Cap5 01 Acls

87
ACLs Tecnologías de Redes WAN MSc. Washington Velásquez V.

description

LISTA DE ACCESO

Transcript of Cap5 01 Acls

Page 1: Cap5 01 Acls

ACLsTecnologías de Redes WAN

MSc. Washington Velásquez V.

Page 2: Cap5 01 Acls

Objetivos

Explicar cómo se utilizan las ACL para proteger una red de sucursal de medianaempresa, incluido el concepto de filtrado de paquetes, el propósito de las ACL,cómo se utilizan para controlar el acceso y los tipos de ACL de Cisco.

Configurar las ACL estándar en una red de sucursal de mediana empresa, incluidala definición de los criterios de filtrado, la configuración de las ACL estándar parafiltrar el tráfico y su aplicación a las interfaces del router.

Configurar las ACL extendidas en una red de sucursal de mediana empresa,incluida la configuración de las ACL extendidas y denominadas, la configuración defiltros, la verificación, la supervisión y la resolución de problemas de las ACLextendidas.

Describir las ACL complejas en una red de sucursal de mediana empresa, incluidala configuración de ACL dinámicas, reflexivas y basadas en tiempo, la verificacióny resolución de problemas de las ACL complejas y la explicación de las clavesrelevantes.

Page 3: Cap5 01 Acls

Introducción

La seguridad de la red es un tema muy amplio

Los administradores utilizan las ACL para detener el tráfico o permitir sólo el

tráfico específico y, al mismo tiempo, para detener el resto del tráfico en sus

redes.

Los diseñadores de red utilizan firewalls para proteger las redes contra el uso

no autorizado.

Los firewalls son soluciones de hardware o software que hacen cumplir las

políticas de seguridad de la red.

La cerradura sólo permite que ingresen los usuarios autorizados con una llave

o tarjeta de acceso. Del mismo modo, los firewalls filtran el ingreso a la red

de los paquetes no autorizados o potencialmente peligrosos.

Page 4: Cap5 01 Acls

Introducción

Una ACL es una lista secuencial de sentencias de permiso o denegación que se

aplican a direcciones o protocolos de capa superior.

Las ACL brindan una manera poderosa de controlar el tráfico de entrada o de

salida de la red.

Puede configurar las ACL para todos los protocolos de red.

El motivo más importante para configurar las ACL es brindar seguridad a la

red.

Page 5: Cap5 01 Acls

Una conversación TCP

Las ACL también pueden configurarse para controlar el tráfico de red según el

puerto TCP que se utiliza.

Page 6: Cap5 01 Acls

Puertos TCP

Page 7: Cap5 01 Acls

Puertos UDP

Page 8: Cap5 01 Acls

Puertos TCP/UDP Comunes

Page 9: Cap5 01 Acls

Filtrado de Paquetes

El filtrado de paquetes, a veces denominado filtrado estático de paquetes,

controla el acceso a la red, analiza los paquetes de entrada y de salida, y

permite o bloquea su ingreso según un criterio establecido.

Un router actúa como filtro de paquetes cuando reenvía o deniega paquetes

según las reglas de filtrado. Cuando un paquete llega al router de filtrado de

paquetes, éste extrae determinada información del encabezado del paquete y

toma decisiones según las reglas de filtrado, ya sea autorizar el ingreso del

paquete o descartarlo

Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas

para determinar la autorización o denegación del tráfico según las direcciones

IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo

del paquete.

Page 10: Cap5 01 Acls

Filtrado de Paquetes

La ACL puede extraer la siguiente información del encabezado del paquete,

probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso

según los siguientes criterios:

Dirección IP de origen

Dirección IP de destino

Tipo de mensaje ICMP

La ACL también puede extraer información de las capas superiores y probarla

respecto de las reglas. La información de las capas superiores incluye:

Puerto TCP/UDP de origen

Puerto TCP/UDP de destino

Page 11: Cap5 01 Acls

Filtrado de Paquetes - Permitidos

Page 12: Cap5 01 Acls

Filtrado de Paquetes - Denegados

Page 13: Cap5 01 Acls

Ejemplo de Filtrado de Paquetes

Page 14: Cap5 01 Acls

¿Qué es una ACL?

La ACL es una configuración de router que controla si un router permite o

deniega paquetes según el criterio encontrado en el encabezado del paquete.

Las ACL son unos de los objetos más comúnmente utilizados en el software IOS

de Cisco.

Las ACL también se utilizan para seleccionar los tipos de tráfico por analizar,

reenviar o procesar de otras maneras.

Como cada paquete llega a través de una interfaz con una

ACL asociada, la ACL se revisa de arriba a abajo, una línea

a la vez, y se busca un patrón que coincida con el paquete

entrante.

Page 15: Cap5 01 Acls

¿Qué es una ACL?

La ACL hace cumplir una o más políticas de seguridad corporativas al aplicar

una regla de permiso o denegación para determinar el destino del paquete.

De manera predeterminada, un router no tiene ninguna

ACL configurada y, por lo tanto, no filtra el tráfico.

Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarse a

través del router lo atraviesan hacia el próximo segmento de la red.

Page 16: Cap5 01 Acls

Pautas para el USO de ACL

Utilice las ACL en routers firewall entre su red interna y su red externa, como

Internet.

Utilice las ACL en un router situado entre dos partes de la red a fin de

controlar el tráfico que entra o sale de una parte específica de su red interna.

Configure las ACL en routers de borde situados en los extremos de la red. Esto

proporciona un búfer muy básico desde la red externa, o entre un área menos

controlada y un área más sensible de su red.

Configure las ACL para cada protocolo de red configurado en las interfaces del

router de borde. Puede configurar las ACL en una interfaz para filtrar el

tráfico entrante, saliente o ambos.

Page 17: Cap5 01 Acls
Page 18: Cap5 01 Acls

Las tres P

Puede recordar una regla general para aplicar las ACL en un router mediante

las tres P. Puede configurar una ACL por protocolo, por dirección y por

interfaz.

Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe

definir una ACL para cada protocolo habilitado en la interfaz.

Una ACL por dirección: las ACL controlan el tráfico en una dirección a la vez de

una interfaz. Deben crearse dos ACL por separado para controlar el tráfico

entrante y saliente.

Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo,

Fast Ethernet 0/0.

Page 19: Cap5 01 Acls
Page 20: Cap5 01 Acls

ACLs realizan las siguientes tareas:

Limitar el tráfico de red para mejorar el rendimiento de

ésta. Por ejemplo, si la política corporativa no permite el

tráfico de video en la red, pueden configurarse y aplicarse

las ACL que bloquean el tráfico de video. Esto reduce

considerablemente la carga de la red y aumenta su

rendimiento.

Brindar control de flujo de tráfico. Las ACL pueden

restringir el envío de las actualizaciones de enrutamiento.

Si no se necesitan actualizaciones debido a las condiciones

de la red, se preserva el ancho de banda.

Page 21: Cap5 01 Acls

ACLs realizan las siguientes tareas:

Proporcionar un nivel básico de seguridad para el acceso a

la red. Las ACL pueden permitir que un host acceda a una

parte de la red y evitar que otro acceda a la misma área.

Por ejemplo, el acceso a la red de Recursos Humanos

puede restringirse a determinados usuarios.

Se debe decidir qué tipos de tráfico enviar o bloquear en

las interfaces del router. Por ejemplo, una ACL puede

permitir el tráfico de correo electrónico, pero bloquear

todo el tráfico de Telnet.

Page 22: Cap5 01 Acls

ACLs realizan las siguientes tareas:

Controlar las áreas de la red a las que puede acceder un

cliente.

Analizar los hosts para permitir o denegar su acceso a los

servicios de red. Las ACL pueden permitir o denegar el

acceso de un usuario a tipos de archivos, como FTP o

HTTP.

Page 23: Cap5 01 Acls

Las ACL se configuran para ser aplicadas

al tráfico entrante o saliente.

ACL de entrada: los paquetes entrantes se procesan antes

de ser enrutados a la interfaz de salida. Una ACL de

entrada es eficaz porque guarda la carga de búsquedas de

enrutamiento si el paquete se descarta. Si el paquete está

autorizado por las pruebas, luego se procesa para el

enrutamiento.

ACL de salida: los paquetes entrantes se enrutan a la

interfaz de salida y luego son procesados a través de la

ACL de salida.

Page 24: Cap5 01 Acls

ACL de Entrada

Page 25: Cap5 01 Acls

ACL de Salida

Page 26: Cap5 01 Acls

Procesos ACL y de enrutamiento en un

router

Page 27: Cap5 01 Acls

Tipos de ACL de CISCO

Hay dos tipos de ACL Cisco: estándar y extendidas.

ACL estándar

ACL extendida

Page 28: Cap5 01 Acls

ACL estándar

Las ACL estándar le permiten autorizar o denegar el tráfico desde las

direcciones IP de origen.

No importan el destino del paquete ni los puertos involucrados.

El ejemplo permite todo el tráfico desde la red 192.168.30.0/24. Debido a la

sentencia implícita "deny any" (denegar todo) al final, todo el otro tráfico se

bloquea con esta ACL

Las ACL estándar se crean en el modo de configuración global.

Page 29: Cap5 01 Acls

ACL extendida

Las ACL extendidas filtran los paquetes IP en función de varios atributos, por

ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de

destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e

información opcional de tipo de protocolo para una mejor disparidad de

control.

Page 30: Cap5 01 Acls

¿Cómo funciona ACL estándar?

La ACL estándar es una colección secuencial de condiciones de permiso o

denegación que aplican a las direcciones IP. No se incluyen el destino del

paquete ni los puertos involucrados.

Page 31: Cap5 01 Acls

Numeración y Denominación de ACL

Page 32: Cap5 01 Acls

Donde Ubicar las ACL

Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las

reglas básicas son:

Ubicar las ACL extendidas lo más cerca posible del

origen del tráfico denegado. De esta manera, el tráfico

no deseado se filtra sin atravesar la infraestructura de

red.

Como las ACL estándar no especifican las direcciones

de destino, colóquelas lo más cerca del destino

posible.

Page 33: Cap5 01 Acls

El administrador desea que el tráfico que se

origina en la red 192.168.10.0/24 no ingrese

a la red 192.168.30.0/24.

Page 34: Cap5 01 Acls
Page 35: Cap5 01 Acls

Mejores prácticas de las ACL

Page 36: Cap5 01 Acls
Page 37: Cap5 01 Acls
Page 38: Cap5 01 Acls

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Page 39: Cap5 01 Acls

Configuración de las ACL estándar

Page 40: Cap5 01 Acls

Eliminación de una ACL

Page 41: Cap5 01 Acls

Documentación de una ACL

Page 42: Cap5 01 Acls

Máscara Wildcard

Page 43: Cap5 01 Acls

Ejemplos Máscara Wildcard

Page 44: Cap5 01 Acls

Palabras clave de la máscara de bits

wildcard

La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos

los bits de direcciones IP deben coincidir o que sólo un host coincide.

La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta

máscara indica que debe ignorarse toda la dirección IP o que deben aceptarse

todas las direcciones.

Page 45: Cap5 01 Acls

Palabras clave de la máscara de bits

wildcard - Ejemplos

Page 46: Cap5 01 Acls
Page 47: Cap5 01 Acls

Procedimientos de configuración de las

ACL estándar

Page 48: Cap5 01 Acls
Page 49: Cap5 01 Acls
Page 50: Cap5 01 Acls
Page 51: Cap5 01 Acls
Page 52: Cap5 01 Acls

Edición de ACL numeradas

Page 53: Cap5 01 Acls

Comentarios en ACL

Page 54: Cap5 01 Acls

Ejemplo de ACL denominada o nombrada

Page 55: Cap5 01 Acls

Ejemplo de ACL denominada o nombrada

Page 56: Cap5 01 Acls

Show access-list

Page 57: Cap5 01 Acls

Prueba de Paquetes con ACL extendida

Page 58: Cap5 01 Acls

Ejemplo ACL extendida

Page 59: Cap5 01 Acls
Page 60: Cap5 01 Acls
Page 61: Cap5 01 Acls
Page 62: Cap5 01 Acls

Como Aplicar ACL a una Interfaz

Page 63: Cap5 01 Acls
Page 64: Cap5 01 Acls
Page 65: Cap5 01 Acls
Page 66: Cap5 01 Acls

ACL Complejas

Page 67: Cap5 01 Acls

Tipos de ACL complejas

Page 68: Cap5 01 Acls

¿Qué son las ACL dinámicas?

El bloqueo es una característica de seguridad de filtrado de tráfico que utiliza

ACL dinámicas, a veces denominadas ACL de bloqueo. Está disponible sólo

para tráfico IP.

Las ACL dinámicas dependen de la conectividad Telnet, de la autenticación

(local o remota) y de las ACL extendidas.

La configuración de las ACL dinámicas comienza con la aplicación de una ACL

extendida para bloquear tráfico que atraviesa el router. Los usuarios que

deseen atravesar el router son bloqueados por la ACL extendida hasta que

utilizan Telnet para conectarse al router y ser autenticados. En ese momento,

se interrumpe la conexión a Telnet, y se agrega una ACL dinámica de única

entrada a la ACL extendida existente. Esta entrada permite el tráfico por un

período determinado; es posible que se produzcan errores por inactividad y

superación del tiempo de espera.

Page 69: Cap5 01 Acls

Cuándo utilizar las ACL dinámicas

En ese momento, se interrumpe la conexión a Telnet, y se agrega una ACL

dinámica de única entrada a la ACL extendida existente. Esta entrada permite

el tráfico por un período determinado; es posible que se produzcan errores

por inactividad y superación del tiempo de espera.

Cuando desea que un subconjunto de hosts de una red local acceda a un host

de una red remota protegida por un firewall. Con el bloqueo, puede permitir

el acceso al host remoto sólo a los conjuntos de hosts locales que desee. El

bloqueo requiere que los usuarios se autentiquen a través de AAA, servidor

TACACS+ u otro servidor de seguridad, antes de que permita a sus hosts el

acceso a los hosts remotos.

Page 70: Cap5 01 Acls

Beneficios de las ACL dinámicas

Uso de un mecanismo de desafío para autenticar los usuarios individuales

Administración simplificada en internetworks más grandes

En muchos casos, reducción de la cantidad de procesamiento de un router

necesario para las ACL

Reducción de la oportunidad de intromisiones a la red por parte de piratas

informáticos

Creación de acceso dinámico al usuario a través de un firewall, sin

comprometer otras restricciones de seguridad configuradas

Page 71: Cap5 01 Acls
Page 72: Cap5 01 Acls

¿Qué son las ACL reflexivas?

Las reflexivas son un tipo de firewall primitivo que permite el tráfico sólo si

es iniciado en una dirección.

Las ACLs reflexivas son un caso particular de ACL nombrada extendida, por

lo tanto no se pueden configurar en acl numeradas ni en acls nombradas

estándar.

Page 73: Cap5 01 Acls

ACL reflexivas

Los administradores de red utilizan las ACL reflexivas para permitir el tráfico

IP en sesiones que se originan en su red y, al mismo tiempo, denegar el tráfico

IP en sesiones que se originan fuera de la red.

Estas ACL permiten que el router administre el tráfico de sesión en forma

dinámica. El router examina el tráfico saliente y, cuando ve una conexión,

agrega una entrada a una ACL temporal para permitir la devolución de

respuestas.

Las ACL reflexivas contienen sólo entradas temporales. Estas entradas se

crean automáticamente cuando se inicia una nueva sesión IP (con un paquete

saliente, por ejemplo) y las entradas se eliminan automáticamente cuando

finaliza la sesión.

Page 74: Cap5 01 Acls

Configuración de ACL reflexivas

Page 75: Cap5 01 Acls

ACL basadas en el Tiempo

La ACL basada en el tiempo es similar en función

a la ACL extendida, pero admite control de acceso

basado en el tiempo. Para implementar las ACL

basadas en el tiempo, debe crear un rango horario

que defina la hora específica del día y la semana.

Debe identificar el rango de tiempo con un

nombre y, luego, remitirse a él mediante una

función.

Page 76: Cap5 01 Acls

Las ACL basadas en el tiempo tienen

muchos beneficios.

Ofrecen al administrador de red más control de los permisos y denegaciones

de acceso a los recursos.

Permiten a los administradores de red controlar los mensajes de registro. Las

entradas de las ACL pueden registrar el tráfico en determinados momentos

del día, pero no de forma permanente. De esta manera, los administradores

pueden simplemente denegar el acceso, sin tener que analizar los diferentes

registros que se generan durante las horas pico.

Page 77: Cap5 01 Acls
Page 78: Cap5 01 Acls

Resolución de problemas Comunes

Page 79: Cap5 01 Acls

Resolución de problemas Comunes

Page 80: Cap5 01 Acls

Resolución de problemas Comunes

Page 81: Cap5 01 Acls

Resolución de problemas Comunes

Page 82: Cap5 01 Acls

Resolución de problemas Comunes

Page 83: Cap5 01 Acls

Actividades

Page 84: Cap5 01 Acls
Page 85: Cap5 01 Acls
Page 86: Cap5 01 Acls
Page 87: Cap5 01 Acls