SlideShare una empresa de Scribd logo

Clase 11

Descargar como PPTX, PDF
Titiushko Jazz
Titiushko Jazz
1 de 42
Configuración de ACLs basadas en tiempo (Time- Based ACL)
 Las ACLs basadas en tiempo son similares a las ACLs extendidas en función, salvo que además restringen el tráfico en base a la hora del día, el día de la semana o el día del mes.  Estas ofrecen al profesional de la seguridad mayor control sobre los permisos de acceso a los recursos.  En ocasiones, es necesario abrir una brecha de seguridad en el filtro de un router para permitir un tipo específico de tráfico.  Este agujero no debe permanecer indefinidamente.
 Por ejemplo, puede permitirse a los usuarios acceder a Internet durante el almuerzo, pero no durante las horas de trabajo.  Las ACLs basadas en tiempo permiten aplicar este tipo de política.  También permiten controlar los mensajes de registro.  Pueden registrar el tráfico en ciertos momentos del día, pero no constantemente.  El administrador puede simplemente denegar el acceso sin analizar los varios registros generados durante las horas pico.
 Las ACLs basadas en tiempo son una extensión de las ACLs extendidas numeradas y nombradas.  El administrador crea entradas basadas en tiempo y usa el parámetro timerange para especificar el período de tiempo que la sentencia ACL será válida.  El período de tiempo especificado puede ser recurrente o una instancia específica que ocurra una sola vez.
 Al crear un rango de tiempo con el comando time-range, éste debe tener un nombre único.  El nombre debe comenzar con una letra y no puede contener espacios.  Este nombre es utilizado para asociar una sentencia ACL específica con este rango.  La ejecución del comando time-range ubica al router en el modo de subconfiguración de ACL.  En este modo, se pueden especificar dos tipos de rangos: de una sola vez (absoluto) y recurrente (periódico).
Comandos para la creación de un rango de tiempo  Router(config)# time-range nombre_rango  Router(config-time-range)# absolute [hora_inicio fecha_inicio] [hora_fin fecha_fin]  Router(config-time-range)# periodic día_de_la_semana hh:mm to [día_de_la_semana] hh:mm
 El comando absolute especifica un único período de tiempo para el cual el rango de tiempo es válido.  Las sentencias ACL que hacen referencia a este rango de tiempo no son utilizadas luego de este período.  El administrador puede especificar un tiempo de inicio, un tiempo de finalización o ambos.  El tiempo especificado es de 24 horas: hh:mm, donde las horas pueden ir desde 0 hasta 23 y los minutos, desde 0 hasta 59.
 Por ejemplo, las 3 p.m. se representa como 15:00.  La fecha se especifica como día mes año.  El día se especifica como un número que puede ir de 1 a 31, el mes es el nombre del mes en inglés, como "May", y el año es un valor de cuatro dígitos, como 2003.  Ejemplos de especificaciones de fechas son 19 November 2009 y 07 July 2010.  Si se omite el tiempo de inicio, por defecto se usa la hora del router.  Si se omite el tiempo de finalización, por defecto se usa 23:59 31 December 2035.
 El comando periodic especifica un período de tiempo recurrente para el cual el rango de tiempo es válido.  Se permiten múltiples comandos periodic dentro del mismo rango de tiempo.  Especifique el tiempo de inicio y de finalización.  El tiempo de finalización puede pertenecer a un día diferente.  El primer parámetro especificado es el día de la semana (en inglés):
 monday  tuesday  wednesday  thursday  friday  saturday  sunday  daily (todos los días)  weekdays (de lunes a viernes)  weekend (sábado y domingo)
 El siguiente parámetro es el tiempo de inicio, especificado como hh:mm, seguido del parámetro to y el tiempo de finalización.  Si se omite el parámetro del día de la semana, por defecto se usa el día de la semana configurado para el tiempo de inicio.  Luego de esto va el tiempo de finalización, especificado como hh:mm.  Es importante tomar en cuenta que el reloj del router debe estar configurado para que este comando opere como se requiere.
 Luego de crear los rangos de tiempo, el administrador debe activarlos.  Esto se logra agregando el parámetro time- range a la sentencia ACL.  Las ACLs extendidas, tanto nombradas como numeradas, soportan esta función.  Esta es la sintaxis de configuración de una ACL numerada.  Router(config)# access-list {100-199} {permit | deny} protocolo dir-origen [máscaraorigen] [operador operando] dir-destino [máscara- destino] [operador operando] [established][log | log- input][established][time-range nombre_del_rango_de_tiempo]
 Debe agregarse el rango de tiempo a la sentencia ACL.  Una vez hecho esto, el IOS de Cisco procesa la sentencia ACL sólo cuando el tiempo del router cae dentro del período especificado por los comandos periodic o absolute definidos en la configuración timerange.
 Ejemplo: un administrador de red requiere ACLs basadas en tiempo para aplicar una política mediante la cual no se permite a los usuarios acceder a Internet durante las horas laborables, excepto durante el almuerzo y las horas extra hasta las 7 p.m. cuando cierra la oficina.  Esta es la ACL basada en tiempo que soporta el requerimiento:
 R1(config)# time-range employee-time  R1(config-time-range)# periodic weekdays 12:00 to 13:00  R1(config-time-range)# periodic weekdays 17:00 to 19:00  R1(config-time-range)# exit  R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range employeetime  R1(config)# access-list 100 deny ip any any  R1(config)# interface FastEthernet 0/1  R1(config-if)# ip access-group 100 in  R1(config-if)# exit
 En el ejemplo anterior, los comandos permiten el acceso IP a Internet durante el almuerzo y las horas extra: la ACL 100 permite tráfico de los empleados a Internet durante el almuerzo y las horas de trabajo extra entre las 5 p.m. y las 7 p.m.
Resolución de problemas en implementaciones de ACLs complejas  Para verificar la configuración ACL, use el comando show access-lists.  Router# show access-lists [número-ACL | nombre- ACL]  La salida del comando muestra cuántos paquetes coinciden con cada entrada de las ACLs, lo cual permite al usuario monitorear los paquetes específicos que han sido permitidos o denegados.  Para resolver problemas en una configuración ACL, use el comando debug ip packet.  Router# debug ip packet [número-ACL] [detail]
 El comando debug ip packet es útil para analizar los mensajes que viajan entre los hosts locales y remotos.  El debugging de paquetes IP captura los paquetes conmutados por procesos, incluyendo los paquetes recibidos, generados y reenviados.  La opción detail muestra información de debugging de paquetes IP.  Esta información incluye tanto los códigos y tipos de paquetes como los números de puerto de origen y destino.  Tenga en consideración un uso prudencial del comando debug ip packet en redes en producción, ya que su ejecución genera una cantidad importante de información y usa considerablemente los recursos del sistema.
 Un contador ACL cuenta cuántos paquetes coinciden (sean permitidos o denegados) con cada línea de la ACL.  Este número se muestra como número de coincidencias (number of matches).  Al verificar el número de coincidencias con el comando show access-lists, el administrador puede determinar si las ACLs IP estándar y extendidas configuradas están filtrando como se les pide.  Por ejemplo, si una entrada tiene muchas más coincidencias que las esperadas, puede ser demasiado general.  Esto puede indicar que la ACL no tiene el efecto buscado en el tráfico de la red.
 En la salida de debug ip packet, la denegación de un paquete se muestra explícitamente, lo cual permite una determinación granular y en tiempo real del éxito de la implementación ACL.  La "g" en la salida del comando debug ip packet indica el gateway del siguiente salto.  Se puede detener la salida del comando debug con el comando undebug all.  A veces toma algunos minutos detenerla, dependiendo de qué comandos debug se han configurado y la cantidad de tráfico que pasa por el router.  Los comandos de verificación y resolución de problemas de las ACLs son relativamente fáciles de usar y no hay demasiados comandos para recordar.  Es imperativo examinar las ACLs una vez implementadas para controlar su correcto funcionamiento.
Mitigación de ataques con ACLs  Se puede usar ACLs para mitigar muchas amenazas de red:  Falsificación de direcciones IP de entrada y de salida  Ataques de DoS SYN TCP  Ataques de DoS smurf  Adicionalmente, las ACLs filtran el siguiente tráfico:  Mensajes ICMP de entrada y de salida  traceroute
 Los ataques de DoS tienden a ser los más devastadores en las redes.  El IOS de Cisco soporta varias tecnologías diseñadas para minimizar el daño causado por los ataques de DoS.  La mayoría de los ataque usa algún tipo de falsificación.  Hay muchas clases de direcciones IP bien conocidas que nunca deben tomarse como direcciones IP de origen del tráfico que ingresa a la red de una organización.  Hay ACLs específicas que son fáciles de implementar y previenen que los ataques se originen de estos tipos de direcciones.
 ICMP viene siendo muy utilizado en ataques de red desde hace varios años.  El IOS de Cisco ahora soporta tecnologías específicas que evitan daños a la red que provengan de ataques basados en ICMP
 Ningún administrador debe permitir el ingreso a una red privada de paquetes IP cuya dirección de origen sea la de un host interno o una red interna.  El administrador puede crear una ACL que deniegue todos los paquetes que contengan las siguientes direcciones IP en su campo de origen:  Cualquier dirección de host local (127.0.0.0/8)  Cualquier dirección privada reservada (RFC 1918, Address Allocation for Private Internets)  Cualquier dirección en el rango de direcciones IP multicast (224.0.0.0/4)
 Los administradores no deben permitir la salida de paquetes IP con una dirección de origen que no sea una dirección IP válida para la red interna.  Para este propósito, puede crearse una ACL que permita sólo aquellos paquetes que contengan direcciones de origen de la red interna y deniegue los restantes.
 DNS, SMTP y FTP son servicios comunes a los que generalmente debe permitirse pasar por un firewall.  También es muy común que un firewall requiera una configuración para permitir protocolos necesarios para la administración del router.  Por ejemplo, puede ser necesario permitir el paso de tráfico por un router interno para que el tráfico de mantenimiento de routers que proviene de un dispositivo externo pueda pasar.  Telnet, SSH, syslog y SNMP son ejemplos de servicios que el router puede necesitar incluir.  Siempre se prefiere SSH sobre Telnet.
 Los hackers usan varios tipos de mensajes ICMP para atacar redes, sin embargo, varias aplicaciones usan mensajes ICMP para reunir información.  La administración de redes usa mensajes ICMP generados automáticamente por el router.  Los hackers pueden usar paquetes eco ICMP para descubrir subredes y hosts de una red protegida y generar ataques de inundación DoS.  Los hackers pueden usar mensajes de redirección ICMP para alterar las tablas de enrutamiento de los hosts.  La entrada de mensajes eco y de redirección ICMP debe ser bloqueada por el router.
 Se recomiendan varios mensajes ICMP para la correcta operación de la red y debe permitírseles la entrada:  Echo reply - (Respuesta de eco) Permite a los usuarios hacer ping a hosts externos.  Source quench - (Disminución del tráfico desde el origen) Solicita al remitente que disminuya la cantidad de tráfico de mensajes.  Unreachable - (Destino inalcanzable) Los mensajes unreachable se generan cuando un paquete es denegado administrativamente por una ACL.
 Se recomiendan varios mensajes ICMP para la correcta operación de la red y debe permitírseles la salida:  Echo - (Eco) Permite a los usuarios hacer ping a hosts externos.  Parameter problem - (Problema de parámetro) Informa al host sobre problemas en el encabezado del paquete.  Packet too big - (Paquete demasiado grande) Requerido para el descubrimiento de la unidad de transmisión máxima (MTU) de paquetes.  Source quench - (Disminución del tráfico desde el origen) Ahoga el flujo de tráfico si es necesario.
 Todos los otros tipos de mensajes ICMP de salida deben ser bloqueados.  Las ACLs se usan para detener la falsificación de direcciones IP, permitir el paso por el firewall de servicios específicos y permitir sólo los mensajes ICMP requeridos.  Las ACLs son una herramienta dominante en la seguridad de las redes.  Existen otras tecnologías que fueron desarrolladas para el IOS de Cisco para mejorar la funcionalidad del firewall.  ¿Qué tecnologías superan a las ACLs tradicionales en la creación de un perímetro seguro para la red de una organización?
Clase 11

Recomendados

Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ipJuan Quijano
 
Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_Agustin Prieto
 
Practica con firewall asa
Practica con firewall asaPractica con firewall asa
Practica con firewall asawebsyo
 
Sistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshSistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshGabriel Orozco
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Vanesa Rodríguez Percy
 
Cómo funcionan las acl en cisco
Cómo funcionan las acl en ciscoCómo funcionan las acl en cisco
Cómo funcionan las acl en ciscofitopia
 
Pandora FMS: Plugin de monitorización de Outlook Anywhere
Pandora FMS: Plugin de monitorización de Outlook AnywherePandora FMS: Plugin de monitorización de Outlook Anywhere
Pandora FMS: Plugin de monitorización de Outlook AnywherePandora FMS
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmapLuis Pinilla
 

Recomendados

Acl seguridad-ip
Acl seguridad-ipAcl seguridad-ip
Acl seguridad-ipJuan Quijano
 
Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_Agustin Prieto
 
Practica con firewall asa
Practica con firewall asaPractica con firewall asa
Practica con firewall asawebsyo
 
Sistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshSistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshGabriel Orozco
 
Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Configuración Firewall - CISCO ASA 5510
Configuración Firewall - CISCO ASA 5510Vanesa Rodríguez Percy
 
Cómo funcionan las acl en cisco
Cómo funcionan las acl en ciscoCómo funcionan las acl en cisco
Cómo funcionan las acl en ciscofitopia
 
Pandora FMS: Plugin de monitorización de Outlook Anywhere
Pandora FMS: Plugin de monitorización de Outlook AnywherePandora FMS: Plugin de monitorización de Outlook Anywhere
Pandora FMS: Plugin de monitorización de Outlook AnywherePandora FMS
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmapLuis Pinilla
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Acl extendida
Acl extendidaAcl extendida
Acl extendidaadilenejeronimo
 
Clase 08
Clase 08Clase 08
Clase 08Titiushko Jazz
 
1118174 asa config-dmz-00
1118174 asa config-dmz-001118174 asa config-dmz-00
1118174 asa config-dmz-00adrian quety
 
Firewall
FirewallFirewall
Firewallcyberleon95
 
Admon redes cisco op manager
Admon redes cisco op managerAdmon redes cisco op manager
Admon redes cisco op managerJeanFrank Jim
 
Nmap
NmapNmap
NmapCristian Alejandro Rojas Quintero
 
Acl estandar
Acl estandarAcl estandar
Acl estandar88palacios
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeJAV_999
 
Nmap
NmapNmap
NmapMeztli Valeriano Orozco
 
Introducción a varnish cache (@irontec)
Introducción a varnish cache (@irontec)Introducción a varnish cache (@irontec)
Introducción a varnish cache (@irontec)Irontec
 
Guia 7
Guia 7Guia 7
Guia 7Marvin Navarro
 
Reglas acl
Reglas aclReglas acl
Reglas aclSandra Sotelo
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Administracion remota linux
Administracion remota linuxAdministracion remota linux
Administracion remota linuxRoberto Almena
 
Manual de Configuracion de SASL
Manual de Configuracion de SASLManual de Configuracion de SASL
Manual de Configuracion de SASLK-milo Rivera
 
Nmap
NmapNmap
NmapAbacusUNAC
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES GustavoCaceres32
 
Clase 09
Clase 09Clase 09
Clase 09Titiushko Jazz
 
Clase 09
Clase 09Clase 09
Clase 09Titiushko Jazz
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ipJuan Quijano
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajoJairo Rosas
 

Más contenido relacionado

La actualidad más candente

4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
1118174 asa config-dmz-00
1118174 asa config-dmz-001118174 asa config-dmz-00
1118174 asa config-dmz-00adrian quety
 
Admon redes cisco op manager
Admon redes cisco op managerAdmon redes cisco op manager
Admon redes cisco op managerJeanFrank Jim
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeJAV_999
 
Introducción a varnish cache (@irontec)
Introducción a varnish cache (@irontec)Introducción a varnish cache (@irontec)
Introducción a varnish cache (@irontec)Irontec
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Administracion remota linux
Administracion remota linuxAdministracion remota linux
Administracion remota linuxRoberto Almena
 
Manual de Configuracion de SASL
Manual de Configuracion de SASLManual de Configuracion de SASL
Manual de Configuracion de SASLK-milo Rivera
 

La actualidad más candente (18)

4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
Acl extendida
Acl extendidaAcl extendida
Acl extendida
 
Clase 08
Clase 08Clase 08
Clase 08
 
1118174 asa config-dmz-00
1118174 asa config-dmz-001118174 asa config-dmz-00
1118174 asa config-dmz-00
 
Firewall
FirewallFirewall
Firewall
 
Admon redes cisco op manager
Admon redes cisco op managerAdmon redes cisco op manager
Admon redes cisco op manager
 
Nmap
NmapNmap
Nmap
 
Acl estandar
Acl estandarAcl estandar
Acl estandar
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentemente
 
Nmap
NmapNmap
Nmap
 
Introducción a varnish cache (@irontec)
Introducción a varnish cache (@irontec)Introducción a varnish cache (@irontec)
Introducción a varnish cache (@irontec)
 
Guia 7
Guia 7Guia 7
Guia 7
 
Reglas acl
Reglas aclReglas acl
Reglas acl
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
 
Administracion remota linux
Administracion remota linuxAdministracion remota linux
Administracion remota linux
 
Manual de Configuracion de SASL
Manual de Configuracion de SASLManual de Configuracion de SASL
Manual de Configuracion de SASL
 
Nmap
NmapNmap
Nmap
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 

Similar a Clase 11

Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ipJuan Quijano
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidasJAV_999
 
Documentación ACL - Firewall ASA
Documentación ACL - Firewall ASADocumentación ACL - Firewall ASA
Documentación ACL - Firewall ASAcyberleon95
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxykaliz
 
Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAYimy Pérez Medina
 

Similar a Clase 11 (20)

Clase 09
Clase 09Clase 09
Clase 09
 
Clase 09
Clase 09Clase 09
Clase 09
 
Acl tema seguridad-ip
Acl tema seguridad-ipAcl tema seguridad-ip
Acl tema seguridad-ip
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajo
 
Clase 15
Clase 15Clase 15
Clase 15
 
Clase 15
Clase 15Clase 15
Clase 15
 
Clase 07
Clase 07Clase 07
Clase 07
 
Clase 07
Clase 07Clase 07
Clase 07
 
Clase 16
Clase 16Clase 16
Clase 16
 
Clase 16
Clase 16Clase 16
Clase 16
 
Acls
AclsAcls
Acls
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
 
Listas de acceso
Listas de accesoListas de acceso
Listas de acceso
 
Documentación ACL - Firewall ASA
Documentación ACL - Firewall ASADocumentación ACL - Firewall ASA
Documentación ACL - Firewall ASA
 
Mrtg ubuntu
Mrtg ubuntuMrtg ubuntu
Mrtg ubuntu
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxy
 
Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASA
 
Clase 14
Clase 14Clase 14
Clase 14
 
Clase 14
Clase 14Clase 14
Clase 14
 
Procedimientos almacenadoss
Procedimientos almacenadossProcedimientos almacenadoss
Procedimientos almacenadoss
 

Más de Titiushko Jazz

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Titiushko Jazz
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Titiushko Jazz
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingTitiushko Jazz
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlTitiushko Jazz
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eilyTitiushko Jazz
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico prácticoTitiushko Jazz
 

Más de Titiushko Jazz (20)

Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
Unidad vii esp parte 3 clase de inteligencia de negocios (datawarehouse)
 
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
Unidad vii esp parte 3 clase de datawarehouse ( ing. doño)
 
Unidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y dataminingUnidad vii esp parte 2 introduccion a data warehouse y datamining
Unidad vii esp parte 2 introduccion a data warehouse y datamining
 
Unidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sqlUnidad vi esp parte 2 procesimientos en plsql y transact sql
Unidad vi esp parte 2 procesimientos en plsql y transact sql
 
Unidad ii esp parte 2
Unidad ii esp parte 2Unidad ii esp parte 2
Unidad ii esp parte 2
 
Unidad ii esp parte 1
Unidad ii esp parte 1Unidad ii esp parte 1
Unidad ii esp parte 1
 
Unidad i esp parte 2
Unidad i esp parte 2Unidad i esp parte 2
Unidad i esp parte 2
 
Unidad i esp parte 1
Unidad i esp parte 1Unidad i esp parte 1
Unidad i esp parte 1
 
Tarea pronosticos eily
Tarea pronosticos eilyTarea pronosticos eily
Tarea pronosticos eily
 
Sociedades limitadas
Sociedades limitadasSociedades limitadas
Sociedades limitadas
 
Rhu
RhuRhu
Rhu
 
Qué es un proyecto
Qué es un proyectoQué es un proyecto
Qué es un proyecto
 
Proyecto teórico práctico
Proyecto teórico prácticoProyecto teórico práctico
Proyecto teórico práctico
 
Presentacion1630
Presentacion1630Presentacion1630
Presentacion1630
 
Presentacion1410
Presentacion1410Presentacion1410
Presentacion1410
 
Presentacion1310
Presentacion1310Presentacion1310
Presentacion1310
 
Presentacion1210
Presentacion1210Presentacion1210
Presentacion1210
 
Presentacion1220
Presentacion1220Presentacion1220
Presentacion1220
 
Presentacion1001
Presentacion1001Presentacion1001
Presentacion1001
 
Presentacion810
Presentacion810Presentacion810
Presentacion810
 

Clase 11

  • 2.  Las ACLs basadas en tiempo son similares a las ACLs extendidas en función, salvo que además restringen el tráfico en base a la hora del día, el día de la semana o el día del mes.  Estas ofrecen al profesional de la seguridad mayor control sobre los permisos de acceso a los recursos.  En ocasiones, es necesario abrir una brecha de seguridad en el filtro de un router para permitir un tipo específico de tráfico.  Este agujero no debe permanecer indefinidamente.
  • 3.  Por ejemplo, puede permitirse a los usuarios acceder a Internet durante el almuerzo, pero no durante las horas de trabajo.  Las ACLs basadas en tiempo permiten aplicar este tipo de política.  También permiten controlar los mensajes de registro.  Pueden registrar el tráfico en ciertos momentos del día, pero no constantemente.  El administrador puede simplemente denegar el acceso sin analizar los varios registros generados durante las horas pico.
  • 4.  Las ACLs basadas en tiempo son una extensión de las ACLs extendidas numeradas y nombradas.  El administrador crea entradas basadas en tiempo y usa el parámetro timerange para especificar el período de tiempo que la sentencia ACL será válida.  El período de tiempo especificado puede ser recurrente o una instancia específica que ocurra una sola vez.
  • 5.
  • 6.  Al crear un rango de tiempo con el comando time-range, éste debe tener un nombre único.  El nombre debe comenzar con una letra y no puede contener espacios.  Este nombre es utilizado para asociar una sentencia ACL específica con este rango.  La ejecución del comando time-range ubica al router en el modo de subconfiguración de ACL.  En este modo, se pueden especificar dos tipos de rangos: de una sola vez (absoluto) y recurrente (periódico).
  • 7. Comandos para la creación de un rango de tiempo  Router(config)# time-range nombre_rango  Router(config-time-range)# absolute [hora_inicio fecha_inicio] [hora_fin fecha_fin]  Router(config-time-range)# periodic día_de_la_semana hh:mm to [día_de_la_semana] hh:mm
  • 8.  El comando absolute especifica un único período de tiempo para el cual el rango de tiempo es válido.  Las sentencias ACL que hacen referencia a este rango de tiempo no son utilizadas luego de este período.  El administrador puede especificar un tiempo de inicio, un tiempo de finalización o ambos.  El tiempo especificado es de 24 horas: hh:mm, donde las horas pueden ir desde 0 hasta 23 y los minutos, desde 0 hasta 59.
  • 9.  Por ejemplo, las 3 p.m. se representa como 15:00.  La fecha se especifica como día mes año.  El día se especifica como un número que puede ir de 1 a 31, el mes es el nombre del mes en inglés, como "May", y el año es un valor de cuatro dígitos, como 2003.  Ejemplos de especificaciones de fechas son 19 November 2009 y 07 July 2010.  Si se omite el tiempo de inicio, por defecto se usa la hora del router.  Si se omite el tiempo de finalización, por defecto se usa 23:59 31 December 2035.
  • 10.  El comando periodic especifica un período de tiempo recurrente para el cual el rango de tiempo es válido.  Se permiten múltiples comandos periodic dentro del mismo rango de tiempo.  Especifique el tiempo de inicio y de finalización.  El tiempo de finalización puede pertenecer a un día diferente.  El primer parámetro especificado es el día de la semana (en inglés):
  • 11.  monday  tuesday  wednesday  thursday  friday  saturday  sunday  daily (todos los días)  weekdays (de lunes a viernes)  weekend (sábado y domingo)
  • 12.  El siguiente parámetro es el tiempo de inicio, especificado como hh:mm, seguido del parámetro to y el tiempo de finalización.  Si se omite el parámetro del día de la semana, por defecto se usa el día de la semana configurado para el tiempo de inicio.  Luego de esto va el tiempo de finalización, especificado como hh:mm.  Es importante tomar en cuenta que el reloj del router debe estar configurado para que este comando opere como se requiere.
  • 13.  Luego de crear los rangos de tiempo, el administrador debe activarlos.  Esto se logra agregando el parámetro time- range a la sentencia ACL.  Las ACLs extendidas, tanto nombradas como numeradas, soportan esta función.  Esta es la sintaxis de configuración de una ACL numerada.  Router(config)# access-list {100-199} {permit | deny} protocolo dir-origen [máscaraorigen] [operador operando] dir-destino [máscara- destino] [operador operando] [established][log | log- input][established][time-range nombre_del_rango_de_tiempo]
  • 14.  Debe agregarse el rango de tiempo a la sentencia ACL.  Una vez hecho esto, el IOS de Cisco procesa la sentencia ACL sólo cuando el tiempo del router cae dentro del período especificado por los comandos periodic o absolute definidos en la configuración timerange.
  • 15.
  • 16.
  • 17.
  • 18.  Ejemplo: un administrador de red requiere ACLs basadas en tiempo para aplicar una política mediante la cual no se permite a los usuarios acceder a Internet durante las horas laborables, excepto durante el almuerzo y las horas extra hasta las 7 p.m. cuando cierra la oficina.  Esta es la ACL basada en tiempo que soporta el requerimiento:
  • 19.  R1(config)# time-range employee-time  R1(config-time-range)# periodic weekdays 12:00 to 13:00  R1(config-time-range)# periodic weekdays 17:00 to 19:00  R1(config-time-range)# exit  R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range employeetime  R1(config)# access-list 100 deny ip any any  R1(config)# interface FastEthernet 0/1  R1(config-if)# ip access-group 100 in  R1(config-if)# exit
  • 20.  En el ejemplo anterior, los comandos permiten el acceso IP a Internet durante el almuerzo y las horas extra: la ACL 100 permite tráfico de los empleados a Internet durante el almuerzo y las horas de trabajo extra entre las 5 p.m. y las 7 p.m.
  • 21.
  • 22. Resolución de problemas en implementaciones de ACLs complejas  Para verificar la configuración ACL, use el comando show access-lists.  Router# show access-lists [número-ACL | nombre- ACL]  La salida del comando muestra cuántos paquetes coinciden con cada entrada de las ACLs, lo cual permite al usuario monitorear los paquetes específicos que han sido permitidos o denegados.  Para resolver problemas en una configuración ACL, use el comando debug ip packet.  Router# debug ip packet [número-ACL] [detail]
  • 23.  El comando debug ip packet es útil para analizar los mensajes que viajan entre los hosts locales y remotos.  El debugging de paquetes IP captura los paquetes conmutados por procesos, incluyendo los paquetes recibidos, generados y reenviados.  La opción detail muestra información de debugging de paquetes IP.  Esta información incluye tanto los códigos y tipos de paquetes como los números de puerto de origen y destino.  Tenga en consideración un uso prudencial del comando debug ip packet en redes en producción, ya que su ejecución genera una cantidad importante de información y usa considerablemente los recursos del sistema.
  • 24.
  • 25.  Un contador ACL cuenta cuántos paquetes coinciden (sean permitidos o denegados) con cada línea de la ACL.  Este número se muestra como número de coincidencias (number of matches).  Al verificar el número de coincidencias con el comando show access-lists, el administrador puede determinar si las ACLs IP estándar y extendidas configuradas están filtrando como se les pide.  Por ejemplo, si una entrada tiene muchas más coincidencias que las esperadas, puede ser demasiado general.  Esto puede indicar que la ACL no tiene el efecto buscado en el tráfico de la red.
  • 26.
  • 27.  En la salida de debug ip packet, la denegación de un paquete se muestra explícitamente, lo cual permite una determinación granular y en tiempo real del éxito de la implementación ACL.  La "g" en la salida del comando debug ip packet indica el gateway del siguiente salto.  Se puede detener la salida del comando debug con el comando undebug all.  A veces toma algunos minutos detenerla, dependiendo de qué comandos debug se han configurado y la cantidad de tráfico que pasa por el router.  Los comandos de verificación y resolución de problemas de las ACLs son relativamente fáciles de usar y no hay demasiados comandos para recordar.  Es imperativo examinar las ACLs una vez implementadas para controlar su correcto funcionamiento.
  • 28.
  • 29. Mitigación de ataques con ACLs  Se puede usar ACLs para mitigar muchas amenazas de red:  Falsificación de direcciones IP de entrada y de salida  Ataques de DoS SYN TCP  Ataques de DoS smurf  Adicionalmente, las ACLs filtran el siguiente tráfico:  Mensajes ICMP de entrada y de salida  traceroute
  • 30.  Los ataques de DoS tienden a ser los más devastadores en las redes.  El IOS de Cisco soporta varias tecnologías diseñadas para minimizar el daño causado por los ataques de DoS.  La mayoría de los ataque usa algún tipo de falsificación.  Hay muchas clases de direcciones IP bien conocidas que nunca deben tomarse como direcciones IP de origen del tráfico que ingresa a la red de una organización.  Hay ACLs específicas que son fáciles de implementar y previenen que los ataques se originen de estos tipos de direcciones.
  • 31.  ICMP viene siendo muy utilizado en ataques de red desde hace varios años.  El IOS de Cisco ahora soporta tecnologías específicas que evitan daños a la red que provengan de ataques basados en ICMP
  • 32.  Ningún administrador debe permitir el ingreso a una red privada de paquetes IP cuya dirección de origen sea la de un host interno o una red interna.  El administrador puede crear una ACL que deniegue todos los paquetes que contengan las siguientes direcciones IP en su campo de origen:  Cualquier dirección de host local (127.0.0.0/8)  Cualquier dirección privada reservada (RFC 1918, Address Allocation for Private Internets)  Cualquier dirección en el rango de direcciones IP multicast (224.0.0.0/4)
  • 33.  Los administradores no deben permitir la salida de paquetes IP con una dirección de origen que no sea una dirección IP válida para la red interna.  Para este propósito, puede crearse una ACL que permita sólo aquellos paquetes que contengan direcciones de origen de la red interna y deniegue los restantes.
  • 34.
  • 35.
  • 36.  DNS, SMTP y FTP son servicios comunes a los que generalmente debe permitirse pasar por un firewall.  También es muy común que un firewall requiera una configuración para permitir protocolos necesarios para la administración del router.  Por ejemplo, puede ser necesario permitir el paso de tráfico por un router interno para que el tráfico de mantenimiento de routers que proviene de un dispositivo externo pueda pasar.  Telnet, SSH, syslog y SNMP son ejemplos de servicios que el router puede necesitar incluir.  Siempre se prefiere SSH sobre Telnet.
  • 37.
  • 38.  Los hackers usan varios tipos de mensajes ICMP para atacar redes, sin embargo, varias aplicaciones usan mensajes ICMP para reunir información.  La administración de redes usa mensajes ICMP generados automáticamente por el router.  Los hackers pueden usar paquetes eco ICMP para descubrir subredes y hosts de una red protegida y generar ataques de inundación DoS.  Los hackers pueden usar mensajes de redirección ICMP para alterar las tablas de enrutamiento de los hosts.  La entrada de mensajes eco y de redirección ICMP debe ser bloqueada por el router.
  • 39.  Se recomiendan varios mensajes ICMP para la correcta operación de la red y debe permitírseles la entrada:  Echo reply - (Respuesta de eco) Permite a los usuarios hacer ping a hosts externos.  Source quench - (Disminución del tráfico desde el origen) Solicita al remitente que disminuya la cantidad de tráfico de mensajes.  Unreachable - (Destino inalcanzable) Los mensajes unreachable se generan cuando un paquete es denegado administrativamente por una ACL.
  • 40.  Se recomiendan varios mensajes ICMP para la correcta operación de la red y debe permitírseles la salida:  Echo - (Eco) Permite a los usuarios hacer ping a hosts externos.  Parameter problem - (Problema de parámetro) Informa al host sobre problemas en el encabezado del paquete.  Packet too big - (Paquete demasiado grande) Requerido para el descubrimiento de la unidad de transmisión máxima (MTU) de paquetes.  Source quench - (Disminución del tráfico desde el origen) Ahoga el flujo de tráfico si es necesario.
  • 41.  Todos los otros tipos de mensajes ICMP de salida deben ser bloqueados.  Las ACLs se usan para detener la falsificación de direcciones IP, permitir el paso por el firewall de servicios específicos y permitir sólo los mensajes ICMP requeridos.  Las ACLs son una herramienta dominante en la seguridad de las redes.  Existen otras tecnologías que fueron desarrolladas para el IOS de Cisco para mejorar la funcionalidad del firewall.  ¿Qué tecnologías superan a las ACLs tradicionales en la creación de un perímetro seguro para la red de una organización?