SlideShare una empresa de Scribd logo

Listas de Control de Acceso

Ricardo Anchante
Ricardo Anchante

Breve descripcion de las recomendaciones al implantar ACL.

Tecnología
1 de 28
Recomendaciones en la implantación de listas de control de acceso Ricardo J. Anchante Anyarin ranchante@hotmail.com 22/02/2011 1
Listas de control de Acceso ¿Qué son? • Esencialmente son listas de condiciones para poder acceder a una red o dispositivo. • Son una herramienta muy poderosa para controlar el acceso en ambos sentidos: tanto desde como hacia la red. • Pueden filtrar tráfico no deseado, y son utilizadas para implementar políticas de seguridad. • Al aplicar una lista de acceso, se obliga al router a analizar cada paquete que atraviesa la interface en una dirección específica, reduciendo de esta manera la perfomance del dispositivo. 2
Listas de Control de Acceso ¿Cómo trabajan? • Cada paquete es comparado con cada línea de la lista de acceso en orden secuencial según han sido ingresadas. • La comparación se realiza hasta que se encuentra una coincidencia. • NO OLVIDAR – El final implícito de todo lista de acceso es una denegación de todo tráfico: deny all 3
Listas de Control de Acceso Tipos • Listas de Acceso Estándar • Filtran paquetes IP considerando solamente la dirección IP de origen. • Listas de Acceso Extendidas • Filtran paquetes IP considerando tanto la dirección de origen como la de destino, y los números de puerto del encabezado de capa de transporte. 4
Listas de Control de Acceso ¿Dónde las aplico? • Listas de Acceso de Ingreso • El paquete es procesado por la lista de acceso antes de ser enrutado al puerto de salida • Listas de Acceso de salida • El paquete es conmutado hacia el puerto de salida y allí es procesado por la lista de acceso. 5
Trafico sin listas de control de acceso TABLA DE ENRUTAMIENTO C 172.16.1.0 s0 C 172.16.2.0 s1 R 172.16.3.0 s1 R 172.17.4.0 s1 PAQUETE PAQUETE IP IP 6
Trafico con Listas de Control de Acceso de ingreso ip access-group 101 in TABLA DE ENRUTAMIENTO ip access-group 101 in ip access-group 101 in C 172.16.1.0 s0 ip access-group 101 in C 172.16.2.0 s1 ip access-group 101 in R 172.16.3.0 s1 ip access-group R 172.17.4.0 101 in s1 ip access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in PAQUETE ip access-group 101 in ip access-group 101 in ip IP access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in DROP ip access-group 101 in 7
Trafico con Listas de Control de Acceso de salida ip access-group 101 out TABLA DE ENRUTAMIENTO ip access-group 101 out C 172.16.1.0 ip access-group s0 101 out C 172.16.2.0 ip access-group s1 101 out R 172.16.3.0 ip access-group s1 101 out R 172.17.4.0 ip s1 access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out PAQUETE ip access-group 101 out ip access-group 101 out IP ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip DROP access-group 101 out 8
Recomendaciones para la aplicación de Listas de Control de Acceso • Solo se puede asignar una lista de acceso por interface • Organice su lista de acceso de modo que los criterios más específicos estén al inicio. • Si en algún momento agrega una nueva línea a la lista, esta se ubicará al final de la misma. • No se puede remover una línea de una lista de acceso. • Al menos que su lista termine con un comando permit, todo los paquetes que no coincidan con alguno de los criterios serán descartados. 9
Recomendaciones para la aplicación de Listas de Control de Acceso • Toda lista de acceso debe tener al menos un comando permit. • Primero cree la lista de acceso, y luego aplíquela a la interface. • Las listas de acceso están diseñadas para filtrar el tráfico que atraviesa el router. No filtran el tráfico originado en el router. • Ubique las listas de acceso estándar lo más cerca posible del destino. • Ubique las listas de acceso extendidas lo más cerca posible del origen. 10
Listas de Control de Acceso Estandar Utilice el comando access-list.... Router(config)#access-list ? <1-99> IP standard access list 11
Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso Router(config)#access-list 10 ? deny Specify packets to reject Permit Specify packets to forward 12
Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso • Puede filtrar tanto un host específico como un grupo de direcciones o referirse a cualquier host de origen. Router(config)#access-list 10 deny ? Hostname or A.B.C.D Address to match any Any source host host A single host address 13
Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo de hosts, subred o red de origen. • La máscara de wildcard debe acompañaba la dirección de la red, subred o host que se desea filtrar. • En esta máscara, el dígito binario en 0 indica que los mismos dígitos de la dirección IP deben coincidir exactamente. Router(config)#access-list 10 deny 192.168.2.10 0.0.0.0 Máscara de wildcard Dirección IP de origen 14
Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo, subred o red de origen. • Aplique la lista de acceso a la interface Router(config)#interface serial 0 Router(config-if)#access-group 10 out 15
Máscara de wildcard (recomendaciones) • Dirección binaria de 32 dígitos divididos en 4 octetos. • A diferencia de las máscaras de subred, los 0 indican los dígitos significativos a considerar. • El comando host reemplaza a una máscara de wildcard 0.0.0.0 • El comando any reemplaza a una máscara de wildcard 255.255.255.255 • La máscara de wildcard no necesariamente toma una red o subred completa, puede también considerar bits aislados. 16
Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... Router(config)#access-list ? <100-199> IP extended access list 17
Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. Router(config)#access-list 105 ? deny Specify packets to reject Permit Specify packets to forward 18
Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. • Si desea establecer un filtro utilizando criterios de capa de aplicación, debe seleccionar ahora el protocolo que desea filtrar Router(config)#access-list 105 deny ? eigrp Cisco’s EIGRP routing protocol gre Cisco’s GRE tunneling --more-- 19
Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. Router(config)#access-list 105 deny tcp ? A.B.C.D Source address Any Any source host Host A single source host 20
Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. Router(config)#access-list 105 deny tcp host 192.168.2.5 ? A.B.C.D source address Any any source host Host A single source host 21
Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. • Finalmente, el sistema le requerirá que ingrese el puerto TCP de destino Router(config)#access-list 105 deny tcp host 192.168.2.5 any ? eq Match only packets on a give port numer gt Match only packets with a grater port number --more-- 22
Lista de acceso extendida Configuración Router(config)#access-list 105 deny tcp host 192.168.2.5 any eq 21 Router( ACL IP extendida Deniega el acceso Paquetes TCP Puerto TCP de destino Dirección IP de destino Dirección IP de origen ¿Por qué no interesa filtrar también según puerto TCP de origen? 23
Listas de control de acceso nombradas 24
Lista de acceso nombradas recomendaciones • Pueden ser tanto listas de acceso estándar como extendidas. • No se identifican por un número sino por un nombre. • Se crean dentro de un submodo de configuración de las listas de acceso nombradas. • Permiten editar las líneas de la lista sin necesidad de borrarlas. 25
Lista de acceso nombradas Configuración 1. Cree la lista de acceso nombrada Rter(config)#ip access-list extended server-access Rter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp Rter(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain Rter(config-ext-nacl)#Ctrl+Z 1. Aplíquela a la interface que corresponda Rter(config)#interface ethernet 0 Rter(config-if)#ip access-group server-access out Rter(config-if)#Ctrl+Z 26
¿Preguntas? 27
28

Recomendados

Acls
AclsAcls
AclsErwinn Plaza
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptosYoel Rivera Gonzalez
 
Cisco-VLSM y CIDR
Cisco-VLSM y CIDRCisco-VLSM y CIDR
Cisco-VLSM y CIDRBallet Artistico "Tradiciones Peruanas con sentimiento"
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoTeleredUSM
 
Todos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerTodos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerjlzo
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoPaulo Colomés
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Vanesa Rodríguez Percy
 
Eliminar una vlan
Eliminar una vlanEliminar una vlan
Eliminar una vlanAime Rodriguez
 

Recomendados

Acls
AclsAcls
AclsErwinn Plaza
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptosYoel Rivera Gonzalez
 
Cisco-VLSM y CIDR
Cisco-VLSM y CIDRCisco-VLSM y CIDR
Cisco-VLSM y CIDRBallet Artistico "Tradiciones Peruanas con sentimiento"
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoTeleredUSM
 
Todos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerTodos+los+comandos+que+hay+que+saber+para+configurar+un+router
Todos+los+comandos+que+hay+que+saber+para+configurar+un+routerjlzo
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoPaulo Colomés
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Vanesa Rodríguez Percy
 
Eliminar una vlan
Eliminar una vlanEliminar una vlan
Eliminar una vlanAime Rodriguez
 
Enrutamiento estatico-con-gns3
Enrutamiento estatico-con-gns3Enrutamiento estatico-con-gns3
Enrutamiento estatico-con-gns3Javierandres64
 
Subneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,cSubneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,cManuel Tapia Cruz
 
Dhcp
DhcpDhcp
DhcpJACKELIN SORALUZ
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6David Narváez
 
Taller direccionamiento ip v4
Taller direccionamiento ip v4Taller direccionamiento ip v4
Taller direccionamiento ip v4osneider acevedo naranjo
 
Informe vlans
Informe vlansInforme vlans
Informe vlanscespistols
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACLDavid Narváez
 
Access Control List & its Types
Access Control List & its TypesAccess Control List & its Types
Access Control List & its TypesNetwax Lab
 
DIRECCIONAMIENTO IP BASICO I
DIRECCIONAMIENTO IP BASICO IDIRECCIONAMIENTO IP BASICO I
DIRECCIONAMIENTO IP BASICO IRonald Reales Fernandez
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracerJosé Guerrero
 
Clase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de RedClase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de RedJosé Ricardo Tillero Giménez
 
Introduction to vxlan
Introduction to vxlanIntroduction to vxlan
Introduction to vxlanMohammed Umair
 
Firewall
FirewallFirewall
FirewallIngeSistemas Redes
 
Enrutamiento avanzado mediante BGP
Enrutamiento avanzado mediante BGPEnrutamiento avanzado mediante BGP
Enrutamiento avanzado mediante BGPFrancisco Javier Novoa de Manuel
 
DIRECCIONAMIENTO IP: IPv4 y IPv6
DIRECCIONAMIENTO IP: IPv4 y IPv6DIRECCIONAMIENTO IP: IPv4 y IPv6
DIRECCIONAMIENTO IP: IPv4 y IPv6Camilo Parada López
 
Presentación tcp y udp
Presentación tcp y udpPresentación tcp y udp
Presentación tcp y udpgonsu90
 
Introducción a la Capa de Red
Introducción a la Capa de RedIntroducción a la Capa de Red
Introducción a la Capa de RedJavier Peinado I
 
NAT
NATNAT
NATMiguel Castillo
 
Listas,pilas y colas Estructura de Datos
Listas,pilas y colas Estructura de DatosListas,pilas y colas Estructura de Datos
Listas,pilas y colas Estructura de DatosYorka Marisol Perez Feliz
 
Tabla de máscaras de red
Tabla de máscaras de redTabla de máscaras de red
Tabla de máscaras de redandros_omar
 
Acl
AclAcl
AclANALI GOMEZ
 
Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 

Más contenido relacionado

La actualidad más candente

Enrutamiento estatico-con-gns3
Enrutamiento estatico-con-gns3Enrutamiento estatico-con-gns3
Enrutamiento estatico-con-gns3Javierandres64
 
Subneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,cSubneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,cManuel Tapia Cruz
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6David Narváez
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACLDavid Narváez
 
Access Control List & its Types
Access Control List & its TypesAccess Control List & its Types
Access Control List & its TypesNetwax Lab
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracerJosé Guerrero
 
Presentación tcp y udp
Presentación tcp y udpPresentación tcp y udp
Presentación tcp y udpgonsu90
 
Introducción a la Capa de Red
Introducción a la Capa de RedIntroducción a la Capa de Red
Introducción a la Capa de RedJavier Peinado I
 
Tabla de máscaras de red
Tabla de máscaras de redTabla de máscaras de red
Tabla de máscaras de redandros_omar
 

La actualidad más candente (20)

Enrutamiento estatico-con-gns3
Enrutamiento estatico-con-gns3Enrutamiento estatico-con-gns3
Enrutamiento estatico-con-gns3
 
Subneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,cSubneteo con vlsm ejercicios clases a,b,c
Subneteo con vlsm ejercicios clases a,b,c
 
Dhcp
DhcpDhcp
Dhcp
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6
 
Taller direccionamiento ip v4
Taller direccionamiento ip v4Taller direccionamiento ip v4
Taller direccionamiento ip v4
 
Informe vlans
Informe vlansInforme vlans
Informe vlans
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL
 
Access Control List & its Types
Access Control List & its TypesAccess Control List & its Types
Access Control List & its Types
 
DIRECCIONAMIENTO IP BASICO I
DIRECCIONAMIENTO IP BASICO IDIRECCIONAMIENTO IP BASICO I
DIRECCIONAMIENTO IP BASICO I
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracer
 
Clase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de RedClase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de Red
 
Introduction to vxlan
Introduction to vxlanIntroduction to vxlan
Introduction to vxlan
 
Firewall
FirewallFirewall
Firewall
 
Enrutamiento avanzado mediante BGP
Enrutamiento avanzado mediante BGPEnrutamiento avanzado mediante BGP
Enrutamiento avanzado mediante BGP
 
DIRECCIONAMIENTO IP: IPv4 y IPv6
DIRECCIONAMIENTO IP: IPv4 y IPv6DIRECCIONAMIENTO IP: IPv4 y IPv6
DIRECCIONAMIENTO IP: IPv4 y IPv6
 
Presentación tcp y udp
Presentación tcp y udpPresentación tcp y udp
Presentación tcp y udp
 
Introducción a la Capa de Red
Introducción a la Capa de RedIntroducción a la Capa de Red
Introducción a la Capa de Red
 
NAT
NATNAT
NAT
 
Listas,pilas y colas Estructura de Datos
Listas,pilas y colas Estructura de DatosListas,pilas y colas Estructura de Datos
Listas,pilas y colas Estructura de Datos
 
Tabla de máscaras de red
Tabla de máscaras de redTabla de máscaras de red
Tabla de máscaras de red
 

Similar a Listas de Control de Acceso

Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-accesoalfredorata
 
CCNA_SEC_v11 Cap_04_part_I_EB
CCNA_SEC_v11 Cap_04_part_I_EBCCNA_SEC_v11 Cap_04_part_I_EB
CCNA_SEC_v11 Cap_04_part_I_EBEdgar Benavente
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxManuelAlejandroUlloa3
 
Clase20
Clase20Clase20
Clase201 2d
 
2 do trimestre
2 do trimestre2 do trimestre
2 do trimestreMELGO2012
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACLDavid Narváez
 
Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoJosu Orbe
 
Funcionamiento de-paquetes-ripospf-y-eigrp (1)
Funcionamiento de-paquetes-ripospf-y-eigrp (1)Funcionamiento de-paquetes-ripospf-y-eigrp (1)
Funcionamiento de-paquetes-ripospf-y-eigrp (1)Alexander Calle Donayre
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ipJuan Quijano
 

Similar a Listas de Control de Acceso (20)

Acl
AclAcl
Acl
 
Acl en windows
Acl en windowsAcl en windows
Acl en windows
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-acceso
 
CCNA_SEC_v11 Cap_04_part_I_EB
CCNA_SEC_v11 Cap_04_part_I_EBCCNA_SEC_v11 Cap_04_part_I_EB
CCNA_SEC_v11 Cap_04_part_I_EB
 
firewall
firewallfirewall
firewall
 
firewall
firewallfirewall
firewall
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
 
Manual Iptables
Manual IptablesManual Iptables
Manual Iptables
 
Clase20
Clase20Clase20
Clase20
 
2 do trimestre
2 do trimestre2 do trimestre
2 do trimestre
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACL
 
Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ip
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajo
 
Pdf
PdfPdf
Pdf
 
Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de acceso
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptx
 
Actividad l4
Actividad l4Actividad l4
Actividad l4
 
Utilerias
UtileriasUtilerias
Utilerias
 
Funcionamiento de-paquetes-ripospf-y-eigrp (1)
Funcionamiento de-paquetes-ripospf-y-eigrp (1)Funcionamiento de-paquetes-ripospf-y-eigrp (1)
Funcionamiento de-paquetes-ripospf-y-eigrp (1)
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ip
 

Último

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 

Último (20)

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 

Listas de Control de Acceso

  • 1. Recomendaciones en la implantación de listas de control de acceso Ricardo J. Anchante Anyarin ranchante@hotmail.com 22/02/2011 1
  • 2. Listas de control de Acceso ¿Qué son? • Esencialmente son listas de condiciones para poder acceder a una red o dispositivo. • Son una herramienta muy poderosa para controlar el acceso en ambos sentidos: tanto desde como hacia la red. • Pueden filtrar tráfico no deseado, y son utilizadas para implementar políticas de seguridad. • Al aplicar una lista de acceso, se obliga al router a analizar cada paquete que atraviesa la interface en una dirección específica, reduciendo de esta manera la perfomance del dispositivo. 2
  • 3. Listas de Control de Acceso ¿Cómo trabajan? • Cada paquete es comparado con cada línea de la lista de acceso en orden secuencial según han sido ingresadas. • La comparación se realiza hasta que se encuentra una coincidencia. • NO OLVIDAR – El final implícito de todo lista de acceso es una denegación de todo tráfico: deny all 3
  • 4. Listas de Control de Acceso Tipos • Listas de Acceso Estándar • Filtran paquetes IP considerando solamente la dirección IP de origen. • Listas de Acceso Extendidas • Filtran paquetes IP considerando tanto la dirección de origen como la de destino, y los números de puerto del encabezado de capa de transporte. 4
  • 5. Listas de Control de Acceso ¿Dónde las aplico? • Listas de Acceso de Ingreso • El paquete es procesado por la lista de acceso antes de ser enrutado al puerto de salida • Listas de Acceso de salida • El paquete es conmutado hacia el puerto de salida y allí es procesado por la lista de acceso. 5
  • 6. Trafico sin listas de control de acceso TABLA DE ENRUTAMIENTO C 172.16.1.0 s0 C 172.16.2.0 s1 R 172.16.3.0 s1 R 172.17.4.0 s1 PAQUETE PAQUETE IP IP 6
  • 7. Trafico con Listas de Control de Acceso de ingreso ip access-group 101 in TABLA DE ENRUTAMIENTO ip access-group 101 in ip access-group 101 in C 172.16.1.0 s0 ip access-group 101 in C 172.16.2.0 s1 ip access-group 101 in R 172.16.3.0 s1 ip access-group R 172.17.4.0 101 in s1 ip access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in PAQUETE ip access-group 101 in ip access-group 101 in ip IP access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in DROP ip access-group 101 in 7
  • 8. Trafico con Listas de Control de Acceso de salida ip access-group 101 out TABLA DE ENRUTAMIENTO ip access-group 101 out C 172.16.1.0 ip access-group s0 101 out C 172.16.2.0 ip access-group s1 101 out R 172.16.3.0 ip access-group s1 101 out R 172.17.4.0 ip s1 access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out PAQUETE ip access-group 101 out ip access-group 101 out IP ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip DROP access-group 101 out 8
  • 9. Recomendaciones para la aplicación de Listas de Control de Acceso • Solo se puede asignar una lista de acceso por interface • Organice su lista de acceso de modo que los criterios más específicos estén al inicio. • Si en algún momento agrega una nueva línea a la lista, esta se ubicará al final de la misma. • No se puede remover una línea de una lista de acceso. • Al menos que su lista termine con un comando permit, todo los paquetes que no coincidan con alguno de los criterios serán descartados. 9
  • 10. Recomendaciones para la aplicación de Listas de Control de Acceso • Toda lista de acceso debe tener al menos un comando permit. • Primero cree la lista de acceso, y luego aplíquela a la interface. • Las listas de acceso están diseñadas para filtrar el tráfico que atraviesa el router. No filtran el tráfico originado en el router. • Ubique las listas de acceso estándar lo más cerca posible del destino. • Ubique las listas de acceso extendidas lo más cerca posible del origen. 10
  • 11. Listas de Control de Acceso Estandar Utilice el comando access-list.... Router(config)#access-list ? <1-99> IP standard access list 11
  • 12. Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso Router(config)#access-list 10 ? deny Specify packets to reject Permit Specify packets to forward 12
  • 13. Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso • Puede filtrar tanto un host específico como un grupo de direcciones o referirse a cualquier host de origen. Router(config)#access-list 10 deny ? Hostname or A.B.C.D Address to match any Any source host host A single host address 13
  • 14. Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo de hosts, subred o red de origen. • La máscara de wildcard debe acompañaba la dirección de la red, subred o host que se desea filtrar. • En esta máscara, el dígito binario en 0 indica que los mismos dígitos de la dirección IP deben coincidir exactamente. Router(config)#access-list 10 deny 192.168.2.10 0.0.0.0 Máscara de wildcard Dirección IP de origen 14
  • 15. Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo, subred o red de origen. • Aplique la lista de acceso a la interface Router(config)#interface serial 0 Router(config-if)#access-group 10 out 15
  • 16. Máscara de wildcard (recomendaciones) • Dirección binaria de 32 dígitos divididos en 4 octetos. • A diferencia de las máscaras de subred, los 0 indican los dígitos significativos a considerar. • El comando host reemplaza a una máscara de wildcard 0.0.0.0 • El comando any reemplaza a una máscara de wildcard 255.255.255.255 • La máscara de wildcard no necesariamente toma una red o subred completa, puede también considerar bits aislados. 16
  • 17. Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... Router(config)#access-list ? <100-199> IP extended access list 17
  • 18. Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. Router(config)#access-list 105 ? deny Specify packets to reject Permit Specify packets to forward 18
  • 19. Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. • Si desea establecer un filtro utilizando criterios de capa de aplicación, debe seleccionar ahora el protocolo que desea filtrar Router(config)#access-list 105 deny ? eigrp Cisco’s EIGRP routing protocol gre Cisco’s GRE tunneling --more-- 19
  • 20. Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. Router(config)#access-list 105 deny tcp ? A.B.C.D Source address Any Any source host Host A single source host 20
  • 21. Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. Router(config)#access-list 105 deny tcp host 192.168.2.5 ? A.B.C.D source address Any any source host Host A single source host 21
  • 22. Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. • Finalmente, el sistema le requerirá que ingrese el puerto TCP de destino Router(config)#access-list 105 deny tcp host 192.168.2.5 any ? eq Match only packets on a give port numer gt Match only packets with a grater port number --more-- 22
  • 23. Lista de acceso extendida Configuración Router(config)#access-list 105 deny tcp host 192.168.2.5 any eq 21 Router( ACL IP extendida Deniega el acceso Paquetes TCP Puerto TCP de destino Dirección IP de destino Dirección IP de origen ¿Por qué no interesa filtrar también según puerto TCP de origen? 23
  • 24. Listas de control de acceso nombradas 24
  • 25. Lista de acceso nombradas recomendaciones • Pueden ser tanto listas de acceso estándar como extendidas. • No se identifican por un número sino por un nombre. • Se crean dentro de un submodo de configuración de las listas de acceso nombradas. • Permiten editar las líneas de la lista sin necesidad de borrarlas. 25
  • 26. Lista de acceso nombradas Configuración 1. Cree la lista de acceso nombrada Rter(config)#ip access-list extended server-access Rter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp Rter(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain Rter(config-ext-nacl)#Ctrl+Z 1. Aplíquela a la interface que corresponda Rter(config)#interface ethernet 0 Rter(config-if)#ip access-group server-access out Rter(config-if)#Ctrl+Z 26
  • 28. 28