Ricardo Anchante, profile picture
Subido porRicardo Anchante
1,815 vistas

Acl

Este documento proporciona recomendaciones sobre la implementación de listas de control de acceso. Las listas de control de acceso permiten filtrar el tráfico de red entrante y saliente mediante el uso de condiciones. Existen dos tipos principales: listas de acceso estándar que filtran según la dirección IP de origen, y listas de acceso extendidas que también consideran el puerto de destino. Se recomienda aplicar listas de acceso a interfaces específicas para controlar el acceso de forma granular.

Incrustar presentación

Recomendaciones en la implantación de listas de control de acceso Ricardo J. Anchante Anyarin ranchante@hotmail.com 22/02/2011 1
Listas de control de Acceso ¿Qué son? • Esencialmente son listas de condiciones para poder acceder a una red o dispositivo. • Son una herramienta muy poderosa para controlar el acceso en ambos sentidos: tanto desde como hacia la red. • Pueden filtrar tráfico no deseado, y son utilizadas para implementar políticas de seguridad. • Al aplicar una lista de acceso, se obliga al router a analizar cada paquete que atraviesa la interface en una dirección específica, reduciendo de esta manera la perfomance del dispositivo. 2
Listas de Control de Acceso ¿Cómo trabajan? • Cada paquete es comparado con cada línea de la lista de acceso en orden secuencial según han sido ingresadas. • La comparación se realiza hasta que se encuentra una coincidencia. • NO OLVIDAR – El final implícito de todo lista de acceso es una denegación de todo tráfico: deny all 3
Listas de Control de Acceso Tipos • Listas de Acceso Estándar • Filtran paquetes IP considerando solamente la dirección IP de origen. • Listas de Acceso Extendidas • Filtran paquetes IP considerando tanto la dirección de origen como la de destino, y los números de puerto del encabezado de capa de transporte. 4
Listas de Control de Acceso ¿Dónde las aplico? • Listas de Acceso de Ingreso • El paquete es procesado por la lista de acceso antes de ser enrutado al puerto de salida • Listas de Acceso de salida • El paquete es conmutado hacia el puerto de salida y allí es procesado por la lista de acceso. 5
Trafico sin listas de control de acceso TABLA DE ENRUTAMIENTO C 172.16.1.0 s0 C 172.16.2.0 s1 R 172.16.3.0 s1 R 172.17.4.0 s1 PAQUETE PAQUETE IP IP 6
Trafico con Listas de Control de Acceso de ingreso ip access-group 101 in TABLA DE ENRUTAMIENTO ip access-group 101 in ip access-group 101 in C 172.16.1.0 s0 ip access-group 101 in C 172.16.2.0 s1 ip access-group 101 in R 172.16.3.0 s1 ip access-group R 172.17.4.0 101 in s1 ip access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in PAQUETE ip access-group 101 in ip access-group 101 in ip IP access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in DROP ip access-group 101 in 7
Trafico con Listas de Control de Acceso de salida ip access-group 101 out TABLA DE ENRUTAMIENTO ip access-group 101 out C 172.16.1.0 ip access-group s0 101 out C 172.16.2.0 ip access-group s1 101 out R 172.16.3.0 ip access-group s1 101 out R 172.17.4.0 ip s1 access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out PAQUETE ip access-group 101 out ip access-group 101 out IP ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip DROP access-group 101 out 8
Recomendaciones para la aplicación de Listas de Control de Acceso • Solo se puede asignar una lista de acceso por interface • Organice su lista de acceso de modo que los criterios más específicos estén al inicio. • Si en algún momento agrega una nueva línea a la lista, esta se ubicará al final de la misma. • No se puede remover una línea de una lista de acceso. • Al menos que su lista termine con un comando permit, todo los paquetes que no coincidan con alguno de los criterios serán descartados. 9
Recomendaciones para la aplicación de Listas de Control de Acceso • Toda lista de acceso debe tener al menos un comando permit. • Primero cree la lista de acceso, y luego aplíquela a la interface. • Las listas de acceso están diseñadas para filtrar el tráfico que atraviesa el router. No filtran el tráfico originado en el router. • Ubique las listas de acceso estándar lo más cerca posible del destino. • Ubique las listas de acceso extendidas lo más cerca posible del origen. 10
Listas de Control de Acceso Estandar Utilice el comando access-list.... Router(config)#access-list ? <1-99> IP standard access list 11
Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso Router(config)#access-list 10 ? deny Specify packets to reject Permit Specify packets to forward 12
Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso • Puede filtrar tanto un host específico como un grupo de direcciones o referirse a cualquier host de origen. Router(config)#access-list 10 deny ? Hostname or A.B.C.D Address to match any Any source host host A single host address 13
Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo de hosts, subred o red de origen. • La máscara de wildcard debe acompañaba la dirección de la red, subred o host que se desea filtrar. • En esta máscara, el dígito binario en 0 indica que los mismos dígitos de la dirección IP deben coincidir exactamente. Router(config)#access-list 10 deny 192.168.2.10 0.0.0.0 Máscara de wildcard Dirección IP de origen 14
Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo, subred o red de origen. • Aplique la lista de acceso a la interface Router(config)#interface serial 0 Router(config-if)#access-group 10 out 15
Máscara de wildcard (recomendaciones) • Dirección binaria de 32 dígitos divididos en 4 octetos. • A diferencia de las máscaras de subred, los 0 indican los dígitos significativos a considerar. • El comando host reemplaza a una máscara de wildcard 0.0.0.0 • El comando any reemplaza a una máscara de wildcard 255.255.255.255 • La máscara de wildcard no necesariamente toma una red o subred completa, puede también considerar bits aislados. 16
Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... Router(config)#access-list ? <100-199> IP extended access list 17
Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. Router(config)#access-list 105 ? deny Specify packets to reject Permit Specify packets to forward 18
Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. • Si desea establecer un filtro utilizando criterios de capa de aplicación, debe seleccionar ahora el protocolo que desea filtrar Router(config)#access-list 105 deny ? eigrp Cisco’s EIGRP routing protocol gre Cisco’s GRE tunneling --more-- 19
Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. Router(config)#access-list 105 deny tcp ? A.B.C.D Source address Any Any source host Host A single source host 20
Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. Router(config)#access-list 105 deny tcp host 192.168.2.5 ? A.B.C.D source address Any any source host Host A single source host 21
Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. • Finalmente, el sistema le requerirá que ingrese el puerto TCP de destino Router(config)#access-list 105 deny tcp host 192.168.2.5 any ? eq Match only packets on a give port numer gt Match only packets with a grater port number --more-- 22
Lista de acceso extendida Configuración Router(config)#access-list 105 deny tcp host 192.168.2.5 any eq 21 Router( ACL IP extendida Deniega el acceso Paquetes TCP Puerto TCP de destino Dirección IP de destino Dirección IP de origen ¿Por qué no interesa filtrar también según puerto TCP de origen? 23
Listas de control de acceso nombradas 24
Lista de acceso nombradas recomendaciones • Pueden ser tanto listas de acceso estándar como extendidas. • No se identifican por un número sino por un nombre. • Se crean dentro de un submodo de configuración de las listas de acceso nombradas. • Permiten editar las líneas de la lista sin necesidad de borrarlas. 25
Lista de acceso nombradas Configuración 1. Cree la lista de acceso nombrada Rter(config)#ip access-list extended server-access Rter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp Rter(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain Rter(config-ext-nacl)#Ctrl+Z 1. Aplíquela a la interface que corresponda Rter(config)#interface ethernet 0 Rter(config-if)#ip access-group server-access out Rter(config-if)#Ctrl+Z 26
¿Preguntas? 27
28

Más contenido relacionado

PPS
Acls
porErwinn Plaza
 
PDF
Acl conceptos
porYoel Rivera Gonzalez
 
PPTX
4. listas de control de acceso
porEduardo Lange
 
DOCX
Listas de Control de Acceso
porAlexx Campos
 
PDF
Routers cisco. Listas de control de acceso
porJosu Orbe
 
PDF
47272592 listas-control-acceso
poralfredorata
 
PPT
Acl estandar
por88palacios
 
DOC
Cómo funcionan las acl en cisco
porfitopia
 
Acls
porErwinn Plaza
 
Acl conceptos
porYoel Rivera Gonzalez
 
4. listas de control de acceso
porEduardo Lange
 
Listas de Control de Acceso
porAlexx Campos
 
Routers cisco. Listas de control de acceso
porJosu Orbe
 
47272592 listas-control-acceso
poralfredorata
 
Acl estandar
por88palacios
 
Cómo funcionan las acl en cisco
porfitopia
 

La actualidad más candente

PPTX
Acl extendida
poradilenejeronimo
 
PDF
Acl seguridad-ip
porJuan Quijano
 
PDF
Configuración y Documentación de ACL y Firewall ASA
porYimy Pérez Medina
 
DOCX
Reglas acl
porSandra Sotelo
 
PDF
Listas de acceso
porLeonoa Brises Sixtos
 
PDF
Configuración de listas de acceso ip
porJAV_999
 
PDF
Guia 7
porMarvin Navarro
 
PDF
5.1 Listas de control de acceso ACL
porDavid Narváez
 
PDF
Actividad 3: VLAN y ACL
porVanessa Estefania Corredor Andrade
 
PDF
Acl
porANALI GOMEZ
 
PDF
Acls
porSergio ChEco
 
DOCX
Acl trabajo
porJairo Rosas
 
PPTX
CCNA_SEC_v11 Cap_04_part_I_EB
porEdgar Benavente
 
PDF
Configuración de acl ip utilizadas frecuentemente
porJAV_999
 
PDF
Listas de control de acceso - ACL
porDavid Narváez
 
PDF
Configuración Firewall - CISCO ASA 5510
porVanesa Rodríguez Percy
 
PDF
2.4 Listas de control de Acceso - IPv6
porDavid Narváez
 
PDF
2. Configuración OSPF
porDavid Narváez
 
PDF
Configuracion de interfaces
porsantiagocriollo10119
 
Acl extendida
poradilenejeronimo
 
Acl seguridad-ip
porJuan Quijano
 
Configuración y Documentación de ACL y Firewall ASA
porYimy Pérez Medina
 
Reglas acl
porSandra Sotelo
 
Listas de acceso
porLeonoa Brises Sixtos
 
Configuración de listas de acceso ip
porJAV_999
 
Guia 7
porMarvin Navarro
 
5.1 Listas de control de acceso ACL
porDavid Narváez
 
Actividad 3: VLAN y ACL
porVanessa Estefania Corredor Andrade
 
Acl
porANALI GOMEZ
 
Acls
porSergio ChEco
 
Acl trabajo
porJairo Rosas
 
CCNA_SEC_v11 Cap_04_part_I_EB
porEdgar Benavente
 
Configuración de acl ip utilizadas frecuentemente
porJAV_999
 
Listas de control de acceso - ACL
porDavid Narváez
 
Configuración Firewall - CISCO ASA 5510
porVanesa Rodríguez Percy
 
2.4 Listas de control de Acceso - IPv6
porDavid Narváez
 
2. Configuración OSPF
porDavid Narváez
 
Configuracion de interfaces
porsantiagocriollo10119
 

Similar a Acl

PDF
Acl en windows
porrasuba
 
PDF
Listasde Acceso
porJesus Sanchez Sanchez
 
PDF
Clase20
por1 2d
 
PPTX
Clase 08
porTitiushko Jazz
 
PPTX
Clase 08
porTitiushko Jazz
 
PDF
Acl ejemplos
porestiven gallego castaño
 
PDF
Documentación ACL - Firewall ASA
porcyberleon95
 
PPTX
Clase 06
porTitiushko Jazz
 
PPTX
Clase 06
porTitiushko Jazz
 
PDF
39634566 comandos-cisco
porWilson Ticona
 
PPT
Ac ls 1_
porAgustin Prieto
 
PDF
IPTABLES ¿Que es? y ¿Como Funciona?
porAlfredo Fiebig
 
PDF
Listas de Control de acceso- ACL Cisco (material de ayuda)
porleonardoaparicio4
 
PPT
Seguridad
porNaydu Lopez
 
PPT
Seguridad4
porOscar Mauricio
 
PDF
Access list
porErwinn Plaza
 
DOCX
Practica con firewall asa
porMELGO2012
 
DOCX
Practica con firewall ASA
porwebsyo
 
DOCX
Practica con firewall asa
porwebsyo
 
PDF
Listade Acceso Cisco
porJose Luis Rodriguez Ramirez
 
Acl en windows
porrasuba
 
Listasde Acceso
porJesus Sanchez Sanchez
 
Clase20
por1 2d
 
Clase 08
porTitiushko Jazz
 
Clase 08
porTitiushko Jazz
 
Acl ejemplos
porestiven gallego castaño
 
Documentación ACL - Firewall ASA
porcyberleon95
 
Clase 06
porTitiushko Jazz
 
Clase 06
porTitiushko Jazz
 
39634566 comandos-cisco
porWilson Ticona
 
Ac ls 1_
porAgustin Prieto
 
IPTABLES ¿Que es? y ¿Como Funciona?
porAlfredo Fiebig
 
Listas de Control de acceso- ACL Cisco (material de ayuda)
porleonardoaparicio4
 
Seguridad
porNaydu Lopez
 
Seguridad4
porOscar Mauricio
 
Access list
porErwinn Plaza
 
Practica con firewall asa
porMELGO2012
 
Practica con firewall ASA
porwebsyo
 
Practica con firewall asa
porwebsyo
 
Listade Acceso Cisco
porJose Luis Rodriguez Ramirez
 

Último

PPTX
Presentacióndeloscontenidosdeltema4.pptx
porjmateh01
 
PPTX
Integración DICOM – STL – Fotografía 3D en TITAN
porEstefania Orbe
 
PDF
Ecosistema de Blockchain_Jesús Sibada.pdf
porjesussibada10
 
PDF
Blockchain Unidad I: ¿Que es una Blockchain y como funciona?
porNikolGarcia14
 
PPTX
Integración DICOM - STL - FOTOGRAFÌA 3D. Valeria Andrango.pptx
porvaleriaeandrango
 
PPTX
Tecnología Blockchain - Katherine Hernandez.pptx
porKatherineHernandez41113
 
PPTX
INTEGRACION TITAN Pregrado-paso a paso-JUAN ALVARADO.pptx
porJUANDIEGOALVARADOCAL
 
PDF
Descifrando la Nomenclatura de Procesadores Intel
porGian Marco Alexander Rodríguez Vásquez
 
Presentacióndeloscontenidosdeltema4.pptx
porjmateh01
 
Integración DICOM – STL – Fotografía 3D en TITAN
porEstefania Orbe
 
Ecosistema de Blockchain_Jesús Sibada.pdf
porjesussibada10
 
Blockchain Unidad I: ¿Que es una Blockchain y como funciona?
porNikolGarcia14
 
Integración DICOM - STL - FOTOGRAFÌA 3D. Valeria Andrango.pptx
porvaleriaeandrango
 
Tecnología Blockchain - Katherine Hernandez.pptx
porKatherineHernandez41113
 
INTEGRACION TITAN Pregrado-paso a paso-JUAN ALVARADO.pptx
porJUANDIEGOALVARADOCAL
 
Descifrando la Nomenclatura de Procesadores Intel
porGian Marco Alexander Rodríguez Vásquez
 

Acl

  • 1.
    Recomendaciones en la implantaciónde listas de control de acceso Ricardo J. Anchante Anyarin ranchante@hotmail.com 22/02/2011 1
  • 2.
    Listas de controlde Acceso ¿Qué son? • Esencialmente son listas de condiciones para poder acceder a una red o dispositivo. • Son una herramienta muy poderosa para controlar el acceso en ambos sentidos: tanto desde como hacia la red. • Pueden filtrar tráfico no deseado, y son utilizadas para implementar políticas de seguridad. • Al aplicar una lista de acceso, se obliga al router a analizar cada paquete que atraviesa la interface en una dirección específica, reduciendo de esta manera la perfomance del dispositivo. 2
  • 3.
    Listas de Controlde Acceso ¿Cómo trabajan? • Cada paquete es comparado con cada línea de la lista de acceso en orden secuencial según han sido ingresadas. • La comparación se realiza hasta que se encuentra una coincidencia. • NO OLVIDAR – El final implícito de todo lista de acceso es una denegación de todo tráfico: deny all 3
  • 4.
    Listas de Controlde Acceso Tipos • Listas de Acceso Estándar • Filtran paquetes IP considerando solamente la dirección IP de origen. • Listas de Acceso Extendidas • Filtran paquetes IP considerando tanto la dirección de origen como la de destino, y los números de puerto del encabezado de capa de transporte. 4
  • 5.
    Listas de Controlde Acceso ¿Dónde las aplico? • Listas de Acceso de Ingreso • El paquete es procesado por la lista de acceso antes de ser enrutado al puerto de salida • Listas de Acceso de salida • El paquete es conmutado hacia el puerto de salida y allí es procesado por la lista de acceso. 5
  • 6.
    Trafico sin listasde control de acceso TABLA DE ENRUTAMIENTO C 172.16.1.0 s0 C 172.16.2.0 s1 R 172.16.3.0 s1 R 172.17.4.0 s1 PAQUETE PAQUETE IP IP 6
  • 7.
    Trafico con Listasde Control de Acceso de ingreso ip access-group 101 in TABLA DE ENRUTAMIENTO ip access-group 101 in ip access-group 101 in C 172.16.1.0 s0 ip access-group 101 in C 172.16.2.0 s1 ip access-group 101 in R 172.16.3.0 s1 ip access-group R 172.17.4.0 101 in s1 ip access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in PAQUETE ip access-group 101 in ip access-group 101 in ip IP access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in DROP ip access-group 101 in 7
  • 8.
    Trafico con Listasde Control de Acceso de salida ip access-group 101 out TABLA DE ENRUTAMIENTO ip access-group 101 out C 172.16.1.0 ip access-group s0 101 out C 172.16.2.0 ip access-group s1 101 out R 172.16.3.0 ip access-group s1 101 out R 172.17.4.0 ip s1 access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out PAQUETE ip access-group 101 out ip access-group 101 out IP ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip DROP access-group 101 out 8
  • 9.
    Recomendaciones para laaplicación de Listas de Control de Acceso • Solo se puede asignar una lista de acceso por interface • Organice su lista de acceso de modo que los criterios más específicos estén al inicio. • Si en algún momento agrega una nueva línea a la lista, esta se ubicará al final de la misma. • No se puede remover una línea de una lista de acceso. • Al menos que su lista termine con un comando permit, todo los paquetes que no coincidan con alguno de los criterios serán descartados. 9
  • 10.
    Recomendaciones para laaplicación de Listas de Control de Acceso • Toda lista de acceso debe tener al menos un comando permit. • Primero cree la lista de acceso, y luego aplíquela a la interface. • Las listas de acceso están diseñadas para filtrar el tráfico que atraviesa el router. No filtran el tráfico originado en el router. • Ubique las listas de acceso estándar lo más cerca posible del destino. • Ubique las listas de acceso extendidas lo más cerca posible del origen. 10
  • 11.
    Listas de Controlde Acceso Estandar Utilice el comando access-list.... Router(config)#access-list ? <1-99> IP standard access list 11
  • 12.
    Lista de accesoestándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso Router(config)#access-list 10 ? deny Specify packets to reject Permit Specify packets to forward 12
  • 13.
    Lista de accesoestándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso • Puede filtrar tanto un host específico como un grupo de direcciones o referirse a cualquier host de origen. Router(config)#access-list 10 deny ? Hostname or A.B.C.D Address to match any Any source host host A single host address 13
  • 14.
    Lista de accesoestándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo de hosts, subred o red de origen. • La máscara de wildcard debe acompañaba la dirección de la red, subred o host que se desea filtrar. • En esta máscara, el dígito binario en 0 indica que los mismos dígitos de la dirección IP deben coincidir exactamente. Router(config)#access-list 10 deny 192.168.2.10 0.0.0.0 Máscara de wildcard Dirección IP de origen 14
  • 15.
    Lista de accesoestándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo, subred o red de origen. • Aplique la lista de acceso a la interface Router(config)#interface serial 0 Router(config-if)#access-group 10 out 15
  • 16.
    Máscara de wildcard(recomendaciones) • Dirección binaria de 32 dígitos divididos en 4 octetos. • A diferencia de las máscaras de subred, los 0 indican los dígitos significativos a considerar. • El comando host reemplaza a una máscara de wildcard 0.0.0.0 • El comando any reemplaza a una máscara de wildcard 255.255.255.255 • La máscara de wildcard no necesariamente toma una red o subred completa, puede también considerar bits aislados. 16
  • 17.
    Lista de accesoextendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... Router(config)#access-list ? <100-199> IP extended access list 17
  • 18.
    Lista de accesoextendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. Router(config)#access-list 105 ? deny Specify packets to reject Permit Specify packets to forward 18
  • 19.
    Lista de accesoextendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. • Si desea establecer un filtro utilizando criterios de capa de aplicación, debe seleccionar ahora el protocolo que desea filtrar Router(config)#access-list 105 deny ? eigrp Cisco’s EIGRP routing protocol gre Cisco’s GRE tunneling --more-- 19
  • 20.
    Lista de accesoextendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. Router(config)#access-list 105 deny tcp ? A.B.C.D Source address Any Any source host Host A single source host 20
  • 21.
    Lista de accesoextendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. Router(config)#access-list 105 deny tcp host 192.168.2.5 ? A.B.C.D source address Any any source host Host A single source host 21
  • 22.
    Lista de accesoextendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. • Finalmente, el sistema le requerirá que ingrese el puerto TCP de destino Router(config)#access-list 105 deny tcp host 192.168.2.5 any ? eq Match only packets on a give port numer gt Match only packets with a grater port number --more-- 22
  • 23.
    Lista de accesoextendida Configuración Router(config)#access-list 105 deny tcp host 192.168.2.5 any eq 21 Router( ACL IP extendida Deniega el acceso Paquetes TCP Puerto TCP de destino Dirección IP de destino Dirección IP de origen ¿Por qué no interesa filtrar también según puerto TCP de origen? 23
  • 24.
    Listas de control deacceso nombradas 24
  • 25.
    Lista de accesonombradas recomendaciones • Pueden ser tanto listas de acceso estándar como extendidas. • No se identifican por un número sino por un nombre. • Se crean dentro de un submodo de configuración de las listas de acceso nombradas. • Permiten editar las líneas de la lista sin necesidad de borrarlas. 25
  • 26.
    Lista de accesonombradas Configuración 1. Cree la lista de acceso nombrada Rter(config)#ip access-list extended server-access Rter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp Rter(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain Rter(config-ext-nacl)#Ctrl+Z 1. Aplíquela a la interface que corresponda Rter(config)#interface ethernet 0 Rter(config-if)#ip access-group server-access out Rter(config-if)#Ctrl+Z 26
  • 27.
  • 28.