Upload File

lista de acceso

prev
next
out of 44
Download Lista de Acceso

Upload: kristal-montilla-de-figueredo

Post on 12-Oct-2015

7 views

Category:

Documents


0 download

Report

DESCRIPTION

cisco_ccna4

TRANSCRIPT

  • 1Capitulo 6

    LISTAS DE ACCESO

  • 2ACL: Access Control List

    Listas de control de acceso o filtro a los paquetes en los routers de Cisco, para actuar como cortafuegos

    Pueden actuar a nivel de direcciones, protocolos y puertos: capas 3 y 4

    Se puede definir diferentes ACLs y luego instalarlas sobre los interfaces del router segn convenga al administrador de la red

  • 3Listas de control de acceso

    Cada ACL es un conjunto de sentencias que filtran a cada paquete en la interfaz instalada

    Cada ACLs sobre cada interfaz, acta en un sentido , distinguiendo tanto sentido de entrada como de salida

  • 4Definicin de ACLs

    Las listas son secuencias de sentencias de permiso (permit) o denegacin (deny) y que se aplican a los paquetes que atraviesan dicha interfaz, en el sentido indicado (in/out), con riguroso orden segn hayan sido declaradas .

    Cualquier trfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL.

  • 5Funcin: Filtrar el trfico

    Las ACL filtran el trfico de red controlando si los paquetes enrutados se envan o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, segn las condiciones especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la direccin origen o destino del trfico, el protocolo de capa superior, u otra informacin.

  • 6Diferentes protocolos

    Las ACL se deben definir por protocolo. En otras palabras, es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de trfico para esa interfaz. Por ejemplo, si la interfaz de router estuviera configurada para IP, AppleTalk e IPX, sera necesario definir por lo menos tres ACL.

  • 7Justificacin de ACLs

    Pueden ser utilizadas para priorizar trfico, para mejorar el rendimiento de una red, restringir acceso de trfico no deseado, aumentar la seguridad, introducir control administrativo o de protocolos como e-mails, ...

    OTRAS...

  • 8

  • 9Posibles usos de ACLs Limitar el trfico de red y mejorar el

    rendimiento de la red. Por ejemplo, las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de trfico, segn el protocolo.

    Brindar control de flujo de trfico. Por ejemplo, las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento.

    Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea.

    Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Por ejemplo, se puede permitir que se enrute el trfico de correo electrnico, pero bloquear al mismo tiempo todo el trfico de telnet.

  • 10

    Verificacin de encabezados de paquete y de capa superior

    Despus de que una sentencia de ACL verifica un paquete para ver si existe coincidencia, al paquete se le puede denegar o permitir el uso de una interfaz en el grupo de acceso. Las ACL de Cisco IOS verifican los encabezados de paquete y de capa superior.

  • 11

    Cmo funcionan?

    Cuando un paquete accede a una interfaz, el router comprueba si es enrutable o puenteable. Comprueba si la interfaz de entrada tiene ACL y si la hay se comprueban las condiciones. Si se permite el paquete, se coteja con las entradas de la tabla ...

  • 12

    Declaracin de ACLs

    Al conjunto de sentencias que forman la ACL se le llama grupogrupo

    Los pasos a seguir para crear una ACL son: definimos la lista que formar un grupogrupo

    access-list nmero .....sentencia.. access-list nmero .....sentencia.. La ltima sentencia implcitamente es negar ( deny any)

    luego aplicamos dicha ACL sobre los interfaces en el sentido deseado con

    ip access-group nmero (in/out)

  • 13

    Flujo en la comparacin de ACLs

    Se manda paquete ICMP Destino inalcanzable

  • 14

    Tareas clave para la creacin de ACL

    Las ACL se crean utilizando el modo de configuracin global. Al especificar un nmero de ACL del 1 al 99 se instruye al router que

    debe aceptar las sentencias de las ACL estndar. Al especificar un nmero de ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACL extendidas.

    Se deben seleccionar y ordenar lgicamente las ACL de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los dems protocolos se deben denegar.

    Se deben seleccionar los protocolos IP que se deben verificar; todos los dems protocolos no se verifican. Ms adelante en el procedimiento, tambin se puede especificar un puerto destino opcional para mayor precisin.

  • 15

    Consideraciones sobre ACLs Agrupacin de ACL en interfaces El primer paso es crear una definicin de ACL, y el segundo es aplicar la ACL a una

    interfaz. Las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o

    saliente, segn la configuracin. Las ACL salientes son generalmente ms eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condicin de la ACL antes de conmutar el paquete a una interfaz saliente.

    Asignacin de un nmero nico a cada ACL Al configurar las ACL en un router, se debe identificar cada ACL de forma

    exclusiva, asignando un nmero a la ACL del protocolo. Cuando se usa un nmero para identificar una ACL, el nmero debe estar dentro del intervalo especfico de nmeros que es vlido para el protocolo.

    Se pueden especificar ACL por nmeros para los protocolos enumerados para la tabla. La tabla tambin incluye el intervalo de nmeros de ACL que es vlido para cada protocolo.

    Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list list-number.

  • 16

    Pasos en la definicin (1/2)

  • 17

    Pasos en la definicin (2/2)

  • 18

    Tipos de ACLs

    Las ACLs se clasifican segn el nmero utilizado en access-list nmero .....y que estn definidos1. Estandar IP 1-992. Extended IP 100-1993. AppleTalk 600-6994. IPX 800-8995. Extended IPX 900-9996. IPX Service Advertising Protocol 1000-1099

  • 19

    ACLs: IP estndar y extended

    Se definen en modo global de configuracin Router(config)#

    Las ACLs estndar su formato esaccess-list acl-number {deny | permit} source [source-wildcard ] [log]

    Las ACLs extended su formato esaccess-list acl_number {deny | permit} proto source [source- wildcard] destination [destination-wildcard] [operand port] [established] [log]

    A nivel de interfaz:Router(config-if)#ip access-group access-list-number {in | out}

    Log: para registrar los incidentes ( msg: n ACL, si el paquete ha sido permitido o denegado, direccin origen y el nmero de paquetes)

    proto: ip, tcp, udp, icmp, gre, igrpoperation operand: lt(less than), gt(greater than), eq (equal), neq (non equal) y un nmero de puertoestablished: si la conexin TCP est establecida con acks

  • 20

    Mscara (wildcard) 1/2

    En las direcciones IP especificadas, para cada bit de la direccin se especifica con una mscara si se comprueba o no dicho bit: 0 indica bit a chequear 1 indica bit a ignorar

    Su significado es justo la inversa de los bits en las mscaras de las subredes.

  • 21

    Mscara (wildcard) 2/2

  • 22

    Ejemplo de mscara

    La direccin IP 172.30.16.0 con mscara 0.0.15.255 evalua las subredes 172.30.16.0 hasta 172.30.31.0.

  • 23

    Trminos Any y host

    Si especificamos que cualquiera cumple la sentencia pondramos como direccin IP 0.0.0.0 y de mscara todo 1s para que se ignore (255.255.255.255), por tanto la palabra anysustituye a 0.0.0.0 255.255.255.255

    Si especificamos una direccin IP determinada, daremos la direccin y luego la mscara de todo 0s, que se simplifica con la palabra host

  • 24

    Ejemplos any y hostANY access-list 1 permit 0.0.0.0 255.255.255.255 Se puede poner como access-list 1 permit any

    HOSTaccess-list 1 permit 172.30.16.29 0.0.0.0Se puede poner como access-list 1 permit host 172.30.16.29

  • 25

    ACLs estndar

  • 26

    Ejemplo1: ACL estndar En este ejemplo, la ACL slo

    permite que se enve el trfico desde la red origen 172.16.0.0. El trfico que no es de 172.16.0.0 se bloquea. El ejemplo muestra cmo la ACL slo permite que se enve el trfico desde la red origen 172.16.0.0 y que se bloquee el que no es de 172.16.0.0.

  • 27

    Ejemplo2: Denegar un host especfico

    ACL para bloquear el trfico proveniente de una direccin especfica, 172.16.4.13, y para permitir que todo el trfico restante sea enviado en la interfaz Ethernet 0. El primer comando access-list usa el parmetro deny para denegar el trfico del host identificado. La mscara de direccin 0.0.0.0 en esta lnea requiere que en la prueba coincidan todos los bits.

    En el segundo comando access-list la combinacin de mscara wildcard / direccin IP 0.0.0.0 255.255.255.255 identifica el trfico de cualquier origen.

  • 28

    Ejemplo 3: Denegar un direccin de red

    El ejemplo muestra cmo una ACL estdiseada para bloquear el trfico desde una subred especfica, 172.16.4.0, y para permitir que el resto del trfico sea enviado.

  • 29

    Nmeros de puerto reservados

  • 30

    Ejemplo 4: ACL extendida que bloquea el trfico de FTP.

    Observe que el bloqueo del puerto 21 evita que se transmitan los comandos FTP, evitando de esta manera las transferencias de archivo FTP. El bloqueo del puerto 21 evita que el trfico mismo se transmita, pero no bloquea los comandos FTP. Los servidores FTP se pueden configurar fcilmente para funcionar en diferentes puertos. Se debe de entender que los nmeros de puerto conocidos son simplemente eso: conocidos. No existen garantas de que los servicios estn en esos puertos, aunque normalmente lo estn.

  • 31

    Ejemplo 5: Denegar conexiones telnet de una subred

    no permite que el trfico de Telnet (eq 23) desde 172.16.4.0 se enve desde la interfaz E0. Todo el trfico desde cualquier otro origen a cualquier otro destino se permite, segn lo indica la palabra clave any. La interfaz E0 est configurada con el comando access-group 101 out ; es decir, ACL 101 se encuentra enlazada a la interfaz saliente E0.

  • 32

    Ubicacin de las ACLs La regla es colocar las ACL

    extendidas lo ms cerca posible del origen del trfico denegado.

    Las ACL estndar no especifican direcciones destino, de manera que se debe colocar la ACL estndar lo ms cerca posible del destino.

    Dentro de las interfaces se colocan en el sentido de salida, para no procesar tanto paquete

  • 33

    Ejemplo 6: Denegar un rango de direccines de red

    Denegar 20.10.20.0 al 20.10.40.0

    permitir 20.10.20.0 20.10.40.0 permitir

    Denegar

  • 34

    Denegar 20.10.20.0 al 20.10.40.0Debemos analizar el comportamiento de los bits (wildcard) para establecer el rango que nos permitar cumplir con la condicion establecida.1.- Permitir las redes menores a 20.10.20.0

    Esto implica ignorar (1) todas las redes y host que se encuentran antes de 20.10.20.0. Considerar la secuencia de bits que los acoge.

    01234.1516 Cambia secuencia

    0000000000000001000000100000001100000100....0000111100010000

    Permit 20.10.0.0 0.0.15.255

    Permit 20.10.16.0 0.0.3.255

  • 35

    Denegar 20.10.20.0 al 20.10.40.02.- considerar las redes y host entre 20.10.20.0 entre 20.10.40.0

    0001010000010101000101100001011100011000

    000110010001101000011011...0001111100100000

    2021222324 Cambia secuencia

    252627.3132 Cambia secuencia

    Deny 20.10.20.0 0.0.3.255

    Deny 20.10.24.0 0.0.7.255

    Deny 20.10.32.0 0.0.7.255

  • 36

    Denegar 20.10.20.0 al 20.10.40.02.- considerar las redes y host entre 20.10.20.0 entre 20.10.40.0

    33343536

    39

    40 Cambia secuencia

    00100001001000100010001100100100...00100111

    00101000

    Deny 20.10.32.0 0.0.7.255

    Deny 20.10.40.0 0.0.0.255

    Permit any

  • 37

    ACLs con nombre Se usan cuando:

    - Se desea identificar intuitivamente las ACL utilizando un nombre alfanumrico.-Existen ms de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado.

    Hay que tener en cuenta que:-Las ACL nombradas no son compatibles con las versiones Cisco IOSanteriores a la versin 11.2-No se puede usar el mismo nombre para mltiples ACL. Adems, las ACL de diferentes tipos no pueden tener el mismo nombre. Por ejemplo, no es vlido especificar una ACL estndar llamada Administracin y una ACL extendida con el mismo nombre.

  • 38

    Etiquetado de ACLsRouter(config)# ip access-list {standard |

    extended} nameip access-list standard Internetfilter

    permit 128.88.0.0 0.0.255.255permit 36.0.0.0 0.255.255.255!(Note:Siempre al final existe una access implicita que deniega)

  • 39

    Comandos DENY / PERMIT Se utiliza el comando de

    configuracin de ACL denypara establecer condiciones para una ACL nombrada. La sintaxis completa del comando es: deny {source [source-wildcard] | any}

    Se usa la forma no de este comando para eliminar una condicin de denegar, utilizando la siguiente sintaxis:

    no deny {source [source-wildcard] | any}

    Se utiliza el comando de configuracin de lista de acceso permit para establecer condiciones para una ACL nombrada estndar. La sintaxis completa del comando es:

    permit {source [source-wildcard] | any}[log]

    Se usa la forma no de este comando para eliminar una condicin de una ACL, utilizando la siguiente sintaxis:

    no permit {source [source-wildcard]| any}

  • 40

    Ejemplo uso Deny / Permit

    En la figura establece una condicin de denegar y permitir para una ACL estndar denominada Internetfilter

  • 41

    Comandos del router

    show ip interface indicada si cualquier ACLs est establecida

    show access-lists muestra los contenidos de todas las ACLs

  • 42

    Show ip interface. Resultado

  • 43

    ACLS en routers fronterizos

    Para aprovechar las ventajas de seguridad de las ACL, como mnimo se deben configurar las ACL en los routers fronterizos, que son routers situados en las fronteras de la red. Esto proporciona proteccin bsica con respecto a la red externa, u otra parte menos controlada de la red, para un rea ms privada de la red. En estos routers fronterizos, las ACL se pueden crear para cada protocolo de red configurado en las interfaces del router. Se pueden configurar las ACL para que el trfico entrante, el trfico saliente, o ambos, sean filtrados en una interfaz.

  • 44

    El router externo manda el trfico a la pasarela.El router interno slo acepta trfico de la pasarela.

    Capitulo 6ACL: Access Control ListListas de control de accesoDefinicin de ACLsFuncin: Filtrar el trficoDiferentes protocolosJustificacin de ACLsPosibles usos de ACLsVerificacin de encabezados de paquete y de capa superiorCmo funcionan?Declaracin de ACLsFlujo en la comparacin de ACLsTareas clave para la creacin de ACL Consideraciones sobre ACLsPasos en la definicin (1/2)Pasos en la definicin (2/2)Tipos de ACLsACLs: IP estndar y extendedMscara (wildcard) 1/2Mscara (wildcard) 2/2Ejemplo de mscaraTrminos Any y hostEjemplos any y hostACLs estndarEjemplo1: ACL estndarEjemplo2: Denegar un host especficoEjemplo 3: Denegar un direccin de redNmeros de puerto reservadosEjemplo 4: ACL extendida que bloquea el trfico de FTP.Ejemplo 5: Denegar conexiones telnet de una subredUbicacin de las ACLsACLs con nombreEtiquetado de ACLsComandos DENY / PERMITEjemplo uso Deny / PermitComandos del routerShow ip interface. ResultadoACLS en routers fronterizos


Dm752v10-5 Control de Acceso - UPM...ROUTER TELDAT – Control de acceso Configuración II - 4 Doc.DM752 Rev.10.50 1. Introducción Cada entrada de esta lista es un bloque de sentencias

Cómo obtener acceso al Manual del afiliado, la Lista de ...€¦ · Cómo obtener acceso al Manual del afiliado, la Lista de medicamentos y el Directorio de proveedores y farmacias

SISTEMAS DE CONTROL DE ACCESO€¦ · Ejemplos de aplicación LISTA ELECTRONIC CONTROL El sistema modular para soluciones logísticas internas Nivel de seguridad 1 Controles de acceso

INSTITUCION EDUCATIVA PRIVADAfiles.pagavi.webnode.es/200000070-54c7955441/Bimest…  · Web viewBotón Abrir de la Barra Acceso Rápido Opción Usar Lista Existente Seleccionar Documento

Lista de Precio Marzo 2015 BIOMÉTRICOS ACCESO Y ASISTENCIA€¦ · Lista de Precio Marzo 2015 BIOMÉTRICOS ACCESO Y ASISTENCIA CÓDIGO DESCRIPCIÓN OBS. IMAGEN PRECIO BS. CONTROLES

Listas Listas de control de acceso o de control de acceso o ACL. · 2020. 6. 12. · Listas Listas de control de acceso o ACL. de control de acceso o ACL. Una ACL es una lista secuencial

LISTA PROVISIONAL DE ADMITIDOS Y EXCLUIDOS …...lista provisional de admitidos y excluidos nombre y apellidos aspirantes admitidos: nif pruebas selectivas para el acceso a la escala

Listas de control de acceso · Resumen Una lista de control de acceso (ACL) es: Una serie de declaraciones para permitir (permit) y denegar (deny) contenido, que se utiliza para filtrar

Lista de Lectura en el Verano para K-12face.dpsk12.org/wp-content/uploads/2014/05/LearningAllySP1.pdf · Lista de Lectura en el Verano para K-12 ... tener acceso a la lectura a través

Lista Lista

pase de lista 09032021 pase de lista

Departamento de Orientación Mayo 2017 · 2 Índice Condiciones de acceso y Estudios posteriores ..... 2 Lista de los Títulos que se imparten en Navarra ..... 4

MODEM RESIDENCIAL VRV7006AW22 DEL PROVEEDOR … · Servidor virtual, DMZ, Firewall con lista de control de acceso (ACL), Firewall con detección de patrones Hacker (DoS). • VDSL

PLIEGO DE CONDICIONES PARA LA CONTRATACION DE LA ... · Control de Acceso Sí, lista de control de acceso (ACL) de administración más MAC ACL . Página 4 de 18 Administración segura

LISTA DE PLAGUICIDAS PROHIBIDOS Y LISTA DE …

Instituto Poblano de las Mujeresipm.puebla.gob.mx/./images/convocatorias/lista-postulantes-1er-par... · Perspectiva de género desde el ámbito internacional Acceso a las mujertes

Lista de rubros que se proponen para su envío a los …207.249.17.176/.../Actualizacion_Jurisprudencial_Noviembre_2012.pdf · Tribunal, en materia de acceso a la información pública

· Web viewANEXO I . LISTA DEFINITIVA DE ASPIRANTES ADMITIDOS Y EXCLUIDOS . ESCALA CIENTIFICOS TITULARES ACCESO LIBRE . Acceso

LISTA DE VERIFICACIÓN DE SEGURIDAD · 2020. 11. 20. · LISTA DE VERIFICACIÓN DE SEGURIDAD Bombas de hormigón en la obra. VERIFICACIÓN 1 ACCESO Distancia de seguridad ... Proporcionamos

PROVISIÓN, CAPACITACIÓN Y EMPODERAMIENTO …apps.who.int/iris/bitstream/10665/207697/1/WHO_EMP_PHI_2016.01_s… · Lista de ayudas técnicas prioritarias Mejora del acceso a las

Lista de precios 2011 - Siweb: Acceso Panel Webacceso.siweb.es/content/777381/TARIFAS/KROMS_ELSTER_2011.pdf · Lista de precios válida desde el 1.1.2011 1 Estimada clienta, estimado

REQUISITOS SANITARIOS DE ACCESO A MERCADO QUE APLICAN …aquaexposantaelena.cna-ecuador.com/wp-content/... · - Solicitar la inclusión en la lista de establecimientos autorizados

MICROMASTER 440...grupo funcional depende del nivel de acceso ajustado en el P0003 (nivel de acceso de usuario). Edición 08/02 Parámetros MICROMASTER 440 Lista de Parámetros 6SE6400-5BB00-0EP0

Listas de Control de acceso ACL - atc2.aut.uah.esatc2.aut.uah.es/~rosa/LabRC/Prac_5/Listas de Control de accesoRev.pdf · Listas de Control de acceso •Lista de Control de Acceso

Lista de Espera: M.U. EN ACCESO A LA PROFESIÓN DE ABOGADO

Precio Lista ITEM CODIGO IMAGEN DESCRIPCION LISTA DE ...€¦ · Control de Acceso por Huella y Tarjeta ID Capacidad de 500 Huellas / 500 Tarjetas / Control de Acceso: Cerradura Eléctrica,

Módulo de control de acceso para puertasresource.boschsecurity.com/documents/Operation_Guide_esES... · 7.3 Añadir la DTU a la lista de dispositivos.....71 7.4 Actualizar un DACM

LISTA DE NUEVAS ADQUISICIONES - ponce.inter.eduponce.inter.edu/cai/Lista-de-nuevas-adq.pdf · LISTA DE NUEVAS ADQUISICIONES “El Centro de Acceso a la Información de la Universi-

Manual de Acceso y Configuración - itpachuca.edu.mx correos/Manual de...En la lista anexa podrás ubicar tu correo institucional, recuerda que la contraseña de acceso provisional

Comunicación Institucional - Acceso al correo del … · • Entrar en esa lista corta de marcas, ... cualidades tangibles e intangibles, ... Mensajes involuntarios Mensajes voluntarios

CISSP - Glosario...2 matriz de control de acceso Una tabla que consta de una lista de sujetos, una lista de objetos y una lista de las acciones que un sujeto puede realizar en cada

 · 2018. 11. 25. · Contenido Lista de cuadros.................................................. vii Lista de gráficos................................................... ix Lista

Nighthawk X4S Extensor de rango WiFi · MAC, el control de acceso WiFi o una lista de control de acceso en el router, el dispositivo WiFi se conecta al extensor de rango pero no puede

Configuración MAC, IPv4, y lista de control de …...Configuración MAC, IPv4, y lista de control de acceso del IPv6 en un unto de acceso de red inalámbrica Objetivo Una lista de

Lista de Acceso