redes: • Una red para ventas. • Una red para administración. Cada segmento exclusivo de LAN se debe conectar a una puerta Ethernet independiente en el router para brindar servicios a esa LAN. Como parte de la solución de seguridad, se necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN de ventas al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN de ventas. Indique la configuración necesaria en el Router para satisfacer el requerimiento. 2.- Indique la configuración para una lista de acceso IP numerada que detenga los paquetes provenientes de la subred 134.141.7.0, 255.255.255.0, aplicada en una interfaz serial 0 de un Router. Permita que todos los demás paquetes pasen. 3.- Indique la configuración para una lista de acceso IP que permita solamente paquetes de las subredes 193.7.6.48/28 a la 193.7.6.128/28, que son enviados al servidor Web de la subred 128.1.0.0, en la puerta serial 0 de algún Router. 4.- Indique la configuración para una lista de acceso IP que detenga los paquetes desde la subred 10.3.4.0/24, a cualquier servidor Web, aplicada en la salida de una interfaz serial 0 de algún Router. También detenga los paquetes del host 134.141.5.4 de entrada en la interfaz serial 0. Permita cualquier otro tráfico. 5.- Indique una máscara Wildcard para poder hacer Match al grupo de subredes que van desde la 115.10.12.0/22 hasta la 115.10.64.0/22 6.- Indique la máscara wildcard necesaria para filtrar 15 host de la subred 200.10.8.96/27, partiendo del host 200.10.8.103/27 hasta el host 200.10.8.117/27. 7.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 10.0.0.0/15) Access-list 53 deny 10.0.0.0 0.7.255.255 Access-list 53 permit any 8.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 125.8.0.0/25) Access-list 36 permit host 125.8.7.11 Access-list 36 deny 125.8.7.8 0.0.0.7 Access-list 36 permit any
9.- Cree Una lista de acceso y colóquela en la ubicación adecuada para satisfacer los siguientes requisitos. Impedir que todos los host de la subred 172.16.1.0/24, a excepción del host 172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todos los demás host, incluyendo los del mundo exterior, accedan al servidor Web. NO 172.16.0.0 B 172.16.1.4 172.16.1.3 Workstation Workstation Workstation S0 172.22.3.0 Ethernet E1 E0 E1 E0 172.16.1.0 Router B Router A 172.16.2.0 172.16.4.0 Workstation Tower box Tower box Tower box DNS FTP www cliente 4.2 4.3 4.4 4.5

Empfohlen

Listas de Control de Acceso
Listas de Control de AccesoListas de Control de Acceso
Listas de Control de AccesoAlexx Campos
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoJosu Orbe
 
Acl
AclAcl
AclRicardo Anchante
 
Acls
AclsAcls
AclsErwinn Plaza
 
Acl estandar
Acl estandarAcl estandar
Acl estandar88palacios
 
Cómo funcionan las acl en cisco
Cómo funcionan las acl en ciscoCómo funcionan las acl en cisco
Cómo funcionan las acl en ciscofitopia
 
Listas de acceso
Listas de accesoListas de acceso
Listas de accesoLeonoa Brises Sixtos
 

Empfohlen

Listas de Control de Acceso
Listas de Control de AccesoListas de Control de Acceso
Listas de Control de AccesoAlexx Campos
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoJosu Orbe
 
Acl
AclAcl
AclRicardo Anchante
 
Acls
AclsAcls
AclsErwinn Plaza
 
Acl estandar
Acl estandarAcl estandar
Acl estandar88palacios
 
Cómo funcionan las acl en cisco
Cómo funcionan las acl en ciscoCómo funcionan las acl en cisco
Cómo funcionan las acl en ciscofitopia
 
Listas de acceso
Listas de accesoListas de acceso
Listas de accesoLeonoa Brises Sixtos
 
Acl extendida
Acl extendidaAcl extendida
Acl extendidaadilenejeronimo
 
Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAYimy Pérez Medina
 
Guia 7
Guia 7Guia 7
Guia 7Marvin Navarro
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ipJAV_999
 
Reglas acl
Reglas aclReglas acl
Reglas aclSandra Sotelo
 
Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ipJuan Quijano
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeJAV_999
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptosYoel Rivera Gonzalez
 
Acl
AclAcl
AclANALI GOMEZ
 
Comandos msdos
Comandos msdosComandos msdos
Comandos msdosgemasoto
 
Actividad 3: VLAN y ACL
Actividad 3: VLAN y ACLActividad 3: VLAN y ACL
Actividad 3: VLAN y ACLVanessa Estefania Corredor Andrade
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACLDavid Narváez
 
Clase 07
Clase 07Clase 07
Clase 07Titiushko Jazz
 
2. vlan enrutamiento (1)
2. vlan enrutamiento (1)2. vlan enrutamiento (1)
2. vlan enrutamiento (1)LUKITO07
 
La capa de aplicación
La capa de aplicaciónLa capa de aplicación
La capa de aplicaciónJuan Alvarez
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajoJairo Rosas
 
Configuracion de interfaces
Configuracion de interfacesConfiguracion de interfaces
Configuracion de interfacessantiagocriollo10119
 
Acls
AclsAcls
AclsSergio ChEco
 
Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
cip_direc_2.ppt
cip_direc_2.pptcip_direc_2.ppt
cip_direc_2.pptrigoZarate2
 
Documentación ACL - Firewall ASA
Documentación ACL - Firewall ASADocumentación ACL - Firewall ASA
Documentación ACL - Firewall ASAcyberleon95
 
Acl ejemplos
Acl ejemplosAcl ejemplos
Acl ejemplosestiven gallego castaño
 

Weitere ähnliche Inhalte

Was ist angesagt?

Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAYimy Pérez Medina
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ipJAV_999
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeJAV_999
 
Comandos msdos
Comandos msdosComandos msdos
Comandos msdosgemasoto
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACLDavid Narváez
 
2. vlan enrutamiento (1)
2. vlan enrutamiento (1)2. vlan enrutamiento (1)
2. vlan enrutamiento (1)LUKITO07
 
La capa de aplicación
La capa de aplicaciónLa capa de aplicación
La capa de aplicaciónJuan Alvarez
 

Was ist angesagt? (18)

Acl extendida
Acl extendidaAcl extendida
Acl extendida
 
Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASA
 
Guia 7
Guia 7Guia 7
Guia 7
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ip
 
Reglas acl
Reglas aclReglas acl
Reglas acl
 
Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ip
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentemente
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptos
 
Acl
AclAcl
Acl
 
Comandos msdos
Comandos msdosComandos msdos
Comandos msdos
 
Actividad 3: VLAN y ACL
Actividad 3: VLAN y ACLActividad 3: VLAN y ACL
Actividad 3: VLAN y ACL
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL
 
Clase 07
Clase 07Clase 07
Clase 07
 
2. vlan enrutamiento (1)
2. vlan enrutamiento (1)2. vlan enrutamiento (1)
2. vlan enrutamiento (1)
 
La capa de aplicación
La capa de aplicaciónLa capa de aplicación
La capa de aplicación
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajo
 
Configuracion de interfaces
Configuracion de interfacesConfiguracion de interfaces
Configuracion de interfaces
 
Acls
AclsAcls
Acls
 

Ähnlich wie 47272592 listas-control-acceso

Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
Documentación ACL - Firewall ASA
Documentación ACL - Firewall ASADocumentación ACL - Firewall ASA
Documentación ACL - Firewall ASAcyberleon95
 
Comandos del router
Comandos del routerComandos del router
Comandos del routerelenacediel
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Cisco4
Cisco4Cisco4
Cisco41 2d
 
Cisco4
Cisco4Cisco4
Cisco41 2d
 
Prueba preliminar ccna3
Prueba preliminar ccna3Prueba preliminar ccna3
Prueba preliminar ccna3Oriel Mojica
 
Clase20
Clase20Clase20
Clase201 2d
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p11 2d
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxManuelAlejandroUlloa3
 
Protocolos de red
Protocolos de redProtocolos de red
Protocolos de redzixx18
 
Direccion ip dispositivo
Direccion ip dispositivoDireccion ip dispositivo
Direccion ip dispositivoSosa Torres
 
Capa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALESCapa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALESArlys Cr
 
CURSO BÁSICO DE REDES ETHERNET.pptx
CURSO BÁSICO DE REDES ETHERNET.pptxCURSO BÁSICO DE REDES ETHERNET.pptx
CURSO BÁSICO DE REDES ETHERNET.pptxZnamNiuqaoJ
 

Ähnlich wie 47272592 listas-control-acceso (20)

Acl en windows
Acl en windowsAcl en windows
Acl en windows
 
cip_direc_2.ppt
cip_direc_2.pptcip_direc_2.ppt
cip_direc_2.ppt
 
Documentación ACL - Firewall ASA
Documentación ACL - Firewall ASADocumentación ACL - Firewall ASA
Documentación ACL - Firewall ASA
 
Acl ejemplos
Acl ejemplosAcl ejemplos
Acl ejemplos
 
Comandos del router
Comandos del routerComandos del router
Comandos del router
 
Pdf
PdfPdf
Pdf
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Cisco4
Cisco4Cisco4
Cisco4
 
Cisco4
Cisco4Cisco4
Cisco4
 
Prueba preliminar ccna3
Prueba preliminar ccna3Prueba preliminar ccna3
Prueba preliminar ccna3
 
Clase20
Clase20Clase20
Clase20
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p1
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
 
Protocolos de red
Protocolos de redProtocolos de red
Protocolos de red
 
Modelo TCP/IP.pdf
Modelo TCP/IP.pdfModelo TCP/IP.pdf
Modelo TCP/IP.pdf
 
Protocolo tcp
Protocolo tcpProtocolo tcp
Protocolo tcp
 
Direccion ip dispositivo
Direccion ip dispositivoDireccion ip dispositivo
Direccion ip dispositivo
 
Capa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALESCapa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALES
 
CURSO BÁSICO DE REDES ETHERNET.pptx
CURSO BÁSICO DE REDES ETHERNET.pptxCURSO BÁSICO DE REDES ETHERNET.pptx
CURSO BÁSICO DE REDES ETHERNET.pptx
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptx
 

Kürzlich hochgeladen

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 

Kürzlich hochgeladen (11)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

47272592 listas-control-acceso

  • 1. GUÍA DE LABORATORIO LISTAS DE CONTROL DE ACCESO Área EEyT
  • 2. Confeccionado por: Dirección Área Electricidad, Electrónica y Telecomunicaciones Derechos Reservados Titular del Derecho: INACAP N° de inscripción en el Registro de Propiedad Intelectual # __.__de fecha __-__-__. © INACAP 2003.
  • 3. LISTAS DE CONTROL DE ACCESO (ACL) Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo por otro lado el acceso autorizado. Aunque las herramientas de seguridad, como las contraseñas, equipos de callback y dispositivos de seguridad física son de ayuda, a menudo carecen de la flexibilidad del filtrado básico de tráfico, y los controles específicos que la mayoría de los administradores prefieren. Por ejemplo, un administrador de red puede permitir que los usuarios tengan acceso a Internet, pero puede no considerar conveniente que los usuarios externos hagan telnet a la LAN. Los routers proporcionan capacidades básicas de filtrado de tráfico, como bloqueo del tráfico de Internet, con listas de control de acceso (ACL). Una ACL es una colección secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior. Existen las ACL estándar y extendidas. Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Conceptos previos: En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. La siguiente tabla muestra los identificadores. Tipo de lista de acceso Identificador IP estándar 1-99 IP extendida 100-199 Código del tipo puente 200-299 IPX estándar 800-899 IPX extendido 900-999 IPX SAP 1000-1099 Listas de acceso IP estándar: Las listas de acceso estándar permiten o prohíben paquetes en base a la dirección IP de origen del paquete.
  • 4. Máscara Wildcard: Las listas de acceso IP estándar y extendidas utilizan una máscara WILDCARD. Al igual que una dirección IP, una máscara wildcard es una cantidad de 32 bits escrita en un formato decimal con puntos. La máscara wildcard le indica al Router qué bits de la dirección usar en las comparaciones. Los bits de direcciones correspondientes a los bits de máscara wildcard establecidos en 1 se ignoran en las comparaciones, mientras que los bits de direcciones de máscara wildcard establecidos en 0 se usan en las comparaciones. Listas de acceso IP extendida: Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estándar, debido a que permiten habilitar filtrado en base a las direcciones de origen y destino del paquete IP. Comandos: A continuación de definen los comandos más utilizados para la creación de listas de acceso. Comando Descripción Access-list-number Identifica la lista a la que pertenece la entrada. Permit / deny Indica si la entrada permite o impide el tráfico a la red especificada. Source Indica la dirección IP de origen. Destination Indica la dirección IP destino. Source-Wildcard Identifica qué bits del campo de Destination-Wildcard dirección deben coincidir. Any Aplicar a todos Show access-list Muestra las listas de acceso de todos lo protocolos
  • 5. EJEMPLOS Ejemplo de lista de acceso estándar: INTERNET 10.48.0.3 B C D A Workstation Workstation Workstation Workstation 10.51.0.0 Ethernet E0 Router A 10.48.0.0 La configuración de la lista de acceso para el router A: Router(config)#access-list 2 permit 10.48.0.3 Router(config)#access-list 2 deny 10.48.0.0 0.0.255.255 Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255 Router(config)#! (note: all other access implicitly denied) Router(config)#interface Ethernet 0 Router(config)#ip access group 2 in • El host B puede comunicarse con el host A. Está permitido por la primera línea de la lista de acceso, que utiliza una máscara de host implícita. • El host C no puede comunicarse con el host A. El host D está en una subred que esta explícitamente permitida por la tercera línea de la lista de acceso. • El host D puede comunicarse con el host A. El host D esta en una subred que esta explícitamente permitida por la tercera línea de la lista de acceso. • Los usuarios de Internet no pueden comunicarse con el host A. Los usuarios que estén fuera de esta red no están explícitamente permitidos, por lo que son denegados por defecto con el “deny any” implícito al final de la lista de acceso.
  • 6. Ejemplo de lista de acceso IP extendida: INTERNET Correo DNS FTP 172.22.1.2 172.22.2.0 B Navegador Tower box Tower box Tower box Workstation Workstation S0 172.22.3.0 Ethernet E1 E0 Router B 172.22.1.0 Router A access-list 118 permit tcp any 172.22.0.0 0.0.255.255 eq www established access-list 118 permit tcp any host 172.22.1.2 eq smtp access-list 118 permit udp any any eq dns access-list 118 permit udp 172.22.3.0 0.0.0.255 172.22.1.0 o.0.0.255 eq snmp access-list 118 deny icmp any 172.22.0.0 0.0.255.255 echo access-list 118 permit icmp any any echo reply ! interface Ethernet 0 ip access-group 118 out En el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0 del router A. Esta configuración permite que las respuestas a las consultas del navegador del cliente A en Internet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas). Las consultas mediante navegador desde orígenes externos no son permitidas explícitamente y son descartadas por el deny any implícito del final de la lista de acceso. También permite enviar correo electrónico SMTP exclusivamente al servidor de correo. El servidor está autorizado para resolver peticiones DNS. La subred 172.22.1.0 es controlada por el grupo de administración de red que está ubicado en servidor del cliente B, por lo que las consultas de administración de red SNMP, se les permitirá llegar a estos dispositivos del servidor. Los intentos de hacer un ping a la red corporativa desde afuera de la red de la subred 172.22.3.0 fallarán, ya que la lista de acceso bloquea las peticiones echo. Sin embargo, las respuestas a las peticiones echo generadas desde dentro de la red corporativa serán autorizadas a volver a entrar a la red.
  • 7. EJERCICIOS 1.- Es necesario realizar el diseño de red LAN para una empresa con múltiples sucursales. Se requiere que cada sucursal tenga dos redes: • Una red para ventas. • Una red para administración. Cada segmento exclusivo de LAN se debe conectar a una puerta Ethernet independiente en el router para brindar servicios a esa LAN. Como parte de la solución de seguridad, se necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN de ventas al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN de ventas. Indique la configuración necesaria en el Router para satisfacer el requerimiento. 2.- Indique la configuración para una lista de acceso IP numerada que detenga los paquetes provenientes de la subred 134.141.7.0, 255.255.255.0, aplicada en una interfaz serial 0 de un Router. Permita que todos los demás paquetes pasen. 3.- Indique la configuración para una lista de acceso IP que permita solamente paquetes de las subredes 193.7.6.48/28 a la 193.7.6.128/28, que son enviados al servidor Web de la subred 128.1.0.0, en la puerta serial 0 de algún Router. 4.- Indique la configuración para una lista de acceso IP que detenga los paquetes desde la subred 10.3.4.0/24, a cualquier servidor Web, aplicada en la salida de una interfaz serial 0 de algún Router. También detenga los paquetes del host 134.141.5.4 de entrada en la interfaz serial 0. Permita cualquier otro tráfico. 5.- Indique una máscara Wildcard para poder hacer Match al grupo de subredes que van desde la 115.10.12.0/22 hasta la 115.10.64.0/22 6.- Indique la máscara wildcard necesaria para filtrar 15 host de la subred 200.10.8.96/27, partiendo del host 200.10.8.103/27 hasta el host 200.10.8.117/27. 7.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 10.0.0.0/15) Access-list 53 deny 10.0.0.0 0.7.255.255 Access-list 53 permit any 8.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 125.8.0.0/25) Access-list 36 permit host 125.8.7.11 Access-list 36 deny 125.8.7.8 0.0.0.7 Access-list 36 permit any
  • 8. 9.- Cree Una lista de acceso y colóquela en la ubicación adecuada para satisfacer los siguientes requisitos. Impedir que todos los host de la subred 172.16.1.0/24, a excepción del host 172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todos los demás host, incluyendo los del mundo exterior, accedan al servidor Web. NO 172.16.0.0 B 172.16.1.4 172.16.1.3 Workstation Workstation Workstation S0 172.22.3.0 Ethernet E1 E0 E1 E0 172.16.1.0 Router B Router A 172.16.2.0 172.16.4.0 Workstation Tower box Tower box Tower box DNS FTP www cliente 4.2 4.3 4.4 4.5