Upload File

pregunta acerca de accces list

2
Pregunta acerca de acces-list 1- Qué es el análisis ”stateless” y qué es el análisis ”stateful” del tráfico a efectos de su filtrado?. Ver diferencias entre a) la aplicación del parámetro ”established” de una lista estándar o extendida, b) una lista reflexiva, y c) una lista CBAC. El analisis “stateless” fue el primer metodo de empleado para el contro de acceso a redes y usualmente se implementa a traves de ACLs. En ellas se indica el trafico que puede pasar y el que no, a traves del filtro mediante el chequeo de las cabeceras TCP, UDP e IP y sus valores (puertos TCP, UDP y direcciones IP). Se deben implementar y especificar gran cantidad de reglas estaticas, ya que “stateless” se basa en el analisis de los paquetes en forma individual, sin embargo se tiene en consecuencia una gestión muy compleja. Respecto al analisis de trafico, nunca se tiene en cuenta los flujos de tráfico precedentes para tomar decisiones. Desventajas: No se adapta a protocolos dinamicos, como por ejemplo FTP, ya qye los puertos usados por este protocolo varian en el transcurso de la conexion (no estan predifinidos). Tampoco es capaz de manejar de manera segura los procolos basados en UDP, ya que tampoco se dispone de los puertos aleatorios elegidos por este protocolo para los clientes internos de la red, por lo que para brindar conexion es necesario habilitar / abrir todos los puertos por encima del 1023 (es decir todos los que no son “bien conocidos”). **En definitiva este analisis funciona adecuadamente cuando se busca filtrar aplicaciones basadas en TCP que no negocian dinamicamente los puertos. El analisis “statefull” es un método de filtrado de paquetes mas avanzado que el visto anteriormente, se trabaja a nivel de flujo o conexión y en algunas ocasiones se intervene a nivel de la aplicación. Tienen inteligencia, por lo que hacen un seguimiento de las sesiones que atraviesan la ACL y luego si chequean cada paquete que atraviesa el disposistivo (para ello llevan un Tabla de Estado). Son capaces de predecir los pasos a dar por un protocolo o una aplicacion. Se asume que si permite el inicio de una conexion, pueden establecerse n conexiones siempre que las solicite la aplicación y las mismas seran permitidas. Su configuracion es mucho mas amigable que en laso anterior, con tan solo especificar el trafico deseado, automaticamente se configuran los caminos necesarios para el retorno. Es por eso que a diferencia de “classless” , si puede trabajar con procolos dinamicos, como el caso ya analizado de FTP. Se puede decir entonces que agregan seguridad y mejoran el rendimiento. Desventaja: se dificulta el analsis de los contenidos de las aplicaciones.

Upload: sebastian-yakoup

Post on 28-Jan-2018

21 views

Category:

Engineering


4 download

Report

TRANSCRIPT

Page 1: Pregunta acerca de accces list

Pregunta acerca de acces-list

1- Qué es el análisis ”stateless” y qué es el análisis ”stateful” del tráfico a efectos de su filtrado?.

Ver diferencias entre a) la aplicación del parámetro ”established” de una lista estándar o extendida,

b) una lista reflexiva, y c) una lista CBAC.

El analisis “stateless” fue el primer metodo de empleado para el contro de acceso a redes y

usualmente se implementa a traves de ACLs. En ellas se indica el trafico que puede pasar y el que

no, a traves del filtro mediante el chequeo de las cabeceras TCP, UDP e IP y sus valores (puertos

TCP, UDP y direcciones IP). Se deben implementar y especificar gran cantidad de reglas estaticas,

ya que “stateless” se basa en el analisis de los paquetes en forma individual, sin embargo se tiene en

consecuencia una gestión muy compleja. Respecto al analisis de trafico, nunca se tiene en cuenta

los flujos de tráfico precedentes para tomar decisiones.

Desventajas: No se adapta a protocolos dinamicos, como por ejemplo FTP, ya qye los puertos

usados por este protocolo varian en el transcurso de la conexion (no estan predifinidos).

Tampoco es capaz de manejar de manera segura los procolos basados en UDP, ya que tampoco se

dispone de los puertos aleatorios elegidos por este protocolo para los clientes internos de la red, por

lo que para brindar conexion es necesario habilitar / abrir todos los puertos por encima del 1023 (es

decir todos los que no son “bien conocidos”).

**En definitiva este analisis funciona adecuadamente cuando se busca filtrar aplicaciones basadas

en TCP que no negocian dinamicamente los puertos.

El analisis “statefull” es un método de filtrado de paquetes mas avanzado que el visto

anteriormente, se trabaja a nivel de flujo o conexión y en algunas ocasiones se intervene a nivel de

la aplicación. Tienen inteligencia, por lo que hacen un seguimiento de las sesiones que atraviesan la

ACL y luego si chequean cada paquete que atraviesa el disposistivo (para ello llevan un Tabla de

Estado). Son capaces de predecir los pasos a dar por un protocolo o una aplicacion.

Se asume que si permite el inicio de una conexion, pueden establecerse n conexiones siempre que

las solicite la aplicación y las mismas seran permitidas.

Su configuracion es mucho mas amigable que en laso anterior, con tan solo especificar el trafico

deseado, automaticamente se configuran los caminos necesarios para el retorno. Es por eso que

a diferencia de “classless” , si puede trabajar con procolos dinamicos, como el caso ya analizado de

FTP. Se puede decir entonces que agregan seguridad y mejoran el rendimiento.

Desventaja: se dificulta el analsis de los contenidos de las aplicaciones.

Page 2: Pregunta acerca de accces list

** Se lo considera una forma confiable de filtrar el trafico de red entre dominios seguros.

Mediante el comando established se indica que solo permiten pasar paquetes TCP (con flags ACK

y RST activados), es decir, que se deniegan los comienzos de conexion TCP (con flag SYN=1 y

ACK=0). Dicho de otra manera, se fuerza a que se establezca la conexion se realice en el sentido

contrario a donde esta configurada la ACL. Todo lo anteriormente mencionado aplica para las listas

extendidas, en el caso de las estandar no es posible aplicar dicho comando.

Un ejemplo de aplicacion facil de visualizar es crear una ACL en un router para que permita

conexiones TCP salientes desde su LAN hacia el exterior, pero se deniegan las originadas en el

exterior que desean atravesar el router. En definitiva las cconexiones que se inician en la LAN será

permitidas y las que se inicien fuera no.

Las ACL reflexivas son mucho mas robustas que las extendidas en el uso de established, sin

embargo, son similares en el uso del mismo, ya que solo lo usan para TCP. Por otro lado en nivel de

seguridad que brindan es mucho mayor, ya que mientras las extendidas solo revisan los bits ACK y

RST, en las reflexivas deben coincidir varios parametros para dejar entrar un paquete, a los ya

mencionados ACK y RST, se verifican las direcciones de origen y de destino y los números de

puerto, es asi que estas listas son muco mas resistentes a los ataques de suplantacion de identidad.

Las listas CBAC brindan una mejora radical, si la comparamos con las reflexivas, se monitorea el

establecimiento de conexiones TCP, se revisan los numeros de secuencia de dicho protocolo

Sebastián Yakoup


List Pref Hoy

Check List

pregunta pregunta pregunta pregunta pregunta

Varios Check List

List Medico

Check List Ingresos

Unidades Check List

List a 2011

Bucket list

¿Qué dice la biblia acerca del purgatorio?. Pregunta: "¿Qué dice la Biblia acerca del Purgatorio?" Respuesta: De acuerdo con la Enciclopedia Católica,

Check List Perforacion

La biblioteca se acerca al usuario. Pregunta aquíLa biblioteca se acerca al usuario _Biblioteca de la Escuela Politécnica Superior_ [email protected] Elena Escar Hernández, Isabel

Bichita List

¿Qué dice la Biblia acerca del Papa / papado?. Pregunta: "¿Qué dice la Biblia acerca del Papa / papado?"

Sist preventores (list)

Vamos a jugar!!! Pregunta 1 Pregunta 1 Pregunta 2 Pregunta 2 Pregunta 3 Pregunta 3 Pregunta 4 Pregunta 4 Pregunta 5 Pregunta 5 Pregunta

PREGUNTA 1 PREGUNTA 2 - Overblogdata.over-blog-kiwi.com/1/20/19/23/20160512/ob... · pregunta 5 pregunta 6 pregunta 7 pregunta 8 . pregunta 1 pregunta 2 pregunta 3 pregunta 4 . pregunta

List a 2009

PREGUNTA 1 - quintosedeamerica.files.wordpress.com · PREGUNTA 7. PREGUNTA 8 . PREGUNTA 9 . PREGUNTA 10 . PREGUNTA 11 PREGUNTA 12 . PREGUNTA 13 . PREGUNTA 14 . PREGUNTA 15 . PREGUNTA

List a Akron

Friedrich List

Filosofía. ¿Cómo pregunta la filosofía acerca de lo humano? · Filosofía ¿Cómo pregunta la filosofía acerca de lo humano? 4 Presentación La serie Profundización de la NES

List a Caps

CHECK LIST or

List a Precios

List Ado Balsas

haciendabuenavista.files.wordpress.com€¦  · Web viewlen_sup_11º_jun. pregunta. pregunta . pregunta. pregunta

Check List Ambulancia

Karaoke list

Si tiene alguna pregunta acerca de su producto, email · over uw product, email: [email protected] of bel: 056 85 15 00. ES / Si tiene alguna pregunta acerca de su producto,

list - sp.myfalconbenefits.com

haciendabuenavista.files.wordpress.com€¦  · Web viewMatemáticas supérate séptimo. Pregunta . Pregunta . Pregunta . Pregunta

Check List 2

Check List Mtto

Price List