![Implementación
• Sintaxis
Router(config)# access-list access-list-number
{permit | deny}
protocol source [source-mask destination destination-mask
operator operand]
Router(config-if)# ip access-group access-list-number
{in | out}
Presentation_ID 16](https://image.slidesharecdn.com/clase20-100827062443-phpapp01/85/Clase20-16-320.jpg)
Clase20
- 1. CCNA2 Módulo 11, Clase20 Listas control de acceso (ACL) Session Number Presentation_ID 1
- 2. Introducción • ¿Qué son las Access Control Lists - ACLs? Limitan el tráfico Controlan el flujo Segmentación Seguridad Presentation_ID 2
- 4. Números para las ACLs Presentation_ID 4
- 5. Wilcard Mask • Función opuesta a la Subnetwork Mask • Regla “0” verificar, aplicar, incluir “1” no verificar, no aplicar, no incluir Presentation_ID 5
- 6. Ejemplo: Verificando la dirección de red • 10.0.0.0 subnet/mask: 255.0.0.0 wilcard/mask: 0.255.255.255 • 172.16.0.0 subnet/mask: 255.255.0.0 wilcard/mask: 0.0.255.255 • 192.168.1.0 subnet/mask: 255.255.255.0 wilcard/mask: 0.0.0.255 Presentation_ID 6
- 7. Ejemplo: Verificando la dirección de red Subnet/mask: 255.240.0.0 Subnet/mask (en binario) 11111111.11110000.00000000.00000000 Wildcard/mask:0.15.255.255 Wildcard/mask (en binario) 00000000.00001111.11111111.11111111 Presentation_ID 7
- 8. Ejercicio ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? 0.0.0.255 -A una PC de la LAN? 0.0.0.0 192.168.0.10 0.0.0.0 192.168.0.11 Presentation_ID 8
- 9. ACL estándar • Parámetros Dirección IP origen Número de ACL (1 - 99) Permitir o denegar (permit/deny) Presentation_ID 9
- 10. ACL estándar Presentation_ID 10
- 11. Implementación • En modo de configuración global access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 Cualquier otro acceso está implícitamente denegado) Out In Out Presentation_ID 11
- 12. Implementación •En modo de configuración de interface interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out Out In Out Presentation_ID 12
- 13. Ejercicio ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -Una Pc de la LAN? -Escriba la ACL para permitir paso de paquetes de la LAN hacia la WAN 192.168.0.10 168.200.5.0 192.168.0.11 Presentation_ID 13
- 14. ACL extendida • Algoritmo Presentation_ID 14
- 15. ACL extendida • Parámetros Dirección IP origen Wildcard mask origen Dirección IP destino Wildcard mask destino Protocolo Permit / Deny Presentation_ID 15
- 16. Implementación • Sintaxis Router(config)# access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask operator operand] Router(config-if)# ip access-group access-list-number {in | out} Presentation_ID 16
- 17. Ejercicio ¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a: -La LAN de la izquierda? -La LAN de la derecha? Escriba la ACL para denegar paso de paquetes de la PC1 hacia la WAN WebServer 192.168.11.0 172.16.0.0 255.255.255.0 255.255.255.0 Una Subred y dos PCs en la primera mitad y dos PCs en la segunda mitad. Presentation_ID 17
- 18. ACLs nombradas • Ejemplo Presentation_ID 18
- 19. Ubicación de las ACLs Presentation_ID 19
- 20. Verificación Presentation_ID 20
- 21. Verificación Presentation_ID 21
- 22. Verificación Presentation_ID 22
- 23. Listas de control de acceso basadas en el tiempo • Utilizando el comando Time-range es posible configurar una lista de control de acceso para que verifique la hora de activación. Presentation_ID 23
- 24. Remark • Para crear una breve descripción de la ACL se utiliza el comando remark para IOS (12.0.2(T) en adelante). Presentation_ID 24
- 25. VTY • Se puede crear una ACL para poder filtrar el tráfico de acceso al Router por una de las 5 terminales virtuales, asignando la ACL con el comando access-class. Lab_A(config)#access-list 5 permit 200.100.50.0 0.0.0.255 Lab_A(config)#access-list 5 permit host 192.168.1.1 Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 5 in Presentation_ID 25
- 26. Asegurando el acceso por Web • Además de asegurar el acceso por terminales virtuales, podemos asegurar la entrada al router para la interface Web del Router. LAb_A(config)#access-list 17 permit 202.206.100.0 0.0.0.255 LAb_A (config)#ip http server LAb_A (config)#ip http access-class 17 Presentation_ID 26
- 27. Lock and Key • Lock and Key es una herramienta dentro del router que nos permite abrir un agujero en el Firewall sin comprometer la seguridad de nuestra red interna Presentation_ID 27
- 28. Lock and Key • Esto se hace a travez de la configuración de una ACL dinámica, para que en el momento de autenticarse el usuario, no se verifique la IP y así la ACL no deniegue los paquetes. Presentation_ID 28
- 29. Práctica • Laboratorio: Presentation_ID 29
- 30. Recomendaciones • Utilizar una lista de acceso para cada protocolo y para cada dirección. • Colocar las listas de acceso estándar cerca del destino. • Colocar las listas de acceso extendidas cerca del origen. • Aplicar la palabra clave “in” o “out” como si proviniera desde el interior del router. • Recordar que las declaraciones se procesan de forma secuencial desde la parte superior de la lista hasta que se encuentre una coincidencia; si no se encuentra ninguna, se rechaza el paquete. Presentation_ID 30
- 31. Recomendaciones • Recordar que existe un “deny all” implícito al final de las ACL que no aparece en la lista de configuración. • Recordar que primero se examina la condición de coincidencia, y el permiso o el rechazo se examina SÓLO si la coincidencia es verdadera. • Enumerar las declaraciones desde referencias específicas, tales como hosts individuales, hasta referencias generales, como redes completas, cuando se superpone la lógica de la lista de acceso. • Nunca trabajar con una lista de acceso que se utiliza de forma activa. Presentation_ID 31
- 32. Recomendaciones • Utilizar el Bloc de notas o un editor de texto similar para crear comentarios que describan la lógica, y luego completar las declaraciones que realizan esa lógica. • Recordar que las líneas nuevas siempre se agregan al final de la lista de acceso. • Utilizar el comando no access-list x para eliminar una lista completa, ya que no es posible agregar y eliminar líneas de forma selectiva. Presentation_ID 32
- 33. Recomendaciones • Recordar que una lista de acceso IP envía un mensaje ICMP de host inaccesible al emisor del paquete rechazado y descarta el paquete. • Tener cuidado cuando se elimina una lista de acceso. Si la lista de acceso se aplica a una interfaz de producción y se la elimina, puede haber un “deny any” por defecto aplicada a la interfaz, y todo el tráfico se detendrá. Si el software Cisco IOS cuenta con “permit all” (permitir todos) por defecto, no habrá ninguna regulación de seguridad ni de rendimiento. • Recordar que los filtros salientes no afectan al tráfico que se origina en el router local. Presentation_ID 33
- 34. Laboratorio Laboratorios • 11.2.1ª • Actividad 11.1.3, de • 11.2.1b laboratorio electrónico: Creación de las ACL • 11.2.2ª • 11.2.2b • 11.2.3a Presentation_ID 34
- 35. Laboratorio • 11.2.1ª • 11.2.1b • 11.2.2ª • 11.2.2b • 11.2.3a Presentation_ID 35