Datos del Profesor:Ing. Jess Vlchez SandovalCIP 129615email:javs2112@gmail.com http://jesusvilchez.wordpress.commvil: (51)99 407*1449 / (51)9 9368 0094Bienvenidos al CursoACCESS LISTS1Ing. Jess Vlchez SandovalSeguridadACLsBasado en el curso de certificacin CCNA2IntroduccinFundamentosConfigurando una ACL estndarConfigurando una ACL extendidaPreguntas

Contenido

Copyright Ing. Jess Vlchez, 2012 Derechos Reservados

3ObjetivosComprender para que sirven las ACLsAprender cmo se usan las ACL para asegurar la red de una sucursal de una empresa medianaComprender como implementar un firewall dentro del routerConfigurar las ACL estndar en la red de una sucursal de una empresa medianaConfigurar las ACL extendidas en la red de una sucursal de una empresa medianaIntroduccin1 5Seguridad en la RedLos diseadores de red utilizan firewalls para proteger las redes contra el uso no autorizado. Los firewalls son soluciones de hardware o software que hacen cumplir las polticas de seguridad de la red.

Los firewalls filtran el ingreso a la red de los paquetes no autorizados o potencialmente peligrosos. En un router Cisco, puede configurar un simple firewall que proporcione capacidades bsicas de filtrado de trfico mediante las ACL. 2Fundamentos 7Las listas de acceso se aplican en las interfaces del router.Una lista de Acceso es una serie secuencial de comandos o filtros.Estas listas indican al router, que tipo de paquete debe aceptar o rechazar.Esta aceptacin y rechazo pueden basarse en condiciones especificas.Que son las ACLs?

8El router examina cada paquete para decidir si lo deja pasar o si lo elimina, basado en las condiciones de las ACLs.Criterios de las ACLs10Opciones para una lista de accesoFiltrado de trafico en un router mediante ACL

Una Lista por Interfaz, por direccin y por protocoloCon 2 Interfaces y 3 protocolos en ejecucin, este router puede tener una cantidad total de 12 ACL distintas, aplicadas.Las tres opciones para utilizar una ACLSolo se puede tener una ACL por protocolo, por interfaz y por direccin.Una ACL por protocolo (p.e. IP, IPX)Una ACL por Interfaz (por ejemplo Fastethernet 0/0)Una ACL por direccin (Es decir, entrada o salida)IPIpxAppleTalkIPIpxAppleTalkININOUTOUT11Una Lista de Acceso es un grupo de sentencias que definen si un mensaje es aceptado o rechazado por el router, ya sea ingresando o saliendo de sus interfaces.Las Listas de Acceso operan en orden secuencial y lgico.Si una condicin de coincidencia es verdadera, el paquete es permitido o denegado y el resto de ACLs no son revisadas.Si todas las sentencias no han coincidido, una sentencia implcita deny any es localizada por defecto al final de la lista (no es visible).Al inicio cuando estamos aprendiendo como crear ACLs, es una buena idea aadir un deny any de forma explicita para reforzar la presencia dinmica de la lnea de comando.Importante listas de acceso12Lista de Acceso de Entrada: Los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida.

Como trabajan las Access List?Comparar con la primera pruebaComparar con la siguiente pruebaComparar con la ultima pruebaPermitirO DenegarsisisinonodenegarPermitir

noINDenegacin implcitaACL?sino(a la int dest.)

mensaje13mensaje

Como trabajan las Access List?Lista de Acceso de Salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a travs de la ACL de salida.OUTEntrada de Tabla de enrutamientoACL?Elegir la Interfaz de salidaProbar las sentencias de ACLPermitir?

PermitirO DenegardenegarsinosinoPermitir(a la int dest.)14Recordando:Las listas de acceso trabajan en orden secuencial y lgico.Evalan los paquetes de arriba hacia abajo Una vez que una sentencia de la lista de control de acceso tiene una coincidencia, el paquete salta el resto de sentencias.Si una coincidencia es verdadera, el paquete es denegado o permitido.Solo puede existir una acces list por protocolo y por interfazExiste una regla deny any implcita al final de cada lista.Las ACLs no bloquean los paquetes que se originan dentro del router (ejemplo ping, telnet, etc)Como trabajan las Access List?15ACL tipo Estndar

Estas listas solo permiten filtrar la direccin IP OrigenEstas listas deben colocarse los mas cerca posible al destinoTipos de ACLsRouter(config)# access-list 10 permit 192.168.30.0 0.0.0.25516ACL tipo ExtendidaPuede Filtrar:

Direccin IP OrigenDireccin IP DestinoProtocolo (ICMP, TCP, UDP) Numero de Puerto (Telnet 23, http 80, etc.)Y otros parmetros

Tipos de ACLsRouter(config)# access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 8017ACL tipo NombradasAsigna un nombre al proporcionar el nombre de la ACL:

Los nombres pueden ser alfanumricosSe sugiere usar nombres en MAYSCULASLos nombres no pueden contener espacios ni signos de puntuacin y deben comenzar con una letra.Puede agregar o borrar entradas de la ACL

Tipos de ACLs18Intervalos

19La mascara wilcard permite saber cuantos y que bits de la direccin IP (origen o destino) un paquete, necesitan coincidir para que la condicin de como resultado verdadero.La mascara silcard es un numero de 32 bits dividido en 4 octetos y representado en formato decimal.La wilcard es comparada con una direccin IP.La mascara wilcard no tiene ninguna relacin funcional con la mascara de subred.La mascara wilcard es designada para filtrar de manera individual o grupos de direcciones IP permitiendo o denegando el acceso a los recursos de la red, basndose en la direccin IP.

WILCARD MASK20Las mscaras wildcard y mscaras de subred difieren en la forma en la que concuerdan sus unos y ceros binarios. Las mscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros binarios.

Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccinWILCARD MASK21Ejemplos con la WILCARD MASK

22Determinar la ip y su mascara wilcard para las siguientes redes:

192.168.10.0192.168.11.0

access-list 10 permit 192.168.10.0 0.0.3.255

Ejercicios con la WILCARD MASK23Determinar la ip y su mascara wilcard para las siguientes redes:

192.168.16.0192.168.31.0

access-list 10 permit 192.168.16.0 0.0.15.255

Ejercicios con la WILCARD MASK24Palabras clave any y host

25Comentarios remark

Puede usar la palabra clave remark para incluir comentarios (observaciones) sobre entradas en cualquier ACL IP estndar o extendida. Las observaciones facilitan la comprensin y el anlisis de la ACL. Cada lnea de observacin est limitada a 100 caracteres.26 3Configuracin ACL Estndar 27Configuracin de ACL Estndar en 2 pasos Paso 1:(config)# access-list access-list-number {permit | deny} {test-conditions}

Paso 2:(config-if)# {protocol} access-group access-list-number {in | out}

Recomendacin:

Ubique las ACL estndar lo mas cerca posible del destino

Sintaxis:

28Configuracin ACL Estndar Ejemplo 1

Administracin VentasIngeniera Tarea:Permitir Solo al host 172.16.30.2 salir de la red Ventas.Denegar a todos los otros hosts en la red Ventas de abandonar la red 172.16.30.0/24172.16.20.0/24172.16.40.0/24172.16.10.0/24172.16.30.0/24172.16.50.0/24.2.2.2.2.2.3.3.3.1.1.1.1.1RARBRCDonde deberamos aplicar la lista de acceso.

RouterB(config)#access-list 10 permit 172.16.30.2 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in 29Configuracin ACL Estndar Ejemplo 2

Administracin VentasIngeniera Tarea:Permitir a los hosts 172.16.30.2, .3, .4 y .5, salir de la red Ventas.Denegar a todos los otros hosts en la red Ventas de abandonar la red 172.16.30.0/24172.16.20.0/24172.16.40.0/24172.16.10.0/24172.16.30.0/24172.16.50.0/24.2.2.2.2.2.3.3.3.1.1.1.1.1RARBRCPara remover una lista usar el comando no access-list y no ip access-group 10 in por ejemplo.

RouterB(config)#access-list 10 permit 172.16.30.2 0.0.0.0 RouterB(config)#access-list 10 permit 172.16.30.3 0.0.0.0 RouterB(config)#access-list 10 permit 172.16.30.4 0.0.0.0 RouterB(config)#access-list 10 permit 172.16.30.5 0.0.0.0 Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in 30Configuracin ACL Estndar Ejemplo 3

Administracin VentasIngeniera Tarea:Denegar solo al host 172.16.30.2 salir de la red Ventas.Permitir a todos los otros hosts en la red Ventas de abandonar la red 172.16.30.0/24172.16.20.0/24172.16.40.0/24172.16.10.0/24172.16.30.0/24172.16.50.0/24.2.2.2.2.2.3.3.3.1.1.1.1.1RARBRCUsar la palabra clave any para representar todas las direcciones IP. EL ORDEN IMPORTA!

RouterB(config)#access-list 10 deny 172.16.30.2 0.0.0.0 RouterB(config)#access-list 10 permit any Implicit deny any -do not need to add this, discussed later RouterB(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterB(config)# interface e 0 RouterB(config-if)# ip access-group 10 in 31NOTA IMPORTANTERecordando:Cuando una lista de acceso es aplicada en una interfaz en direccin inbound los paquetes son revisados contra la lista de acceso antes que el proceso de bsqueda en la tabla de rutas ocurra.

Mientras que, cuando la lista de acceso es aplicada en una interfaz con direccin outbound los paquetes son revisador luego del proceso de bsqueda y se lleva a cabo en la interfaz de salida determinada.

Por lo tanto:Al filtrar un paquete inbound; una vez que un paquete es denegado por una ACL, el router enva un mensaje ICMP Destination Unreachable con un valor de cdigo Administratively Prohibited al origen.32Usando Lista de Acceso para controlas acceso va vty

Puede controlar la estacin de trabajo o red administrativa que administra su router con una ACL y una sentencia access-class a sus lneas VTY.33Monitoreo de ACLs

34Monitoreo de ACLsRouter#show ip interfaceFastEthernet0/0 is up, line protocol is downInternet address is 192.168.1.1/24Broadcast address is 255.255.255.255MTU is 1500 bytesHelper address is not setDirected broadcast forwarding lS disabledOutgoing access list is not setInbound access list is 2

Serial0/0 is down, line protocol is downInternet address is 200.200.2.1/24Broadcast address is 255.255.255.255MTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledOutgoing access list is not setInbound access list is 10135Monitoreo de ACLs

36Configuracin ACL Extendida4 37ACL ExtendidaPara lograr un control ms preciso del filtrado del trfico, puede usar ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. A las ACL extendidas tambin se les puede asignar un nombre.

Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque proporcionan un mayor control y, por lo tanto, complementan su solucin de seguridad.38ACL Extendida

39Configurando ACL Extendida

40Aplicando ACL Extendida

41Ejemplo ACL Extendida Denegar FTP

42Ejemplo ACL Extendida Denegar Telnet

43

Configuracin ACL Extendida Ejercicio 1

Administracin VentasIngeniera Tarea:Se desea que Router A permita trfico desde la estacin de trabajo 172.16.50.2 de la red ingeniera y sea capaz de acceder al servidor web en la red administracin con la direccin IP 172.16.10.2 y la direccin de puerto 80. El resto de trafico es denegado.172.16.20.0/24172.16.40.0/24172.16.10.0/24172.16.30.0/24172.16.50.0/24.2.2.2.2.2.3.3.3.1.1.1.1.1RARBRCRouterA(config)#access-list 110 permit tcp host 172.16.50.2 host 172.16.10.2 eq 80 RouterA(config)#inter e 0 RouterA(config-if)#ip access-group 110 out 44

Configuracin ACL Extendida Ejercicio 2

Administracin VentasIngeniera Tarea:Se desea que Router A permita a cualquier estacin dentro de la red Ventas sea capaz de acceder al servidor web en la red Administracin con la direccin IP 172.16.10.2 y la direccin de puerto 80. Todo el otro trafico es denegado.172.16.20.0/24172.16.40.0/24172.16.10.0/24172.16.30.0/24172.16.50.0/24.2.2.2.2.2.3.3.3.1.1.1.1.1RARBRCRouterA(config)#access-list 110 permit tcp 172.16.30.0 0.0.0.255 host 172.16.10.2 eq 80 RouterA(config)#inter e 0 RouterA(config-if)#ip access-group 110 out 45 ?Preguntas 46REDES TELEMATICAS

FIN SESION47