SlideShare una empresa de Scribd logo

Clase 07

Descargar como PPTX, PDF
Titiushko Jazz
Titiushko Jazz
1 de 24
ACLS EXTENDIDAS
 Las ACLs extendidas filtran los paquetes basándose en la información de origen y destino de las capas 3 y 4.  La información de capa 4 puede incluir información de puertos TCP y UDP.  Las ACLs extendidas otorgan mayor flexibilidad y control sobre el acceso a la red que las ACLs estándar.
ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY} PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN] [OPERADOR OPERANDO] DIR-DESTINO [WILDCARD- DESTINO] [OPERADOR OPERANDO] [ESTABLISHED]
ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY} PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN] [OPERADOR OPERANDO] DIR-DESTINO [WILDCARD-DESTINO] [OPERADOR OPERANDO] [ESTABLISHED]  De manera similar a las ACLs estándar, el primer valor especifica el número de la ACL. Las ACLs numeradas entre 100-199 o 2000-2699 son ACLs extendidas.  El siguiente valor especifica si lo que debe hacer es permitir o denegar de acuerdo al criterio que sigue.  El tercer valor indica el tipo de protocolo. El administrador debe especificar IP,  TCP, UDP u otros sub-protocolos de IP específicos.  La dirección IP y la máscara wildcard de origen determinan dónde se origina el tráfico.  La dirección IP y la máscara wildcard de destino son usadas para indicar el destino final del tráfico de red.  Aunque el parámetro de puerto se define como opcional, cuando se configuran la dirección IP y máscara de destino, el administrador debe especificar el número de puerto que corresponda, ya sea por número o por nombre de puerto bien conocido. Si no es así, todo el tráfico con ese destino será descartado.
 Todas las ACLs asumen un deny implícito, lo cual significa que si un paquete no coincide con ninguna de las condiciones especificadas en la ACL, el paquete será denegado.  Una vez que la ACL ha sido creada, debe incluirse al menos una sentencia permit o todo el tráfico de la interfaz a la que se aplique será descartado.  Tanto las ACLs estándar como las extendidas pueden ser usadas para describir paquetes que entran o salen de una interfaz.  La lista se recorre secuencialmente.  La primera sentencia que coincida detiene la búsqueda en la lista y define la acción que se tomará.
 Una vez que se ha creado la ACL IP numerada, sea estándar o extendida, el administrador debe aplicarla a la interfaz apropiada.  Este es el comando que se usa para aplicar la ACL a una interfaz:  Router(config-if)# ip access-group número-acl {in | out}  Este es el comando que se usa para aplicar la ACL a una línea vty:  Router(config-line)# access-class número-acl {in | out}
 Es posible crear una ACL nombrada en lugar de una ACL numerada.  Las ACLs nombradas deben especificarse como estándar o extendidas.  Router(config)# ip access-list [standard | extended] nombre_ACL  La ejecución de este comando ubica al usuario en el modo de subconfiguración en el que deberá ingresar los comandos permit y deny.  Los comandos permit y deny tienen la misma sintaxis básica que los comandos de la ACL IP numerada.
 Una ACL estándar nombrada puede usar sentencias deny y permit statements.  Router(config-std-nacl)# deny {origen [wildcard- origen] | any}  Router(config-std-nacl)# permit {origen [wildcard- origen] | any}
 La ACL extendida nombrada ofrece parámetros adicionales.  Router(config-ext-nacl)# {permit | deny} protocolo dir-origen [wildcard-origen] [operador operando] dir- destino [wildcard-destino] [operador operando] [established]
 Las ventajas del uso de ACLs nombradas incluyen que el administrador puede borrar una entrada específica en una ACL nombrada yendo al modo de subconfiguración y prefijando el comando con el parámetro no.  El uso del parámetro no en una entrada de una ACL numerada resultaría en la eliminación de toda la ACL.  El administrador también puede agregar entradas en el medio de una ACL nombrada.  Con una ACL numerada, los comandos sólo pueden agregarse al final de la ACL.
 Una vez que las sentencias han sido generadas en la ACL, el administrador debe activar la ACL en una interfaz con el comando ip access-group, especificando el nombre de la ACL.  Router(config-if)# ip access-group nombre-ACL {in | out}  También puede usarse una ACL para permitir o denegar a direcciones IP específicas el acceso virtual.  Las ACLs estándar permiten la aplicación de restricciones en la dirección IP o el rango IP de origen.  Las ACLs extendidas también tienen esta función pero además aplican el protocolo de acceso, como el puerto 23 (Telnet) o el puerto 22 (SSH).  La ACL extendida access-class sólo soporta la palabra clave any como destino.  La lista de acceso debe ser aplicada en el puerto vty.
 Router(config-line)# access-class nombre-ACL {in | out}
 Al final de una sentencia ACL, el administrador tiene la opción de configurar el parámetro log.  R1(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 22 log  Si este parámetro se configura, el software IOS de Cisco compara los paquetes en búsqueda de una coincidencia con la sentencia.  El router registra en una función de registro habilitada, como la consola, el buffer interno del router o un servidor syslog.  Se registran muchos datos:
 Acción - permit o deny  Protocolo - TCP, UDP o ICMP  Direcciones de origen y destino  Para TCP y UDP - números de puerto de origen y destino  Para ICMP - tipo de mensaje
 Los mensajes de registro se generan en la primera coincidencia de paquete y luego envintervalos de cinco minutos.  La habilitación del parámetro log en un router Cisco afecta seriamente al rendimientovdel dispositivo.  Cuando se habilita el registro, los paquetes son transmitidos por conmutación de proceso o por conmutación rápida.  El parámetro log debe ser usado solamente si la red está bajo ataque y el administrador está intentando determinar quién es el atacante.  En este punto, el administrador debe habilitar el registro por el tiempo que sea necesario para reunir la información suficiente y luego deshabilitarlo.
ADVERTENCIAS AL TRABAJAR CON ACLS:  deny all implícito –  Todas las ACLs de Cisco terminan con una sentencia "deny all« implícita.  Incluso si esta sentencia no está a la vista en la ACL, está allí.  Filtrado de paquetes de ACL estándar –  Las ACLs estándar se limitan a filtrar los paquetes sólo por dirección de origen.  Puede necesitar crear una ACL extendida para implementar su política de seguridad plenamente.
 Orden de las sentencias - Las ACLs tienen una política de primera coincidencia.  Cuando hay una coincidencia con una sentencia, el proceso de verificación de la lista se detiene.  Ciertas sentencias ACLs son más específicas que otras y, por lo tanto, deben ocupar un lugar anterior en la ACL.  Por ejemplo, el bloqueo de todo el tráfico UDP al principio de la lista niega la sentencia que permite los paquetes SNMP que usan UDP, que está más abajo en la lista.  El administrador debe asegurarse de que las sentencias que están arriba en la ACL no nieguen sentencias posteriores.
 Filtrado direccional –  Las ACLs de Cisco tienen un filtro direccional que determina si los paquetes de entrada (hacia la interfaz) o los paquetes de salida (desde la interfaz) serán examinados.  El administrador siempre debe revisar dos veces la dirección de los datos que la ACL filtra.
 Modificación de ACLs –  Cuando un router compara un paquete con una ACL, las entradas de la ACL son examinadas desde arriba hacia abajo.  Cuando el router encuentra una sentencia que coincide, el procesamiento de la ACL se detiene y se permite o deniega el paquete según la entrada en la ACL.  Cuando se agregan nuevas entradas a una ACL, siempre se agregan al final. Esto puede volverlas inútiles si una entrada anterior es menos específica.  Por ejemplo, si una ACL tiene una entrada que deniega a la red 172.16.1.0/24 acceso a un servidor en una línea, pero en la siguiente línea se lo permite a un solo host de esa red, el host 172.16.1.5, el acceso le será denegado.  Esto ocurre porque el router encuentra una coincidencia en los paquetes de 172.16.1.5 con la red 172.16.1.0/24 y deniega el tráfico sin leer la siguiente línea
 Cuando una nueva sentencia vuelve inusable la ACL, debe crearse una nueva ACL con el orden de las sentencias correcto.  La ACL vieja debe eliminarse, y la nueva ACL debe ser asignada a la interfaz del router correspondiente.  Si se usa una versión 12.3 o posterior del IOS de Cisco, se pueden usar números de secuencia para garantizar que la nueva sentencia se agregue a la ACL en el orden correcto.  La ACL se procesa de arriba hacia abajo basándose en los números de secuencia de las sentencias (del más bajo al más alto).
 Paquetes especiales - Los paquetes generados por el router, como las actualizaciones de la tabla de enrutamiento, no están sujetos a las sentencias ACL de salida en el router de origen.  Si la política de seguridad solicita un filtrado de este tipo de paquetes, deberá realizarlo una ACL de entrada en un router adyacente o un mecanismo diferente de filtrado en routers que usen ACLs.
Clase 07

Recomendados

Acl trabajo
Acl trabajoAcl trabajo
Acl trabajoJairo Rosas
 
Acl
AclAcl
AclRicardo Anchante
 
Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_Agustin Prieto
 
Guia 7
Guia 7Guia 7
Guia 7Marvin Navarro
 
Cómo funcionan las acl en cisco
Cómo funcionan las acl en ciscoCómo funcionan las acl en cisco
Cómo funcionan las acl en ciscofitopia
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptosYoel Rivera Gonzalez
 
Acl
AclAcl
AclANALI GOMEZ
 
Listas de Control de Acceso
Listas de Control de AccesoListas de Control de Acceso
Listas de Control de AccesoAlexx Campos
 

Recomendados

Acl trabajo
Acl trabajoAcl trabajo
Acl trabajoJairo Rosas
 
Acl
AclAcl
AclRicardo Anchante
 
Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_Agustin Prieto
 
Guia 7
Guia 7Guia 7
Guia 7Marvin Navarro
 
Cómo funcionan las acl en cisco
Cómo funcionan las acl en ciscoCómo funcionan las acl en cisco
Cómo funcionan las acl en ciscofitopia
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptosYoel Rivera Gonzalez
 
Acl
AclAcl
AclANALI GOMEZ
 
Listas de Control de Acceso
Listas de Control de AccesoListas de Control de Acceso
Listas de Control de AccesoAlexx Campos
 
Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoJosu Orbe
 
Listas de acceso
Listas de accesoListas de acceso
Listas de accesoLeonoa Brises Sixtos
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-accesoalfredorata
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACLDavid Narváez
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeJAV_999
 
Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ipJuan Quijano
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ipJAV_999
 
Clase 09
Clase 09Clase 09
Clase 09Titiushko Jazz
 
Acls
AclsAcls
AclsSergio ChEco
 
firewall
firewallfirewall
firewalllna_kdns
 
Config
ConfigConfig
Configsatchslash7
 
Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAYimy Pérez Medina
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6David Narváez
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
Recomendaciones y técnicas para la configuración de puertos de span
Recomendaciones y técnicas para la configuración de puertos de spanRecomendaciones y técnicas para la configuración de puertos de span
Recomendaciones y técnicas para la configuración de puertos de spanFundación Proydesa
 
IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? Alfredo Fiebig
 
Acls
AclsAcls
AclsErwinn Plaza
 
Clase 09
Clase 09Clase 09
Clase 09Titiushko Jazz
 
ACL
ACLACL
ACLdannyvelasco
 
ACL
ACLACL
ACLdannyvelasco
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACLDavid Narváez
 
Clase 08
Clase 08Clase 08
Clase 08Titiushko Jazz
 

Más contenido relacionado

La actualidad más candente

Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoJosu Orbe
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-accesoalfredorata
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACLDavid Narváez
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeJAV_999
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ipJAV_999
 
Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAYimy Pérez Medina
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6David Narváez
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
Recomendaciones y técnicas para la configuración de puertos de span
Recomendaciones y técnicas para la configuración de puertos de spanRecomendaciones y técnicas para la configuración de puertos de span
Recomendaciones y técnicas para la configuración de puertos de spanFundación Proydesa
 
IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? Alfredo Fiebig
 

La actualidad más candente (16)

Routers cisco. Listas de control de acceso
Routers cisco. Listas de control de accesoRouters cisco. Listas de control de acceso
Routers cisco. Listas de control de acceso
 
Listas de acceso
Listas de accesoListas de acceso
Listas de acceso
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-acceso
 
5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL5.1 Listas de control de acceso ACL
5.1 Listas de control de acceso ACL
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentemente
 
Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ip
 
Configuración de listas de acceso ip
Configuración de listas de acceso ipConfiguración de listas de acceso ip
Configuración de listas de acceso ip
 
Clase 09
Clase 09Clase 09
Clase 09
 
Acls
AclsAcls
Acls
 
firewall
firewallfirewall
firewall
 
Config
ConfigConfig
Config
 
Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASA
 
2.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv62.4 Listas de control de Acceso - IPv6
2.4 Listas de control de Acceso - IPv6
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli router
 
Recomendaciones y técnicas para la configuración de puertos de span
Recomendaciones y técnicas para la configuración de puertos de spanRecomendaciones y técnicas para la configuración de puertos de span
Recomendaciones y técnicas para la configuración de puertos de span
 
IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona? IPTABLES ¿Que es? y ¿Como Funciona?
IPTABLES ¿Que es? y ¿Como Funciona?
 

Similar a Clase 07

Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACLDavid Narváez
 
Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
2.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv42.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv4David Narváez
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ipJuan Quijano
 

Similar a Clase 07 (20)

Acls
AclsAcls
Acls
 
Clase 09
Clase 09Clase 09
Clase 09
 
ACL
ACLACL
ACL
 
ACL
ACLACL
ACL
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACL
 
Clase 08
Clase 08Clase 08
Clase 08
 
Clase 08
Clase 08Clase 08
Clase 08
 
Acl ejemplos
Acl ejemplosAcl ejemplos
Acl ejemplos
 
Acl en windows
Acl en windowsAcl en windows
Acl en windows
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
2.2. Conceptos ACL
2.2. Conceptos ACL2.2. Conceptos ACL
2.2. Conceptos ACL
 
Actividad 3: VLAN y ACL
Actividad 3: VLAN y ACLActividad 3: VLAN y ACL
Actividad 3: VLAN y ACL
 
Acl extendida
Acl extendidaAcl extendida
Acl extendida
 
2.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv42.3. Configuracion ACLs IPv4
2.3. Configuracion ACLs IPv4
 
Listade Acceso Cisco
Listade Acceso CiscoListade Acceso Cisco
Listade Acceso Cisco
 
Reglas acl
Reglas aclReglas acl
Reglas acl
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ip
 
Clase 11
Clase 11Clase 11
Clase 11
 
Clase 11
Clase 11Clase 11
Clase 11
 
Clase 14
Clase 14Clase 14
Clase 14
 

Más de Titiushko Jazz

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Titiushko Jazz
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Titiushko Jazz
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingTitiushko Jazz
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlTitiushko Jazz
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eilyTitiushko Jazz
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico prácticoTitiushko Jazz
 

Más de Titiushko Jazz (20)

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y datamining
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sql
 
Unidad ii esp parte 2
Unidad ii esp parte 2Unidad ii esp parte 2
Unidad ii esp parte 2
 
Unidad ii esp parte 1
Unidad ii esp parte 1Unidad ii esp parte 1
Unidad ii esp parte 1
 
Unidad i esp parte 2
Unidad i esp parte 2Unidad i esp parte 2
Unidad i esp parte 2
 
Unidad i esp parte 1
Unidad i esp parte 1Unidad i esp parte 1
Unidad i esp parte 1
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eily
 
Sociedades limitadas
Sociedades limitadasSociedades limitadas
Sociedades limitadas
 
Rhu
RhuRhu
Rhu
 
Qué es un proyecto
Qué es un proyectoQué es un proyecto
Qué es un proyecto
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico práctico
 
Presentacion1630
Presentacion1630Presentacion1630
Presentacion1630
 
Presentacion1410
Presentacion1410Presentacion1410
Presentacion1410
 
Presentacion1310
Presentacion1310Presentacion1310
Presentacion1310
 
Presentacion1210
Presentacion1210Presentacion1210
Presentacion1210
 
Presentacion1220
Presentacion1220Presentacion1220
Presentacion1220
 
Presentacion1001
Presentacion1001Presentacion1001
Presentacion1001
 
Presentacion810
Presentacion810Presentacion810
Presentacion810
 

Clase 07

  • 2.  Las ACLs extendidas filtran los paquetes basándose en la información de origen y destino de las capas 3 y 4.  La información de capa 4 puede incluir información de puertos TCP y UDP.  Las ACLs extendidas otorgan mayor flexibilidad y control sobre el acceso a la red que las ACLs estándar.
  • 3. ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY} PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN] [OPERADOR OPERANDO] DIR-DESTINO [WILDCARD- DESTINO] [OPERADOR OPERANDO] [ESTABLISHED]
  • 4. ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY} PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN] [OPERADOR OPERANDO] DIR-DESTINO [WILDCARD-DESTINO] [OPERADOR OPERANDO] [ESTABLISHED]  De manera similar a las ACLs estándar, el primer valor especifica el número de la ACL. Las ACLs numeradas entre 100-199 o 2000-2699 son ACLs extendidas.  El siguiente valor especifica si lo que debe hacer es permitir o denegar de acuerdo al criterio que sigue.  El tercer valor indica el tipo de protocolo. El administrador debe especificar IP,  TCP, UDP u otros sub-protocolos de IP específicos.  La dirección IP y la máscara wildcard de origen determinan dónde se origina el tráfico.  La dirección IP y la máscara wildcard de destino son usadas para indicar el destino final del tráfico de red.  Aunque el parámetro de puerto se define como opcional, cuando se configuran la dirección IP y máscara de destino, el administrador debe especificar el número de puerto que corresponda, ya sea por número o por nombre de puerto bien conocido. Si no es así, todo el tráfico con ese destino será descartado.
  • 5.  Todas las ACLs asumen un deny implícito, lo cual significa que si un paquete no coincide con ninguna de las condiciones especificadas en la ACL, el paquete será denegado.  Una vez que la ACL ha sido creada, debe incluirse al menos una sentencia permit o todo el tráfico de la interfaz a la que se aplique será descartado.  Tanto las ACLs estándar como las extendidas pueden ser usadas para describir paquetes que entran o salen de una interfaz.  La lista se recorre secuencialmente.  La primera sentencia que coincida detiene la búsqueda en la lista y define la acción que se tomará.
  • 6.  Una vez que se ha creado la ACL IP numerada, sea estándar o extendida, el administrador debe aplicarla a la interfaz apropiada.  Este es el comando que se usa para aplicar la ACL a una interfaz:  Router(config-if)# ip access-group número-acl {in | out}  Este es el comando que se usa para aplicar la ACL a una línea vty:  Router(config-line)# access-class número-acl {in | out}
  • 7.
  • 8.  Es posible crear una ACL nombrada en lugar de una ACL numerada.  Las ACLs nombradas deben especificarse como estándar o extendidas.  Router(config)# ip access-list [standard | extended] nombre_ACL  La ejecución de este comando ubica al usuario en el modo de subconfiguración en el que deberá ingresar los comandos permit y deny.  Los comandos permit y deny tienen la misma sintaxis básica que los comandos de la ACL IP numerada.
  • 9.  Una ACL estándar nombrada puede usar sentencias deny y permit statements.  Router(config-std-nacl)# deny {origen [wildcard- origen] | any}  Router(config-std-nacl)# permit {origen [wildcard- origen] | any}
  • 10.  La ACL extendida nombrada ofrece parámetros adicionales.  Router(config-ext-nacl)# {permit | deny} protocolo dir-origen [wildcard-origen] [operador operando] dir- destino [wildcard-destino] [operador operando] [established]
  • 11.  Las ventajas del uso de ACLs nombradas incluyen que el administrador puede borrar una entrada específica en una ACL nombrada yendo al modo de subconfiguración y prefijando el comando con el parámetro no.  El uso del parámetro no en una entrada de una ACL numerada resultaría en la eliminación de toda la ACL.  El administrador también puede agregar entradas en el medio de una ACL nombrada.  Con una ACL numerada, los comandos sólo pueden agregarse al final de la ACL.
  • 12.  Una vez que las sentencias han sido generadas en la ACL, el administrador debe activar la ACL en una interfaz con el comando ip access-group, especificando el nombre de la ACL.  Router(config-if)# ip access-group nombre-ACL {in | out}  También puede usarse una ACL para permitir o denegar a direcciones IP específicas el acceso virtual.  Las ACLs estándar permiten la aplicación de restricciones en la dirección IP o el rango IP de origen.  Las ACLs extendidas también tienen esta función pero además aplican el protocolo de acceso, como el puerto 23 (Telnet) o el puerto 22 (SSH).  La ACL extendida access-class sólo soporta la palabra clave any como destino.  La lista de acceso debe ser aplicada en el puerto vty.
  • 13.  Router(config-line)# access-class nombre-ACL {in | out}
  • 14.
  • 15.  Al final de una sentencia ACL, el administrador tiene la opción de configurar el parámetro log.  R1(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 22 log  Si este parámetro se configura, el software IOS de Cisco compara los paquetes en búsqueda de una coincidencia con la sentencia.  El router registra en una función de registro habilitada, como la consola, el buffer interno del router o un servidor syslog.  Se registran muchos datos:
  • 16.  Acción - permit o deny  Protocolo - TCP, UDP o ICMP  Direcciones de origen y destino  Para TCP y UDP - números de puerto de origen y destino  Para ICMP - tipo de mensaje
  • 17.  Los mensajes de registro se generan en la primera coincidencia de paquete y luego envintervalos de cinco minutos.  La habilitación del parámetro log en un router Cisco afecta seriamente al rendimientovdel dispositivo.  Cuando se habilita el registro, los paquetes son transmitidos por conmutación de proceso o por conmutación rápida.  El parámetro log debe ser usado solamente si la red está bajo ataque y el administrador está intentando determinar quién es el atacante.  En este punto, el administrador debe habilitar el registro por el tiempo que sea necesario para reunir la información suficiente y luego deshabilitarlo.
  • 18. ADVERTENCIAS AL TRABAJAR CON ACLS:  deny all implícito –  Todas las ACLs de Cisco terminan con una sentencia "deny all« implícita.  Incluso si esta sentencia no está a la vista en la ACL, está allí.  Filtrado de paquetes de ACL estándar –  Las ACLs estándar se limitan a filtrar los paquetes sólo por dirección de origen.  Puede necesitar crear una ACL extendida para implementar su política de seguridad plenamente.
  • 19.  Orden de las sentencias - Las ACLs tienen una política de primera coincidencia.  Cuando hay una coincidencia con una sentencia, el proceso de verificación de la lista se detiene.  Ciertas sentencias ACLs son más específicas que otras y, por lo tanto, deben ocupar un lugar anterior en la ACL.  Por ejemplo, el bloqueo de todo el tráfico UDP al principio de la lista niega la sentencia que permite los paquetes SNMP que usan UDP, que está más abajo en la lista.  El administrador debe asegurarse de que las sentencias que están arriba en la ACL no nieguen sentencias posteriores.
  • 20.  Filtrado direccional –  Las ACLs de Cisco tienen un filtro direccional que determina si los paquetes de entrada (hacia la interfaz) o los paquetes de salida (desde la interfaz) serán examinados.  El administrador siempre debe revisar dos veces la dirección de los datos que la ACL filtra.
  • 21.  Modificación de ACLs –  Cuando un router compara un paquete con una ACL, las entradas de la ACL son examinadas desde arriba hacia abajo.  Cuando el router encuentra una sentencia que coincide, el procesamiento de la ACL se detiene y se permite o deniega el paquete según la entrada en la ACL.  Cuando se agregan nuevas entradas a una ACL, siempre se agregan al final. Esto puede volverlas inútiles si una entrada anterior es menos específica.  Por ejemplo, si una ACL tiene una entrada que deniega a la red 172.16.1.0/24 acceso a un servidor en una línea, pero en la siguiente línea se lo permite a un solo host de esa red, el host 172.16.1.5, el acceso le será denegado.  Esto ocurre porque el router encuentra una coincidencia en los paquetes de 172.16.1.5 con la red 172.16.1.0/24 y deniega el tráfico sin leer la siguiente línea
  • 22.  Cuando una nueva sentencia vuelve inusable la ACL, debe crearse una nueva ACL con el orden de las sentencias correcto.  La ACL vieja debe eliminarse, y la nueva ACL debe ser asignada a la interfaz del router correspondiente.  Si se usa una versión 12.3 o posterior del IOS de Cisco, se pueden usar números de secuencia para garantizar que la nueva sentencia se agregue a la ACL en el orden correcto.  La ACL se procesa de arriba hacia abajo basándose en los números de secuencia de las sentencias (del más bajo al más alto).
  • 23.  Paquetes especiales - Los paquetes generados por el router, como las actualizaciones de la tabla de enrutamiento, no están sujetos a las sentencias ACL de salida en el router de origen.  Si la política de seguridad solicita un filtrado de este tipo de paquetes, deberá realizarlo una ACL de entrada en un router adyacente o un mecanismo diferente de filtrado en routers que usen ACLs.