Enviar búsqueda
Cargar
CCNA_SEC_v11 Cap_04_part_I_EB
•
Descargar como PPTX, PDF
•
0 recomendaciones
•
3,468 vistas
Edgar Benavente
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 62
Descargar ahora
Recomendados
Plantilla para realizar el manual de sistema o del analista
Plantilla para realizar el manual de sistema o del analista
Yaskelly Yedra
File system linux
File system linux
moliiceman
06 método simplex
06 método simplex
Julio Pari
2. SEGURIDAD HUMANA NSR 98 – NSR10.pptx
2. SEGURIDAD HUMANA NSR 98 – NSR10.pptx
JoseManuelSanchezPea1
Listas doblemente enlazadas C++ UP
Listas doblemente enlazadas C++ UP
MiguelGomez371
Acl extendida
Acl extendida
adilenejeronimo
Clase 09
Clase 09
Titiushko Jazz
511591245-Comandos-CCNA-v7.pptx
511591245-Comandos-CCNA-v7.pptx
RonaldoRomero7
Recomendados
Plantilla para realizar el manual de sistema o del analista
Plantilla para realizar el manual de sistema o del analista
Yaskelly Yedra
File system linux
File system linux
moliiceman
06 método simplex
06 método simplex
Julio Pari
2. SEGURIDAD HUMANA NSR 98 – NSR10.pptx
2. SEGURIDAD HUMANA NSR 98 – NSR10.pptx
JoseManuelSanchezPea1
Listas doblemente enlazadas C++ UP
Listas doblemente enlazadas C++ UP
MiguelGomez371
Acl extendida
Acl extendida
adilenejeronimo
Clase 09
Clase 09
Titiushko Jazz
511591245-Comandos-CCNA-v7.pptx
511591245-Comandos-CCNA-v7.pptx
RonaldoRomero7
Configuración acl extendida
Configuración acl extendida
Marbella Arroyo Gonzalez
Configuración basica del un router.pdf
Configuración basica del un router.pdf
YAELMILDRAYACOSTAMEJ
ITN_Module_10.pptx
ITN_Module_10.pptx
ssuser2fc2be
Clase 15
Clase 15
Titiushko Jazz
Clase 15
Clase 15
Titiushko Jazz
Examen Capitulo 11 de Cisco
Examen Capitulo 11 de Cisco
Daniiel Campos
Ccna 1 capítulo 11
Ccna 1 capítulo 11
Hack '
Practica_1_STD.pptx
Practica_1_STD.pptx
JorgeGonzales972788
Implementación de tecnologías de firewall
Implementación de tecnologías de firewall
fillescas
Acls
Acls
Erwinn Plaza
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
Paty Dominguez Asto
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
timmaujim
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
timmaujim
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
timmaujim
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
JAV_999
Taller acl estandar
Taller acl estandar
Alumic S.A
Clase20
Clase20
1 2d
Comandos ccna-1-y-ccna-2-v5-rs
Comandos ccna-1-y-ccna-2-v5-rs
OscarFF
Listas de acceso
Listas de acceso
Leonoa Brises Sixtos
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
ManuelAlejandroUlloa3
Exploration routing chapter_11
Exploration routing chapter_11
Edgar Benavente
Exploration routing chapter_10
Exploration routing chapter_10
Edgar Benavente
Más contenido relacionado
Similar a CCNA_SEC_v11 Cap_04_part_I_EB
Configuración acl extendida
Configuración acl extendida
Marbella Arroyo Gonzalez
Configuración basica del un router.pdf
Configuración basica del un router.pdf
YAELMILDRAYACOSTAMEJ
ITN_Module_10.pptx
ITN_Module_10.pptx
ssuser2fc2be
Clase 15
Clase 15
Titiushko Jazz
Clase 15
Clase 15
Titiushko Jazz
Examen Capitulo 11 de Cisco
Examen Capitulo 11 de Cisco
Daniiel Campos
Ccna 1 capítulo 11
Ccna 1 capítulo 11
Hack '
Practica_1_STD.pptx
Practica_1_STD.pptx
JorgeGonzales972788
Implementación de tecnologías de firewall
Implementación de tecnologías de firewall
fillescas
Acls
Acls
Erwinn Plaza
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
Paty Dominguez Asto
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
timmaujim
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
timmaujim
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
timmaujim
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
JAV_999
Taller acl estandar
Taller acl estandar
Alumic S.A
Clase20
Clase20
1 2d
Comandos ccna-1-y-ccna-2-v5-rs
Comandos ccna-1-y-ccna-2-v5-rs
OscarFF
Listas de acceso
Listas de acceso
Leonoa Brises Sixtos
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
ManuelAlejandroUlloa3
Similar a CCNA_SEC_v11 Cap_04_part_I_EB
(20)
Configuración acl extendida
Configuración acl extendida
Configuración basica del un router.pdf
Configuración basica del un router.pdf
ITN_Module_10.pptx
ITN_Module_10.pptx
Clase 15
Clase 15
Clase 15
Clase 15
Examen Capitulo 11 de Cisco
Examen Capitulo 11 de Cisco
Ccna 1 capítulo 11
Ccna 1 capítulo 11
Practica_1_STD.pptx
Practica_1_STD.pptx
Implementación de tecnologías de firewall
Implementación de tecnologías de firewall
Acls
Acls
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
2.3.3.5 lab configuring a switch management address
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
Taller acl estandar
Taller acl estandar
Clase20
Clase20
Comandos ccna-1-y-ccna-2-v5-rs
Comandos ccna-1-y-ccna-2-v5-rs
Listas de acceso
Listas de acceso
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
Más de Edgar Benavente
Exploration routing chapter_11
Exploration routing chapter_11
Edgar Benavente
Exploration routing chapter_10
Exploration routing chapter_10
Edgar Benavente
Exploration routing chapter_9
Exploration routing chapter_9
Edgar Benavente
Exploration routing chapter_7
Exploration routing chapter_7
Edgar Benavente
Exploration routing chapter_5
Exploration routing chapter_5
Edgar Benavente
Exploration routing chapter_4
Exploration routing chapter_4
Edgar Benavente
Exploration routing chapter_3
Exploration routing chapter_3
Edgar Benavente
Exploration routing chapter_2
Exploration routing chapter_2
Edgar Benavente
Exploration routing chapter_1
Exploration routing chapter_1
Edgar Benavente
Exploration network chapter9
Exploration network chapter9
Edgar Benavente
Exploration network chapter8
Exploration network chapter8
Edgar Benavente
Exploration network chapter7
Exploration network chapter7
Edgar Benavente
Exploration network chapter6
Exploration network chapter6
Edgar Benavente
Exploration network chapter5
Exploration network chapter5
Edgar Benavente
Exploration network chapter4
Exploration network chapter4
Edgar Benavente
Exploration network chapter3
Exploration network chapter3
Edgar Benavente
Exploration routing chapter_6
Exploration routing chapter_6
Edgar Benavente
Exploration network chapter2
Exploration network chapter2
Edgar Benavente
Exploration network chapter1
Exploration network chapter1
Edgar Benavente
Exploration network chapter11
Exploration network chapter11
Edgar Benavente
Más de Edgar Benavente
(20)
Exploration routing chapter_11
Exploration routing chapter_11
Exploration routing chapter_10
Exploration routing chapter_10
Exploration routing chapter_9
Exploration routing chapter_9
Exploration routing chapter_7
Exploration routing chapter_7
Exploration routing chapter_5
Exploration routing chapter_5
Exploration routing chapter_4
Exploration routing chapter_4
Exploration routing chapter_3
Exploration routing chapter_3
Exploration routing chapter_2
Exploration routing chapter_2
Exploration routing chapter_1
Exploration routing chapter_1
Exploration network chapter9
Exploration network chapter9
Exploration network chapter8
Exploration network chapter8
Exploration network chapter7
Exploration network chapter7
Exploration network chapter6
Exploration network chapter6
Exploration network chapter5
Exploration network chapter5
Exploration network chapter4
Exploration network chapter4
Exploration network chapter3
Exploration network chapter3
Exploration routing chapter_6
Exploration routing chapter_6
Exploration network chapter2
Exploration network chapter2
Exploration network chapter1
Exploration network chapter1
Exploration network chapter11
Exploration network chapter11
Último
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
AdrianaMartnez618894
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
SergioMendoza354770
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
pabonheidy28
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
241531640
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Nombre Apellidos
La era de la educación digital y sus desafios
La era de la educación digital y sus desafios
Fundación YOD YOD
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
241514949
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
GiovanniJavierHidalg
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
aylincamaho
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
FacuMeza2
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
IsabellaMontaomurill
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
azmysanros90
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
MiguelAngelVillanuev48
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
JOSEFERNANDOARENASCA
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
maryfer27m
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
MidwarHenryLOZAFLORE
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
241523733
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
arkananubis
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
MiguelAtencio10
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
241514984
Último
(20)
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
La era de la educación digital y sus desafios
La era de la educación digital y sus desafios
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
CCNA_SEC_v11 Cap_04_part_I_EB
1.
Implementación de Tecnologías de
Firewall © 2012 Cisco and/or its affiliates. All rights reserved. 1
2.
• Los firewalls
separan redes protegidos de redes no protegidas, previniendo a usuarios no autorizados a los recursos de red protegidos: • Tecnologías implementadas: – ACLs • Estándars, extendidas, numeradas y ACLs nombradas – ACLs Avanzadas • Stateful firewall - ACLs con la palabra clave established • ACLs Reflexivas (dinamicas), ACLs basadas en tiempo – Característica de Zone-Based Firewall (ZBFW) © 2012 Cisco and/or its affiliates. All rights reserved. 2
3.
• Packet-filtering firewall •
Stateful firewall © 2012 Cisco and/or its affiliates. All rights reserved. 3
4.
ACLs © 2012 Cisco
and/or its affiliates. All rights reserved. 4
5.
• Virtualmente
cualquier tipo de trafico puede ser definido explícitamente usando una ACL numerada apropiadamente. 1-99 , 1300-1999 100-199 , 2000-2699 © 2012 Cisco and/or its affiliates. All rights reserved. 5
6.
• Nota:
– Puede ser aplicadas a una interface en dirección entrante o saliendo con el comando ip access-group. – En la VTY se implementa con el comando access-class. © 2012 Cisco and/or its affiliates. All rights reserved. 6
7.
R1(config)# ip access-list
standard RESTRICT-VTY R1(config-std-nacl)# remark Permit only Admin host R1(config-std-nacl)# permit host 192.168.1.10 R1(config-std-nacl)# exit R1(config)# line vty 0 4 R1(config-line)# access-class RESTRICT-VTY R1(config-line)# exit © 2012 Cisco and/or its affiliates. All rights reserved. 7
8.
© 2012 Cisco
and/or its affiliates. All rights reserved. 8
9.
• Cree una
ACL extendida llamada ACL-1 y aplíquela de manera entrante en la interface Fa0/0, para denegar el trafico saliente del servidor workgroup pero que permita el trafico restante de los usuarios de la LAN haciendo uso de la palabra clave established . R1(config)# ip access-list extended ACL-1 R1(config-ext-nacl)# remark LAN ACL R1(config-ext-nacl)# deny ip host 192.168.1.6 any R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any established R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface Fa0/0 R1(config-if)# ip access-group ACL-1 in R1(config-if)# exit © 2012 Cisco and/or its affiliates. All rights reserved. 9
10.
• Cree una
ACL extendida llamada ACL-2 y apliquela de salida en la interface DMZ Fa0/1, permitiendo el acceso especificamente a los servidores Web y Email. R1(config)# ip access-list extended ACL-2 R1(config-ext-nacl)# remark DMZ ACL R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25 R1(config-ext-nacl)# permit tcp any host 192.168.2.6 eq 80 R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# interface Fa0/1 R1(config-if)# ip access-group ACL-2 out R1(config-if)# exit El parámetro log puede ser anexado al final de la sentencia ACL. permit tcp any host 192.168.2.6 eq 80 log © 2012 Cisco and/or its affiliates. All rights reserved. 10
11.
• Una vez
configurado, el IOS compara los paquetes y encuentra una coincidencia con la sentencia. • El router entonces registra cualquiera de estas, ya sea por: – La consola – El buffer interno – Un syslog server © 2012 Cisco and/or its affiliates. All rights reserved. 11
12.
• Algunas partes
de la información son registradas: – Acción - permitir o denegar – Protocolo - TCP, UDP o ICMP – Direcciones Origen y Destino – Para TCP y UDP – números de puertos origen y destino – Para ICMP – tipos de mensajes • Los mensajes se procesan de manera conmutada, de acuerdo a la coincidencia del primer paquete y después a intervalos de cinco minutos. © 2012 Cisco and/or its affiliates. All rights reserved. 12
13.
• Un comando
útil para ver la operación de una lista de acceso es el comando show log. • Para resetear los contadores, use el comando clear ip access-list counter [number | name]. © 2012 Cisco and/or its affiliates. All rights reserved. 13
14.
• Por defecto
cuando añadimos una sentencia a una ACL esta se añade al final. Sin los números de secuencia la única forma de añadir una declaración entre las entradas existentes consiste en borrar la ACL, editarla y volver a crearla. • Las ACL IP con números de secuencia permite agregar o eliminar de forma selectiva una sentencia en cualquier posición dentro de la ACL. • Para crear una ACL nombrada extendida use el siguiente comando: ip access-list {standard | extended} access- list-name command. © 2012 Cisco and/or its affiliates. All rights reserved. 14
15.
• show running-config
o show startup-config • show ip access-lists access-list-name • show access-list • Por defecto los números de secuencia comienzan en 10 y se incrementan en valores de 10 si no se especifica cuando se añaden sentencias a la ACL. © 2012 Cisco and/or its affiliates. All rights reserved. 15
16.
• Verificación, haciendo
uso del comando show para ver los números de secuencia actuales. R1# show access-list 150 Extended IP acess list 150 10 permit tcp any any eq www 20 permit tcp any any eq telnet 30 permit tcp any any eq smtp 40 permit tcp any any eq pop3 50 permit tcp any any eq 21 60 permit tcp any any eq 20 • Use el comando no sequence-number para borrar una sentencia. R1(config)# ip access-list extended 150 R1(config-ext-nacl)# no 20 • Use el comando sequence-number {permit | deny} para agregar la nueva sentencia a la ACL. R1(config)# ip access-list extended 150 R1(config-ext-nacl)# 20 permit tcp host 192.168.1.100 any eq telnet © 2012 Cisco and/or its affiliates. All rights reserved. 16
17.
Localización de la
ACL © 2012 Cisco and/or its affiliates. All rights reserved. 17
18.
© 2012 Cisco
and/or its affiliates. All rights reserved. 18
19.
© 2012 Cisco
and/or its affiliates. All rights reserved. 19
20.
• Las ACLs
estándar: – Se ubican los más cercano al destino como sea posible. – Debido a que estas filtran paquetes basado en las direcciones de origen del trafico. • Las ACLs extendidas: – Se ubican lo más cercano al origen como sea posible al trafico que se desea filtrar. – La ubicación demasiado lejos de la fuente hace que el uso sea ineficiente para los recursos de la red porque los paquetes se pueden enviar muy lejos sólo para denegarlos. © 2012 Cisco and/or its affiliates. All rights reserved. 20
21.
Configuración de ACLs
usando CCP © 2012 Cisco and/or its affiliates. All rights reserved. 21
22.
© 2012 Cisco
and/or its affiliates. All rights reserved. 22
23.
© 2012 Cisco
and/or its affiliates. All rights reserved. 23
24.
© 2012 Cisco
and/or its affiliates. All rights reserved. 24
25.
© 2012 Cisco
and/or its affiliates. All rights reserved. 25
26.
© 2012 Cisco
and/or its affiliates. All rights reserved. 26
27.
ACLs Complejas © 2012
Cisco and/or its affiliates. All rights reserved. 27
28.
• En una
red moderna todo el tráfico desde el exterior se debe bloquear a menos que: – Queda expresamente permitido por una ACL. – Se está retornando tráfico iniciado desde el interior de la red. • Muchas de las aplicaciones comunes se basan en TCP, el cual construye un circuito virtual entre dos puntos finales. • Las soluciones para el filtrado de tráfico basado en la conectividad de dos vías de TCP son: – TCP establecida – ACL reflexiva © 2012 Cisco and/or its affiliates. All rights reserved. 28
29.
• En 1995,
la primera generación de solución de filtrado de trafico basado en TCP establecida como palabra clave en ACL extendidas. – La palabra established de TCP bloquea todo el tráfico procedente de Internet, excepto para el tráfico de respuesta TCP iniciada desde dentro de la red. • La palabra clave established obliga al router a comprobar si el indicador de control TCP ACK o RST está activado. – Si el flag ACK está establecida, el tráfico TCP se le permite entrar – Si no, se asume que el tráfico está asociado a una conexión nueva iniciada desde el exterior. © 2012 Cisco and/or its affiliates. All rights reserved. 29
30.
R1(config)# access-list 100
permit tcp any eq 443 192.168.1.0 0.0.0.255 established R1(config)# access-list 100 deny ip any any R1(config)# interface s0/0/0 R1(config-if)# ip access-group 100 in © 2012 Cisco and/or its affiliates. All rights reserved. 30
31.
• En 1996,
la segunda generación de solución para el filtrado de la sesión fue las ACLs reflexivas. • A diferencia de la función de red TCP que acaba de utilizar los bits ACK y RST, el filtro de ACLs reflexivas en dirección de origen de destino o números de puerto. • Además, el filtrado de sesión utiliza filtros temporales que se eliminan cuando una sesión culmina añadiendo un límite de tiempo si se esta en oportunidad de un ataque. © 2012 Cisco and/or its affiliates. All rights reserved. 31
32.
• Los administradores
de red utilizan las ACLs reflexivas para permitir el tráfico IP de las sesiones procedentes de su red al tiempo que niega el tráfico IP de las sesiones que se originan fuera de la red. • El router examina el tráfico de salida y cuando ve una nueva conexión, se agrega una entrada en una ACL temporal para permitir las respuestas hacia adentro © 2012 Cisco and/or its affiliates. All rights reserved. 32
33.
• Paso 1.
– Crear una ACL interna que busca nuevas sesiones salientes y crea ACL reflexivas temporales. • Paso 2. – Crear una ACL externa que utiliza las ACLs reflexivas para examinar el tráfico de retorno. • Paso 3. – Activar la ACL nombrada en la Interface apropiada. © 2012 Cisco and/or its affiliates. All rights reserved. 33
34.
• Crear
una ACL reflexiva que permita a los usuarios internos que navegan a Internet con un navegador web y confiando en DNS con un tiempo de espera de 10 segundos. R1(config)# ip access-list extended INTERNAL_ACL R1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10 R1(config-ext-nacl)# exit R1(config)# ip access-list extended EXTERNAL_ACL R1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface s0/0/0 R1(config-if)# ip access-group INTERNAL_ACL out R1(config-if)# ip access-group EXTERNAL_ACL in © 2012 Cisco and/or its affiliates. All rights reserved. 34
35.
• Las ACLs
dinámicas son también llamadas las ACL de cerradura. • Las ACLs dinámicas autentican al usuario y permite un acceso limitado a través de su router firewall para un host o subred por un período determinado. • ACL dinámicas son dependientes de: – Telnet conectividad – Autenticación (local o remota) – ACL extendidas. © 2012 Cisco and/or its affiliates. All rights reserved. 35
36.
• Una ACL
extendida es aplicada para bloquear todo el trafico a través del router excepto el Telnet. – Los usuarios que quieran atravesar el router se bloquean por la ACL, hasta que usan Telnet para conectarse al router y se autentican. • Los usuarios se autentican mediante Telnet y luego se descartan. – Sin embargo, una sentencia de entrada dinámica se agrega a la ACL extendida existente. – Esto permite que el tráfico curse durante un período determinado; tiempos de espera de inactividad y absoluto sean posibles. © 2012 Cisco and/or its affiliates. All rights reserved. 36
37.
© 2012 Cisco
and/or its affiliates. All rights reserved. 37
38.
• Cuando se
desee que un usuario remoto específico o grupo de usuarios remotos acceden a un host dentro de la red, conectándose desde sus equipos remotos a través de Internet. • Cuando se desea que un subconjunto de hosts en una red local accedan a un host en una red remota que está protegida por un firewall. © 2012 Cisco and/or its affiliates. All rights reserved. 38
39.
R3(config)# username Student
password cisco R3(config)# access-list 101 permit tcp any host 10.2.2.2 eq telnet R3(config)# access-list 101 dynamic TESTLIST timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255 R3(config)# interface s0/0/1 R3(config-if)# ip access-group 101 in R3(config-if)# exit R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)# autocommand access-enable host timeout 15 © 2012 Cisco and/or its affiliates. All rights reserved. 39
40.
© 2012 Cisco
and/or its affiliates. All rights reserved. 40
41.
1.
Crear un rango de tiempo que define momentos específicos del día y de la semana. 2. Identificar el rango de tiempo con un nombre y a continuación se refiere a ella por una función. 3. Las restricciones de tiempo se imponen a la propia función. © 2012 Cisco and/or its affiliates. All rights reserved. 41
42.
• Los usuarios
no están autorizados a acceder a Internet durante horas de oficina, excepto durante el almuerzo y después de las horas entre las 5 P.M. y las 7 P.M. R1(config)# time-range EMPLOYEE-TIME R1(config-time-range)# periodic weekdays 12:00 to 13:00 R1(config-time-range)# periodic weekdays 17:00 to 19:00 R1(config-time-range)# exit R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIME R1(config)# access-list 100 deny ip any any R1(config)# interface FastEthernet 0/1 R1(config-if)# ip access-group 100 in R1(config-if)# exit © 2012 Cisco and/or its affiliates. All rights reserved. 42
43.
Troubleshooting de ACLs ©
2012 Cisco and/or its affiliates. All rights reserved. 43
44.
• Los dos
comands utiles para el troubleshooting de ACLs: – show access-lists – debug ip packet (detail) © 2012 Cisco and/or its affiliates. All rights reserved. 44
45.
© 2012 Cisco
and/or its affiliates. All rights reserved. 45
46.
© 2012 Cisco
and/or its affiliates. All rights reserved. 46
47.
Mitigación de Ataques
con ACLs © 2012 Cisco and/or its affiliates. All rights reserved. 47
48.
• Las ACLs
se pueden utilizar para mitigar muchas de las amenazas de la red: – Falsificación de direcciones IP, entrante o salientes – Ataques de DoS TCP SYN – Ataques de smurf DoS • Las ACLs tambien pueden filtrar los siguientes tipos de trafico: – Mensajes de ICMP entrante o salientes – traceroute © 2012 Cisco and/or its affiliates. All rights reserved. 48
49.
• Denegar todos
los paquetes IP que contengan las siguientes direcciones IP en su campo de origen: – Cualquier dirección de host local (127.0.0.0/8) – Cualquier dirección del RFC 1918 – Cualquier dirección en el rango de IP Multicast (224.0.0.0/4) Inbound on S0/0/0 R1(config)# access-list 150 deny ip 0.0.0.0 0.255.255.255 any R1(config)# access-list 150 deny ip 10.0.0.0 0.255.255.255 any R1(config)# access-list 150 deny ip 127.0.0.0 0.255.255.255 any R1(config)# access-list 150 deny ip 172.16.0.0 0.15.255.255 any R1(config)# access-list 150 deny ip 192.168.0.0 0.0.255.255 any R1(config)# access-list 150 deny ip 224.0.0.0 15.255.255.255 any R1(config)# access-list 150 deny ip host 255.255.255.255 any © 2012 Cisco and/or its affiliates. All rights reserved. 49
50.
• No permita
que los paquetes IP salientes con una dirección de origen distinto a una dirección IP válida de la red interna. Inbound on Fa0/1 R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any © 2012 Cisco and/or its affiliates. All rights reserved. 50
51.
• DNS, SMTP
y FTP son servicios comunes que a menudo se debe permitir a través de un firewall Outbound on Fa0/0 R1(config)# access-list 180 permit udp any host 192.168.20.2 eq domain R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq smtp R1(config)# access-list 180 permit tcp any host 192.168.20.2 eq ftp R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq telnet R1(config)# access-list 180 permit tcp host 200.5.5.5 host 192.168.20.2 eq 22 R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq syslog R1(config)# access-list 180 permit udp host 200.5.5.5 host 192.168.20.2 eq snmptrap © 2012 Cisco and/or its affiliates. All rights reserved. 51
52.
• Los hackers
utilizan paquetes ICMP para barridos de pings y ataques de DoS, el uso de mensajes de redirección ICMP para modificar las tablas de enrutamiento de host. – Tanto el eco de ICMP y redirección de los mensajes deben ser bloqueados de forma entrante por el router. © 2012 Cisco and/or its affiliates. All rights reserved. 52
53.
– Echo reply
- permite a los usuarios internos hacer ping a los hosts externos. – Source quench - Pide al remitente disminuir la tasa de tráfico. – Unreachable - Mensajes inalcanzables se generan para los paquetes que son denegados por una ACL. Inbound on S0/0/0 R1(config)# access-list 150 permit icmp any any echo-reply R1(config)# access-list 150 permit icmp any any source-quench R1(config)# access-list 150 permit icmp any any unreachable R1(config)# access-list 150 deny icmp any any R1(config)# access-list 150 permit ip any any © 2012 Cisco and/or its affiliates. All rights reserved. 53
54.
–
Echo – permite a los usuarios hacer ping a los hosts externos. – Parameter problem – Informa al host de problemas de encabezado. – Packet too big – Requerido por el paquete de descubrimiento de MTU. – Source quench - Acelera el tráfico cuando sea necesario. Inbound on Fa0/0 R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any echo R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any parameter-problem R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any packet-too-big R1(config)# access-list 105 permit icmp 192.168.1.0 0.0.0.255 any source-quench R1(config)# access-list 105 deny icmp any any R1(config)# access-list 105 permit ip any any © 2012 Cisco and/or its affiliates. All rights reserved. 54
55.
ACLs IPv6 © 2012
Cisco and/or its affiliates. All rights reserved. 55
56.
• Las ACLs
en IPv6 son similares a las ACLs de IPv4. • Las ACLs en IPv6 se crean usando el comando – ipv6 access-list. • Las ACLs IPv6 se aplican a una interface mediante el comando – ipv6 traffic-filter access-list-name {in | out} © 2012 Cisco and/or its affiliates. All rights reserved. 56
57.
– permit icmp
any any nd-na (neighbor advertisements) – permit icmp any any nd-ns (neighbor solicitations) • Al igual que con las ACLs IPv4, todas las ACL IPV6 incluyen una sentencia final implicita. – deny ipv6 any any © 2012 Cisco and/or its affiliates. All rights reserved. 57
58.
Object Groups © 2012
Cisco and/or its affiliates. All rights reserved. 58
59.
• Object groups
son usados para clasificar usuarios, dispositivos o protocolo en grupos. • Estos grupos se pueden utilizar para crear políticas de control de acceso para grupos de objetos • Tanto las ACLs IPv4 e IPv6 se pueden utilizar en grupos de objetos. © 2012 Cisco and/or its affiliates. All rights reserved. 59
60.
• En esta
topología, hay 3 servidores, cada uno requiriend acceso desde fuera de la red • Sin grupos de objetos, tenemos que configurar una declaración de permiso para cada servidor, para cada protocolo: R1(config)# ip access-list extended In R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq smtp R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq www R1(config-ext-nacl)# permit tcp any host 10.10.10.1 eq https R1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq smtp R1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq www R1(config-ext-nacl)# permit tcp any host 10.10.10.2 eq https R1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq smtp R1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq www R1(config-ext-nacl)# permit tcp any host 10.10.10.3 eq https • Pero, ¿y si otros servidores o protocolos se añaden más tarde? Usted tendrá que editar la ACL! © 2012 Cisco and/or its affiliates. All rights reserved. 60
61.
• Para la
misma topología, haciendo uso de la configuración de object group previa, primero se crea el grupo de objetos de servicios: R1(config)# object-group service Web-svcs tcp R1(config-service-group)# tcp smtp R1(config-service-group)# tcp www R1(config-service-group)# tcp https • Luego, cree el objeto de red para los servidores: R1(config)# object-group network Webservers R1(config-network-group)# range 10.10.10.1 10.10.10.3 • Por último, se crea la ACL: R1(config)# ip access-list extended In R1(config-ext-nacl)# access-list In permit tcp any object-group Webservers object-group Web-svcs • Cuando se agrega un nuevo servidor o servicio, simplemente se edita el object group…No se toca la ACL! © 2012 Cisco and/or its affiliates. All rights reserved. 61
Descargar ahora