Acl trabajo
Upcoming SlideShare
Loading in...5
×
 

Acl trabajo

on

  • 743 views

 

Statistics

Views

Total Views
743
Slideshare-icon Views on SlideShare
743
Embed Views
0

Actions

Likes
0
Downloads
3
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Acl trabajo Acl trabajo Document Transcript

    • PROTOCOLOS ACL Y ARPPEDRO ALBERTO FRESNEDA RAMIREZ SENA Bogotá julio de 2012
    • ACL: ACCESS CONTROL LIST• Listas de control de acceso o filtro a los paquetes en los routers de Cisco, para actuar como firewall (cortafuegos).• Pueden actuar a nivel de direcciones, protocolos y puertos: capas 3 y 4• Se puede definir diferentes ACLs y luego instalarlas sobre los interfaces del router según convenga al administrador de la red Listas de control de acceso• Cada ACL es un conjunto de sentencias que filtran a cada paquete en la interfaz instalada• Cada ACL sobre cada interfaz, actúa en un sentido, distinguiendo tanto sentido de entrada como de salida DEFINICIÓN DE ACLS• Las listas son secuencias de sentencia de permiso (permit) o denegación (deny) y que se aplican a los paquetes que atraviesan dicha interfaz, en el sentido indicado (in/out), con riguroso orden según hayan sido declaradas.• Cualquier tráfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL. FUNCIÓN: FILTRAR EL TRÁFICO• Las ACLs filtran el tráfico de red controlando si los paquetes enrutados se envían o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, según las condiciones especificadas en la ACL. Entre las condiciones de las ACLs se pueden incluir la dirección origen o destino del tráfico, el protocolo de capa superior, u otra información. POSIBLES USOS DE ACL’S• Limitar el tráfico de red y mejorar el desempeño de la red. Por ejemplo, las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de tráfico, según el protocolo.• Brindar control de flujo de tráfico. Por ejemplo, las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento.
    • • Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área.• Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Por ejemplo, se puede permitir que se enrute el tráfico de correo electrónico, pero bloquear al mismo tiempo todo el tráfico de telnet. DECLARACIÓN DE ACLS• Al conjunto de sentencias que forman la ACL se le llama grupo• Los pasos a seguir para crear una ACL son: – definimos la lista que formará un grupo • access-list número.....sentencia... • access-list número.....sentencia... • La última sentencia implícitamente es negar – luego aplicamos dicha ACL sobre los interfaces en el sentido deseado con ip access-group número (in/out) Tareas clave para la creación de ACL• Las ACLs se crean utilizando el modo de configuración global.• Al especificar un número de ACL del 1 al 99 se instruye al router que debe aceptar las sentencias de las ACLs estándar. Al especificar un número de ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACLs extendidas.• Se deben seleccionar y ordenar lógicamente las ACLs de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los demás protocolos se deben denegar.• Se deben seleccionar los protocolos IP que se deben verificar; todos los demás protocolos no se verifican. Más adelante en el procedimiento, también se puede especificar un puerto destino opcional para mayor precisión.
    • TIPOS DE ACLSLas ACLs se clasifican según el número utilizado en access-listnúmero.....y que están definidos 1. Estándar IP 1-99 2. Extended IP 100-199 3. AppleTalk 600-699 4. IPX 800-899 5. Extended IPX 900-999 6. IPX Service Advertising Protocol 1000-1099ACLs: IP estándar y extendedSe definen en modo global de configuración Router (config)# – Las ACLs estándar su formato es Access-list acl-number {deny | permit} source [source-wildcard][log] – Las ACLs extended su formato es Access-list acl_number {deny | permit} proto source [source-wildcard] destination [destination-wildcard] [operand port] [established][log]A NIVEL DE INTERFAZ:Router (config-if) #ip access-group access-list-number {in | out}Log: para registrar los incidentes (msg: nº ACL, si el paquete ha sidopermitido o denegado, dirección origen y el número de paquetes)Protocolo: IP, TCP, UDP, ICMP, GRE, IGRPOperation operand: LT (LESS THAN), GT(GREATER THAN), EQ(EQUAL), NEQ (NON EQUAL) y un número de puertoEstablished: si la conexión TCP está establecida con acks
    • UBICACIÓN DE LAS ACLS• La regla es colocar las ACLs sextendidas lo más cerca posible del origen del tráfico denegado.• Las ACLs estándar no especifican direcciones destino, de manera que se debe colocar la ACL estándar lo más cerca posible del destino.• Dentro de las interfaces se colocan en el sentido de salida, para no procesar tanto paquete COMANDOS DENY / PERMIT• Se utiliza el comando de configuración de ACL deny para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es: deny {source [source-wildcard] | any}• Se usa la forma no de este comando para eliminar una condición de denegar, utilizando la siguiente sintaxis:• no deny {source [source-wildcard] | any}• Se utiliza el comando de configuración de lista de acceso permit para establecer condiciones para una ACL nombrada estándar. La sintaxis completa del comando es:• permit {source [source-wildcard] | any}[log]• Se usa la forma no de este comando para eliminar una condición de una ACL, utilizando la siguiente sintaxis:• no permit {source [source-wildcard]| any} Comandos del router• show ip interface indicada si cualquier ACL está establecida• show access-lists muestra los contenidos de todas las ACLs
    • El objetivo del protocolo ARPEl protocolo ARP tiene un papel clave entre los protocolos de capa de Internetrelacionados con el protocolo TCP/IP, ya que permite que se conozca la direcciónfísica de una tarjeta de interfaz de red correspondiente a una dirección IP. Por esose llama Protocolo de Resolución de Dirección (en inglés ARP significa AddressResolution Protocol).Cada equipo conectado a la red tiene un número de identificación de 48 bits. Éstees un número único establecido en la fábrica en el momento de fabricación de latarjeta. Sin embargo, la comunicación en Internet no utiliza directamente estenúmero (ya que las direcciones de los equipos deberían cambiarse cada vez quese cambia la tarjeta de interfaz de red), sino que utiliza una dirección lógicaasignada por un organismo: la dirección IP.Para que las direcciones físicas se puedan conectar con las direcciones lógicas, elprotocolo ARP interroga a los equipos de la red para averiguar sus direccionesfísicas y luego crea una tabla de búsqueda entre las direcciones lógicas y físicasen una memoria caché.Cuando un equipo debe comunicarse con otro, consulta la tabla de búsqueda. Sila dirección requerida no se encuentra en la tabla, el protocolo ARP envía unasolicitud a la red. Todos los equipos en la red comparan esta dirección lógica conla suya. Si alguno de ellos se identifica con esta dirección, el equipo responderá alARP, que almacenará el par de direcciones en la tabla de búsqueda, y, acontinuación, podrá establecerse la comunicación.El protocolo RARPEl protocolo RARP (Protocolo de Resolución de Dirección Inversa) es muchomenos utilizado. Es un tipo de directorio inverso de direcciones lógicas y físicas.En realidad, el protocolo RARP se usa esencialmente para las estaciones detrabajo sin discos duros que desean conocer su dirección física.
    • El protocolo RARP le permite a la estación de trabajo averiguar su dirección IPdesde una tabla de búsqueda entre las direcciones MAC (direcciones físicas) y lasdirecciones IP alojadas por una pasarela ubicada en la misma red de área local(LAN).Para poder hacerlo, el administrador debe definir los parámetros de la pasarela(router) con la tabla de búsqueda para las direcciones MAC/IP. A diferencia delARP, este protocolo es estático. Por lo que la tabla de búsqueda debe estarsiempre actualizada para permitir la conexión de nuevas tarjetas de interfaz dered.El protocolo RARP tiene varias limitaciones. Se necesita mucho tiempo deadministración para mantener las tablas importantes en los servidores. Esto se vereflejado aun más en las grandes redes. Lo que plantea problemas de recursoshumanos, necesarios para el mantenimiento de las tablas de búsqueda y decapacidad por parte del hardware que aloja la parte del servidor del protocoloRARP. Efectivamente, el protocolo RARP permite que varios servidoresrespondan a solicitudes, pero no prevé mecanismos que garanticen que todos losservidores puedan responder, ni que respondan en forma idéntica. Por lo que, eneste tipo de arquitectura, no podemos confiar en que un servidor RARP sepa siuna dirección MAC se puede conectar con una dirección IP, porque otrosservidores ARP pueden tener una respuesta diferente. Otra limitación delprotocolo RARP es que un servidor sólo puede servir a una LAN.Para solucionar los dos primeros problemas de administración, el protocolo RARPse puede remplazar por el protocolo DRARP, que es su versión dinámica. Otroenfoque consiste en la utilización de un servidor DHCP (Protocolo deconfiguración de host dinámico), que permite una resolución dinámica de lasdirecciones. Además, el protocolo DHCP es compatible con el protocolo BOOTP(Protocolo de secuencia de arranque) y, al igual que este protocolo, es enrutable,lo que le permite servir varias LAN. Sólo interactúa con el protocolo IP.