configuración de acl complejas(2)

14
Configuración de ACL complejas Mónica Luevano Pamela Terrazas

Upload: hendrixs-money

Post on 26-Sep-2015

246 views

Category:

Documents


6 download

DESCRIPTION

CISCO WAN

TRANSCRIPT

  • Configuracin de ACL

    complejas

    Mnica Luevano

    Pamela Terrazas

  • ACL

    Conjunto de reglas contra las que se compara cada paquete que cruce la interfaz en la que se instalaron.

    Cada paquete se compara contra las reglas una por una. Cuando el paquete corresponde con una de las reglas de la ACL, se le aplica la accin asociada a la regla y no se compara el paquete con ninguna otra regla.

    Las ACLs entonces son reglas, una por lnea, que se identifican con un nmero o una palabra y que identifican flujos de datos o conjuntos de direcciones

  • Qu son las ACL complejas?

    ACLs dinmicas ACLs reflexivas ACLs basadas en tiempo

    stas usan un mecanismo

    bsico de autenticacin,

    generalmente Telnet, para

    activar la ACL

    Son un tipo de firewall

    primitivo que permite el

    trfico slo si es iniciado

    en una direccin, pero sin

    usar las banderas de

    conexin de TCP

    La idea de estas acls son

    que se activan en las

    fechas y horarios que se

    hayan establecido

    previamente

  • ACL dinmicas

    La idea consiste en crear una regla en la ACL que slo se activar si es disparada por

    algn evento, en ste caso un acceso por

    telnet al enrutador

    Est disponible slo para trfico IP. Las ACL dinmicas dependen de la conectividad

    Telnet, de la autenticacin (local o remota) y

    de las ACL extendidas.

  • Crea un nombre y una

    contrasea de inicio de sesin

    Permite establecer una

    conexin telnet con el router

    La entrada ACL dinmica se ignora hasta activar el bloqueo. La

    ventana se abre durante 15 minutos y luego se cierra

    automticamente aunque est en uso.

    Aplica la ACL 101 a la interfaz

    S0/0/1

    Como esta ltima regla est asociada con un

    acceso por telnet como disparador, en las lneas

    de vty se debe poner un comando especial

    autocommand access-enable host timeout 5

  • Beneficios de las ACL dinmicas

    Las ACL dinmicas tienen los siguientes beneficios de seguridad comparadas con las ACL estndar y estticas extendidas:

    Uso de un mecanismo de desafo para autenticar los usuarios individuales

    Administracin simplificada en internetworks ms grandes En muchos casos, reduccin de la cantidad de

    procesamiento de un router necesario para las ACL

    Reduccin de la oportunidad de intromisiones a la red por parte de piratas informticos

    Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas.

  • ACL ReflexivasLas reflexivas son un tipo de firewall primitivo que permite el trfico slo si es iniciado en una direccin

    ACL reflexivas son para UDP y otros protocolo no orientados a la conexin.

  • ACL Extendidas TCP

    En las ACLs extendidas habamos visto que tcppermite agregar al final del identificador de origen o destino un identificador de puerto en incluso banderas de conexin como established, que indica que la conexin ya se abri

    Con el truco de la bandera established (ack activo) se puede permitir de entrada slo los paquetes con sta condicin, de tal manera que si llegan paquetes solicitando una conexin desde fuera se rechazan, mientras que si las conexiones se abren desde adentro, todos los paquetes entrantes debern tener el ack activo y por lo tanto se van a permitir.

  • En una de las direcciones del trfico se debe marcar la

    regla cuyo trfico de vuelta se va a permitir con la palabra

    clave reflect

    En la direccin de vuelta del

    trfico (la acl que se va a instalar

    en la direccin contraria) se

    agrega la sentencia evaluate

    Finalmente se instalan las listas, una de entrada y otra

    de salida en la misma interfaz (el trfico entra y sale por

    la misma interfaz).

    En otras palabras, se le pone un identificador al

    trfico que inicia la acl reflexiva, luego en la otra

    direccin se le ordena que evale si el trfico

    corresponde con la regla marcada para

    permitirlo si coincide.

  • El listado instala una lista de acceso reflexiva que permite el

    trfico de UDP e ICMP slo si se origin en la red

    172.16.0.0/16.

    ip access-list extended OUTB

    permit udp 172.16.0.0 0.0.255.255 any reflect UDPTRAFFIC

    permit icmp 172.16.0.0.0.0.255.255 any reflect ICMPTRAFF

    ip access-list extended INB

    evaluate UDPTRAFFIC

    evaluate ICMPTRAFF

    interface ser 0/0

    ip access-group OUTB out

    ip access-group INB in

  • ACLs Basadas

    en tiempos

    Se activan en las

    fechas y horarios que

    se hayan establecido

    previamente, la

    precondicin

    evidente es que el

    enrutador debe tener

    configuradas su hora

    y fecha

    correctamente

  • Se puede configurar manualmente, confiando que el equipo no se vaya a

    reiniciar por ningn motivo y que el

    administrador va a mantener actualizado el

    reloj en caso contrario.

    Otra alternativa (ms confiable) es configurar un servidor para que el enrutador

    mantenga su tiempo actualizado.

  • El listado crea una lista de acceso que se permite el acceso a

    Internet para la red 172.16.0.0 slo despus de las 17hrs en

    das de trabajo (Lunes a Viernes).

    time-range NOCHES

    periodic Monday Tuesday Wednesday Thursday Friday 17:00 to 00:00

    access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www time-range NOCHES

    int fa 0/0

    ip access-group 101 out