47272592 listas-control-acceso
Upcoming SlideShare
Loading in...5
×
 

47272592 listas-control-acceso

on

  • 366 views

 

Statistics

Views

Total Views
366
Views on SlideShare
366
Embed Views
0

Actions

Likes
0
Downloads
8
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

47272592 listas-control-acceso 47272592 listas-control-acceso Document Transcript

  • GUÍA DE LABORATORIOLISTAS DE CONTROL DE ACCESO Área EEyT
  • Confeccionado por: Dirección Área Electricidad, Electrónica y Telecomunicaciones Derechos Reservados Titular del Derecho: INACAPN° de inscripción en el Registro de Propiedad Intelectual # __.__de fecha __-__-__. © INACAP 2003.
  • LISTAS DE CONTROL DE ACCESO (ACL)Los administradores de red deben buscar maneras de impedir el acceso no autorizado ala red, permitiendo por otro lado el acceso autorizado. Aunque las herramientas deseguridad, como las contraseñas, equipos de callback y dispositivos de seguridad físicason de ayuda, a menudo carecen de la flexibilidad del filtrado básico de tráfico, y loscontroles específicos que la mayoría de los administradores prefieren. Por ejemplo, unadministrador de red puede permitir que los usuarios tengan acceso a Internet, peropuede no considerar conveniente que los usuarios externos hagan telnet a la LAN.Los routers proporcionan capacidades básicas de filtrado de tráfico, como bloqueo deltráfico de Internet, con listas de control de acceso (ACL). Una ACL es una colecciónsecuencial de sentencias de permiso o rechazo que se aplican a direcciones oprotocolos de capa superior. Existen las ACL estándar y extendidas.Las ACL se pueden crear para todos los protocolos enrutados de red, como el ProtocoloInternet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar lospaquetes a medida que pasan por un router. Las ACL se pueden configurar en el routerpara controlar el acceso a una red o subred.Conceptos previos:En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. Lasiguiente tabla muestra los identificadores. Tipo de lista de acceso Identificador IP estándar 1-99 IP extendida 100-199 Código del tipo puente 200-299 IPX estándar 800-899 IPX extendido 900-999 IPX SAP 1000-1099Listas de acceso IP estándar:Las listas de acceso estándar permiten o prohíben paquetes en base a la dirección IP deorigen del paquete.
  • Máscara Wildcard:Las listas de acceso IP estándar y extendidas utilizan una máscara WILDCARD. Al igualque una dirección IP, una máscara wildcard es una cantidad de 32 bits escrita en unformato decimal con puntos.La máscara wildcard le indica al Router qué bits de la dirección usar en lascomparaciones. Los bits de direcciones correspondientes a los bits de máscara wildcardestablecidos en 1 se ignoran en las comparaciones, mientras que los bits de direccionesde máscara wildcard establecidos en 0 se usan en las comparaciones.Listas de acceso IP extendida:Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estándar,debido a que permiten habilitar filtrado en base a las direcciones de origen y destino delpaquete IP.Comandos:A continuación de definen los comandos más utilizados para la creación de listas deacceso. Comando Descripción Access-list-number Identifica la lista a la que pertenece la entrada. Permit / deny Indica si la entrada permite o impide el tráfico a la red especificada. Source Indica la dirección IP de origen. Destination Indica la dirección IP destino. Source-Wildcard Identifica qué bits del campo de Destination-Wildcard dirección deben coincidir. Any Aplicar a todos Show access-list Muestra las listas de acceso de todos lo protocolos
  • EJEMPLOSEjemplo de lista de acceso estándar: INTERNET 10.48.0.3 B C D A Workstation Workstation Workstation Workstation 10.51.0.0 Ethernet E0 Router A 10.48.0.0La configuración de la lista de acceso para el router A:Router(config)#access-list 2 permit 10.48.0.3Router(config)#access-list 2 deny 10.48.0.0 0.0.255.255Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255Router(config)#! (note: all other access implicitly denied)Router(config)#interface Ethernet 0Router(config)#ip access group 2 in • El host B puede comunicarse con el host A. Está permitido por la primera línea de la lista de acceso, que utiliza una máscara de host implícita. • El host C no puede comunicarse con el host A. El host D está en una subred que esta explícitamente permitida por la tercera línea de la lista de acceso. • El host D puede comunicarse con el host A. El host D esta en una subred que esta explícitamente permitida por la tercera línea de la lista de acceso. • Los usuarios de Internet no pueden comunicarse con el host A. Los usuarios que estén fuera de esta red no están explícitamente permitidos, por lo que son denegados por defecto con el “deny any” implícito al final de la lista de acceso.
  • Ejemplo de lista de acceso IP extendida: INTERNET Correo DNS FTP 172.22.1.2 172.22.2.0 B Navegador Tower box Tower box Tower box Workstation Workstation S0 172.22.3.0 Ethernet E1 E0 Router B 172.22.1.0 Router Aaccess-list 118 permit tcp any 172.22.0.0 0.0.255.255 eq www establishedaccess-list 118 permit tcp any host 172.22.1.2 eq smtpaccess-list 118 permit udp any any eq dnsaccess-list 118 permit udp 172.22.3.0 0.0.0.255 172.22.1.0 o.0.0.255 eq snmpaccess-list 118 deny icmp any 172.22.0.0 0.0.255.255 echoaccess-list 118 permit icmp any any echo reply!interface Ethernet 0ip access-group 118 outEn el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0del router A.Esta configuración permite que las respuestas a las consultas del navegador del cliente A enInternet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas).Las consultas mediante navegador desde orígenes externos no son permitidas explícitamentey son descartadas por el deny any implícito del final de la lista de acceso.También permite enviar correo electrónico SMTP exclusivamente al servidor de correo. Elservidor está autorizado para resolver peticiones DNS. La subred 172.22.1.0 es controladapor el grupo de administración de red que está ubicado en servidor del cliente B, por lo quelas consultas de administración de red SNMP, se les permitirá llegar a estos dispositivos delservidor. Los intentos de hacer un ping a la red corporativa desde afuera de la red de lasubred 172.22.3.0 fallarán, ya que la lista de acceso bloquea las peticiones echo. Sinembargo, las respuestas a las peticiones echo generadas desde dentro de la red corporativaserán autorizadas a volver a entrar a la red.
  • EJERCICIOS1.- Es necesario realizar el diseño de red LAN para una empresa con múltiples sucursales. Se requiere que cada sucursal tenga dos redes: • Una red para ventas. • Una red para administración. Cada segmento exclusivo de LAN se debe conectar a una puerta Ethernet independiente en el router para brindar servicios a esa LAN. Como parte de la solución de seguridad, se necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN de ventas al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN de ventas. Indique la configuración necesaria en el Router para satisfacer el requerimiento.2.- Indique la configuración para una lista de acceso IP numerada que detenga los paquetes provenientes de la subred 134.141.7.0, 255.255.255.0, aplicada en una interfaz serial 0 de un Router. Permita que todos los demás paquetes pasen.3.- Indique la configuración para una lista de acceso IP que permita solamente paquetes de las subredes 193.7.6.48/28 a la 193.7.6.128/28, que son enviados al servidor Web de la subred 128.1.0.0, en la puerta serial 0 de algún Router.4.- Indique la configuración para una lista de acceso IP que detenga los paquetes desde la subred 10.3.4.0/24, a cualquier servidor Web, aplicada en la salida de una interfaz serial 0 de algún Router. También detenga los paquetes del host 134.141.5.4 de entrada en la interfaz serial 0. Permita cualquier otro tráfico.5.- Indique una máscara Wildcard para poder hacer Match al grupo de subredes que van desde la 115.10.12.0/22 hasta la 115.10.64.0/226.- Indique la máscara wildcard necesaria para filtrar 15 host de la subred 200.10.8.96/27, partiendo del host 200.10.8.103/27 hasta el host 200.10.8.117/27.7.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 10.0.0.0/15) Access-list 53 deny 10.0.0.0 0.7.255.255 Access-list 53 permit any8.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 125.8.0.0/25) Access-list 36 permit host 125.8.7.11 Access-list 36 deny 125.8.7.8 0.0.0.7 Access-list 36 permit any
  • 9.- Cree Una lista de acceso y colóquela en la ubicación adecuada para satisfacer los siguientes requisitos. Impedir que todos los host de la subred 172.16.1.0/24, a excepción del host 172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todos los demás host, incluyendo los del mundo exterior, accedan al servidor Web. NO 172.16.0.0 B 172.16.1.4 172.16.1.3 Workstation Workstation Workstation S0 172.22.3.0 Ethernet E1 E0 E1 E0 172.16.1.0 Router B Router A 172.16.2.0 172.16.4.0 Workstation Tower box Tower box Tower box DNS FTP www cliente 4.2 4.3 4.4 4.5