Acl Estandar y Estendida

download Acl Estandar y Estendida

of 42

Transcript of Acl Estandar y Estendida

Listas de Control de Acceso (ACL)

Qu son las ACLACLs:Condiciones aplicadas al trfico que viaja a travs de la interfaz del router. Indican al router qu tipo de paquetes aceptar o rechazar basndose en condiciones especficas. Permiten la administracin del trfico y aseguran el acceso hacia y desde una red. Se puede crear en todos los protocolos de red enrutados: IP, IPX ... Se pueden configurar en el router para controlar el acceso a una red o subred.

Qu son las ACLLas ACL se definen segn el protocolo, la direccin o el puerto. Para controlar el flujo de trfico en una interfaz:Se debe definir ACL para cada protocolo enrutado habilitado Se necesita crear ACLs por separado para cada direccin del trfico, una para el trfico entrante y otra para el saliente.

Qu son las ACLRazones para crear ACLs:Limitar el trfico de red y mejorar el rendimiento de la red: Por ejemplo, restriccin de video Brindar control de flujo de trfico. P.e: restringir el envo de actualizaciones de enrutamiento. Proporcionar nivel bsico de seguridad para el acceso a la red.

Si ACL no estn configuradas en el router:Todos los paquetes tendrn acceso a todas las partes de la red.

Funcionamiento de las ACL

siguiente

Tipos de ACLs

Tipos de ACLs

ACL EstndarVerifican direccin origen de los paquetes IP. Permiten o rechazan el acceso a todo un conjunto de protocolos, segn las direcciones de red, subred o host origen Las ACL estndar no especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino.

Creacin de ACLs Estndar1. Ingresar al modo de configuracin global. Router(config)# 2. Decidir nmero de la ACL que identifique que es estndar (1-99 o 1300-1999) 3. Ingresar sentencias de ACL utilizando comando access-list, con los parmetros necesarios.Router(config)#access-list nmero-lista {deny | permit | remark} direccin-origen [wildcard ] [log]

Mscara Wilcard.Cantidad de 32-bits: cuatro octetos de 1s y 0s. Se compara contra una direccin IP. 1 y 0 identifican cmo tratar los bits de la direccin IP0: Comprueba el valor del bit correspondiente 1: Ignora ignora el valor del bit correspondiente

1s y 0s filtran direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos segn el valor de las mismas. Ejemplo:

Mscara Wilcard.128 64 32 16 8 0 0 0 1 1 0 0 0 1 1 0 1 0 1 1 0 1 0 1 1 0 1 1 1 1 4 0 1 1 1 1 2 0 1 1 0 1 1Valor de direccin y posicin en el octeto de cada bit Ejemplos

0 = 1 = 1 = 0 = 1 =

Comprobar todos los bits de direccin Ignorar los ltimos 6 bits de direccin Ignorar los ltimos 4 bits de direccin Comprobar los ltimos 2 bits de direccin No Comprobar la direccin (ignorar los bits del octeto

Mscara Wilcard.Access-list 1 permit 172.16.0.0 0.0.255.2551 01 011 00 0 00 100 00 0 00 000 00 0 00 000 00 0 00 000 00 0 00 000 00 1 11 111 11 1 11 111 11 1 01 011 00 0 00 100 00

Paquete entrante: 172.18.4.21 01 011 00 0 00 100 10 0 00 001 00 0 00 000 10 1 0 1 0 1 10 0 0 0 0 1 0 0 1 0

Paquete descartado

Mscara Wilcard.Palabras claves especiales utilizadas en las ACL: Any:Reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por 255.255.255.255. Esta opcin concuerda con cualquier direccin con la que se la compare.

Host:Reemplaza la mscara 0.0.0.0. Esta mscara necesita todos los bits de la direccin ACL y la concordancia de direccin del paquete. Esta opcin slo concuerda con una direccin.

Creacin de ACLs EstndarRemark:Similar a un comentario Facilita entendimiento de la ACL. Limitado a 100 caracteres.

access-list 1 remark Permit only Jones workstation access-list 1 permit 171.69.2.88

Creacin de ACLs Estndar4. Asignar la lista a la interfaz apropiada:Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la ACLEntrante: filtra el trfico que entra por una interfaz Saliente: filtra el trfico que sale por una interfaz Para decidir si ACL es entrante o saliente, mire las interfaces como si se observara desde dentro del router

Creacin de ACLs EstndarRouter(config)#ip access-group {nmero-listaacceso | nombre-lista-acceso} {in | out}

Recordar:Sentencias se procesan de forma secuencial hasta que se encuentre una concordancia. Si no hay concordancia, se rechaza el paquete. Hay un deny any (denegar cualquiera) implcito al final de todas las ACLs.

Creacin de ACLs EstndarReglas bsicas a la hora de crear ACLsDeben filtrar desde lo particular a lo general:Primero filtrar hosts especficos Luego grupos (filtros generales).

Primero se examina la condicin de concordancia. El permiso o rechazo se examina SLO si la concordancia es cierta. Nunca trabaje con una ACL que se utiliza de forma activa. Siempre, las lneas nuevas se agregan al final de la lista de acceso.

Creacin de ACLs EstndarReglas bsicas a la hora de crear ACLs (2)El comando no access-list x elimina la lista X. No es posible agregar y quitar lneas de manera selectiva en las ACL numeradas. Los filtros salientes no afectan al trfico que se origina en el router local.

ACL EstndarEliminar ACL estndar: Router(config)#no access-list nmero-lista-acceso

ACL ExtendidaUtilizadas con ms frecuencia que las estndar porque ofrecen un mayor control. Verifican: Direcciones origen y destino de paquetes, protocolos y nmeros de puerto. Mayor flexibilidad para establecer qu verifica la ACL. Sintaxis es engorrosa. Se utilizan tambin las palabras any y host Regla General: Aplicarlas lo ms cerca posible al origen.

ACL Extendidaaccess-list nmero-lista-acceso {deny | permit} protocolo ip-origen wildcard-origen ip-destino wildcard-destino operador puerto-o-nombre-de-aplicacin

Protocolo:Nombre o nmero de un protocolo de Internet: eigrp, icmp, igrp, ip, tcp, udp, ... Para referirse a cualquier protocolo de Internet utiliza palabra clave ip

ACL Extendida

Operadores lgicos: eq, neq, gt, lt

ACL ExtendidaAlgunos nmeros TCP/UDP reservados

Nmero Puerto 20 21 23 25 69 80

Descripcin ftp-data ftp telnet Smtp Tftp http

Ubicacin de las ACLImportanteSi las ACL se colocan en el lugar correcto:Filtran el trfico Toda la red se hace ms eficiente.

Regla:Colocar ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino.

Creacin de ACLs Extendidas1. Ingresar al modo de configuracin global. Router(config)# 2. Decidir nmero de la ACL que identifique que es estndar (100-199 o 2000-2699) 3. Ingresar sentencias de ACL utilizando comando access-list, con los parmetros necesarios.

Creacin de ACLs Extendidas4. Asignar la lista a la interfaz apropiada:Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la ACLEntrante: filtra el trfico que entra por una interfaz Saliente: filtra el trfico que sale por una interfaz Para decidir si ACL es entrante o saliente, mire las interfaces como si se observara desde dentro del router

Verificacin de las ACLs.show ip interface:Muestra informacin de la interfaz IP e indica si se ha establecido alguna ACL.

show access-lists:Muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o nmero ACL como opcin a este comando.

show running-configMuestra las listas de acceso en el router y la informacin de asignacin de interfaz.

EjerciciosCrear ACL estndar que deniegue el trfico desde el host 192.5.5.25 a la red 210.93.105.0 pero permita el trfico desde todos los dems hosts. Escrbala de 3 formas. Dnde se debe aplicar?

Ejercicios

Router(config)# access-list 22 deny 192.5.5.25 0.0.0.0 Router(config)# access-list 22 permit any

Router(config)# access-list 22 deny host 192.5.5.25 Router(config)# access-list 22 permit any

Ejercicios

Crear una lista de acceso que impida que el host 192.5.5.148 acceda a un sitio web ubicado en 210.93.105.50. Dnde se debe ubicar esta ACL?

Ejercicios

access-list 100 deny tcp 192.5.5.148 0.0.0.0 210.93.105.50 0.0.0.0 eq 80 access-list 100 permit tcp any any

Ejercicios

Qu hace la anterior ACL? Escriba los comandos que aplican la ACL del diagrama

Ejercicios

Router2(config)# interface ethernet 0 Router2(config-if)# ip access-group 10 out

Ejercicios

Qu hace la siguiente lista de acceso?.access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21

access-list 111 permit tcp any any

Escriba los comandos que colocan esta ACL en la ubicacin correcta?

Ejercicios

Router2(config)# interface fa0/0 Router2(config-if)# ip access-group 111 in

EjerciciosSe introdujeron los siguientes comandos en un router: Router(config)# access-list 2 deny 172.16.5.24 Router(config)# access-list 2 permit any Qu se puede concluir acerca de este conjunto de comandos? Las sentencias de la lista de acceso estn mal configuradas Se denegar acceso a todos los nodos en 172.16.0.0 cuando se apliquen estas sentencias. Se asume la mscara wildcard por defecto, 0.0.0.0. Se asume la mscara wildcard por defecto, 255.255.255.255

EjerciciosSuponiendo que la ACL se aplica correctamente a una interfaz, qu efecto tiene la ACL en el trfico de red? Se deniega el acceso ftp del host 192.168.15.4 a cualquier destino, pero se permite todo el acceso restante Todo el trfico ftp al host 192.168.15.4 se denegar Todo el trfico desde esa interfaz se denegar No se denegar ningn trfico porque no existe una sentencia de "permit" en esta ACL

Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, qu efecto tiene la ACL en el trfico de red? Todo el trfico a la red 172.16.0.0 se denegar Se permitir todo el trfico TCP hacia y desde la red 172.16.0.0 Se denegar todo el trfico telnet desde la red 172.16.0.0 a cualquier destino Todo el trfico de puerto 23 a la red 172.16.0.0 se denegar Todo el trfico desde la red 172.16.0.0 se denegar a cualquier otra red

ACL NombradasIntroducidas en el Cisco IOS Versin 11.2 Permiten que ACL extendidas y estndar tengan nombres en lugar de nmeros. Ventajas de ACLs nombradas:Identifica ACL usando un nombre alfanumrico. No limita nmero de ACL nombradas configuradas. Tienen la capacidad de modificar las ACL sin tener que eliminarlas y luego reconfigurarlas. Permiten eliminar sentencias pero slo permiten que las sentencias se agreguen al final de la lista.

ACL NombradasTener en cuenta:ACL nombradas no son compatibles con versiones de Cisco IOS anteriores a la versin 11.2. No se puede utilizar el mismo nombre para varias ACL. Se crean con el comando ip access-list.

Acceso a Terminales VirtualesACLs extendidas y estndar se aplican a paquetes que viajan a travs de un router. No diseadas para bloquear paquetes que se originan dentro del router. Una lista de acceso extendida Telnet saliente, por defecto no impide las sesiones Telnet iniciadas por el router.

Acceso a Terminales Virtuales


Código: ACL-PO-02 RECEPCIÓN Y CONTROL DE PELÍCULA … · ACL-FO-09 Nota de Salida Indefinido Jefatura de Control Administrativo ACL-FO-10 Reporte Diario de Impresión. Indefinido

Código: ACL-PO-02 RECEPCIÓN Y CONTROL DE PELÍCULA … · ACL-FO-09 Nota de Salida Indefinido Jefatura de Control Administrativo ACL-FO-10 Reporte Diario de Impresión. Indefinido

Resistividad Básico ACL-2008

Resistividad Básico ACL-2008

CISCO CCNA ACL

CISCO CCNA ACL

Informe ACL

Informe ACL

Acl Català Dimecres

Acl Català Dimecres

1 2 MANUAL DE INSTRUCCIONES Línea Distancia Estendida F2 · La Línea Distancia Estendida es una serie de sensores de proximidad y proporciona diámetros más habituales distancias

1 2 MANUAL DE INSTRUCCIONES Línea Distancia Estendida F2 · La Línea Distancia Estendida es una serie de sensores de proximidad y proporciona diámetros más habituales distancias

Acl Manuales

Acl Manuales

Acl seguridad-ip

Acl seguridad-ip

ACL 9 Inicio

ACL 9 Inicio

ACL-DirectPromo Síntesis

ACL-DirectPromo Síntesis

Teorica1 ACL IG 2014

Teorica1 ACL IG 2014

Power point (Energias) ACL

Power point (Energias) ACL

Acl y Port Security

Acl y Port Security

ACL STANDAR y extend

ACL STANDAR y extend

Unidad 4 Redes IV ACL

Unidad 4 Redes IV ACL

Reglas acl

Reglas acl

Tarea Mate ACL

Tarea Mate ACL

Configuracion de acl

Configuracion de acl

Presentación ACL

Presentación ACL

Presentacion acl

Presentacion acl