Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
ENSA_Module_4
Jesús Escoboza
Compartir
Vista previa del material en texto
Módulo 4: Conceptos de ACL Materiales del instructor Redes empresariales, seguridad y automatización (ENSA) ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Cisco Networking Academy Program Redes empresariales, Seguridad y Automatización v7.0 (ENSA) Modulo 4: Conceptos de ACL 1 Materiales del instructor – Módulo 4: Guía de planificación. Esta presentación en PowerPoint se divide en dos partes: Guía de planificación para el instructor Información para ayudarlo a familiarizarse con el módulo. Ayuda didáctica Presentación de la clase del instructor Diapositivas opcionales que puede utilizar en el aula Comienza en la diapositiva # 9 Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas. Para obtener ayuda adicional y recursos, diríjase a la página principal del Instructor y a los Recursos del curso. También puede visitar el sitio de desarrollo profesional en netacad.com, la página oficial de Facebook de Cisco Networking Academy o el grupo de Facebook exclusivo para instructores. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 2 ¿Qué esperar en este módulo? Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser incluidas en este módulo: Característica Descripción Animaciones Exponer a los alumnos a nuevas habilidades y conceptos. Videos Exponer a los alumnos a nuevas habilidades y conceptos. Verifique su comprensión Cuestionario por tema en línea para ayudar a los aprendices a medir la comprensión del contenido. Actividades interactivas Una variedad de formatos para ayudar a los aprendices a medir la comprensión del contenido. Verificador de sintaxis Pequeñas simulaciones que exponen a los estudiantes a la línea de comandos de Cisco para practicar habilidades de configuración. Actividad de Packet Tracer Actividades de simulación y modelado diseñadas para explorar, adquirir, reforzar y ampliar habilidades. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco ¿Qué esperar en este módulo? (cont.) Para facilitar el aprendizaje, se van a incluir en este módulo las siguientes características: Característica Descripción Laboratorios prácticos Laboratorios diseñados para trabajar con equipos físicos. Actividades de clase Estos se encuentran en la página Recursos del instructor. Las actividades de clase están diseñadas para facilitar el aprendizaje, la discusión en clase y la colaboración. Cuestionarios del Módulo Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo de los temas presentados en el módulo. Descripción del módulo Resumen breve del contenido del módulo. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Verifique su Conocimiento Las actividades de "Verifique su conocimiento" están diseñadas para permitir que los estudiantes determinen si están entendiendo el contenido y puedan continuar, o si es necesario un repaso personal. Las actividades de "Verifique su Conocimiento" no afectan las calificaciones de los alumnos. No hay diapositivas separadas para estas actividades en el PPT. Se enumeran en el área de notas de la diapositiva que aparece antes de estas actividades. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 5 Módulo 4: Actividades ¿Qué actividades están asociadas con este módulo? N.° de página Tipo de actividad Nombre de la actividad ¿Opcional? 4.1.4 Packet Tracer ALC Demonstration Recomendado 4.1.5 Verifique su comprensión Propósito de las ACL Recomendado 4.2.5 Verifique su comprensión Máscaras de comodín en ACL Recomendado 4.3.3 Verifique su comprensión Pautas para la creación de ACL Recomendado 4.4.6 Verifique su comprensión Pautas para la colocación de ACL Recomendado ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 6 Módulo 4: Mejores prácticas Antes de enseñar el Módulo #4, el instructor debería: Revisar las actividades y evaluaciones de este módulo. Tratar de incluir la mayor cantidad de preguntas que sean posibles, con el fin de mantener a los estudiantes concentrados durante la presentación. Tema 4.1 Pregunte a los estudiantes o tenga un debate en clase Discuss and clarify what inbound and outbound mean with regard to ACLs. What system or mechanism might provide filtering above Layer 4? Tema 4.2 Pregunte a los estudiantes o tenga un debate en clase Create several exercises to reinforce how wildcard masks are calculated for ranges of networks. What is the main benefit derived from the host and any keywords? ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 7 Módulo 4: Buenas prácticas (Continuación) Tema 4.3 Pregunte a los estudiantes o tenga un debate en clase ¿Por qué es una buena práctica escribir un ACL en un editor de texto? ¿Cuáles son las diferentes formas en que se puede documentar una ACL? Tema 4.4 Pregunte a los estudiantes o tenga un debate en clase ¿Cuál es el concepto principal detrás de las pautas sobre dónde colocar las ACL? Cree varios ejercicios para reforzar las pautas de colocación de ACL. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 8 Module 4 : Conceptos de ACL Términos y Comandos nuevos Listas de control de acceso (ACL) Entradas de control de acceso (ACE) Filtrado de paquetes ACLs estándares ACLs extendidas Máscara wildcard host keyword any keyword ACL numeradas ACL con nombre ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 9 Modulo 4: Conceptos de ACL Redes empresariales, Seguridad y Automatización v7.0 (ENSA) ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Cisco Networking Academy Program Redes empresariales, Seguridad y Automatización v7.0 (ENSA) Modulo 4: Conceptos de ACL 10 Objetivos del módulo Titulo de Modulo: Conceptos de ACL Objetivo de Modulo: Explique la forma en que se utilizan las ACL como parte de una política de seguridad de red. Título del tema Objetivo del tema Propósito de las ACL Explicar de qué manera las listas ACL filtran el tráfico. Máscaras Wildcard en ACL Explique la forma en que las ACL utilizan máscaras de comodín. Pautas para la creación de ACL Explique cómo se crea una ACL. Tipos de ACL IPv4 Compare las ACL IPv4 estándar y extendidas. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 11 4.1 Propósito de las ACL ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.1 Propósito de las ACL 12 Propósito de las listas ¿Qué es una ACL? Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. De forma predeterminada, un router no tiene ninguna ACL configurada. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar. Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE). Nota: Las ACE también se denominan comúnmente “instrucciones de ACL”. Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la informacióndentro del paquete con cada ACE, en orden secuencial, para determinar si el paquete coincide con una de las ACE. Este proceso se denomina filtrado de paquetes ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.1 Propósito de las ACL 4.1.1 - ¿Qué es una ACL? 13 Propósito de las listas ACL ¿Qué es una ACL? (continuación) Varias tareas realizadas por los routers requieren el uso de ACL para identificar el tráfico: Limitan el tráfico de la red para aumentar su rendimiento. Proporcionan control del flujo de tráfico. Proporcionan un nivel básico de seguridad para el acceso a la red. Filtran el tráfico según el tipo de tráfico. Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Proporcionar prioridad a determinadas clases de tráfico de red ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.1 Propósito de las ACL 4.1.1 - ¿Qué es una ACL? (continuación) 14 Propósito de las listas ACL Filtrado de paquetes El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios determinados. El filtrado de paquetes se puede realizar en la Capa 3 o en la Capa 4. Los routers Cisco admiten los siguientes dos tipos de ACL: ACL estándar : las ACL sólo filtran en la capa 3 utilizando únicamente la dirección IPv4 de origen. ACL extendidas : las ACL filtran en la capa 3 mediante la dirección IPv4 de origen y/o destino. También pueden filtrar en la Capa 4 usando TCP, puertos UDP e información de tipo de protocolo opcional para un control más fino. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.1 Propósito de las ACL 4.1.2 - Filtrado de paquetes 15 Propósito de las listas ACL Funcionamiento de una ACL Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router. Las listas ACL se pueden configurar para aplicarse tanto al tráfico entrante, como al tráfico saliente. Nota: Las ACL no operan sobre paquetes que se originan en el router mismo. Las ACL de entrada filtran los paquetes que ingresan a una interfaz específica y lo hacen antes de que se enruten a la interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Las ACL de salida filtran los paquetes después de que se enrutan, independientemente de la interfaz de entrada. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.1 Propósito de las ACL 4.1.3 - ACL Operation 16 Propósito de las listas ACL Funcionamiento de una ACL (Cont.) Cuando se aplica una ACL a una interfaz, sigue un procedimiento operativo específico. Estos son los pasos operativos que se utilizan cuando el tráfico ha entrado en una interfaz de router con una ACL IPv4 estándar de entrada configurada: Un router configurado con una ACL de IPv4 estándar recupera la dirección IPv4 de origen del encabezado del paquete. El router comienza en la parte superior de la ACL y compara la dirección con cada ACE de manera secuencial. Cuando encuentra una coincidencia, el router realiza la instrucción, que puede ser permitir o denegar el paquete. Las demás entradas en el ACL no son analizadas. Si la dirección IPv4 de origen no coincide con ninguna ACE de la ACL, el paquete se descarta porque hay una ACE de denegación implícita aplicada automáticamente a todas las ACL. La última instrucción de una ACL siempre es una instrucción deny implícita que bloquea todo el tráfico. Está oculto y no se muestra en la configuración. Nota: Una ACL debe tener al menos una instrucción permit, de lo contrario, se denegará todo el tráfico debido a la instrucción ACE deny implícita. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.1 Propósito de las ACL 4.1.3 - Operación ACL (cont.) 17 Proposito de las listas ACL Packet Tracer - Demostración de ACL En esta actividad de Packet Tracer, cumplirá los siguientes objetivos: Parte 1: verificar la conectividad local y probar la lista de control de acceso Parte 2: eliminar la lista de control de acceso y repetir la prueba ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.1 Propósito de las ACL 4.1.4 - Packet Tracer - ACL Demonstration 4.1.5 - Compruebe su comprensión - Propósito de las ACL 18 4.2 Máscaras Wildcard en ACL ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 Máscaras Wildcard en ACL 19 Máscaras Wildcard en ACLs Wildcard Mask Descripción general Una máscara Wildcard es similar a una máscara de subred, ya que utiliza el proceso AnDing para identificar los bits de una dirección IPv4 que deben coincidir. Sin embargo, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia, en las máscaras wildcard es al revés. Un ACE IPv4 utiliza una máscara wildcard de 32-bit para determinar qué bits de la dirección debe examinar para obtener una coincidencia. Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios: Máscara wildcard bit 0 - se establece la coincidencia con el valor del bit correspondiente en la dirección. Máscara wildcard bit 1 - se omite el valor del bit correspondiente en la dirección. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 Máscaras Wildcard en ACL 4.2.1 - Descripción general de la máscara Wildcard 20 Máscaras Wildcard en ACLs Wildcard Descripción general (Cont.) Máscara Wildcard Último octeto (en binario) Significado (0 - coincidencia, 1 - ignorar) 0.0.0.0 00000000 Coinciden todos los octetos. 0.0.0.63 00111111 Coinciden los primeros tres octetos Coinciden los dos bits más a la izquierda del último octeto Ignore los últimos 6 bits de dirección 0.0.0.15 00001111 Coinciden los primeros tres octetos Coinciden los cuatro bits más a la izquierda del último octeto Ignore los últimos 4 bits del último octeto 0.0.0.248 11111100 Coinciden los primeros tres octetos Ignore los seis bits más a la izquierda del último octeto Coinciden los dos últimos bits 0.0.0.255 11111111 Coinciden los tres primeros octetos Ignore el último octeto ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 Máscaras Wildcard en ACL 4.2.1 - Descripción general de la máscara comodín (cont.) 21 Máscaras Wildcard en ACLs Tipos de Máscaras Wildcard Máscara Wildcard para que coincida con un host: Supongamos que ACL 10 necesita una ACE que solo permita el host con la dirección IPv4 192.168.1.1. Recuerde que «0» es igual a una coincidencia y «1» es igual a ignorar. Para que coincida con una dirección IPv4 de host específica, se requiere una máscara Wildcard que conste de todos los ceros (es decir, 0.0.0.0). Cuando se procesa el ACE, la máscara Wildcard permitirá sólo la dirección 192.168.1.1. El ACE resultante en ACL 10 sería access-list 10 permiso 192.168.1.1 0.0.0.0. Decimal Binario Dirección IPv4 192.168.1.1 11000000.10101000.00000001.00000001 Máscara Wildcard 0.0.0.0 00000000.00000000.00000000.00000000 Dirección IPv4 permitida 192.168.1.1 11000000.10101000.00000001.00000001‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 Máscaras Wildcard en ACL 4.2.2 - Tipos de máscara Wildcard 22 Máscaras Wildcard en ACLs Tipos de Máscaras Wildcard (Cont.) Wildcard Mask to Match an IPv4 Subnet ACL 10 necesita una ACE que permita todos los hosts de la red 192.168.1.0/24. La máscara Wildcard 0.0.0.255 estipula que los tres primeros octetos deben coincidir exactamente, pero el cuarto octeto no lo hace. Cuando se procesa, la máscara Wildcard 0.0.0.255 permite todos los hosts de la red 192.168.1.0/24. El ACE resultante en ACL 10 sería access-list 10 permiso 192.168.1.0 0.0.0.255. Decimal Binario Dirección IPv4 192.168.1.1 11000000.10101000.00000001.00000001 Máscara Wildcard 0.0.0.255 00000000.00000000.00000000.11111111 Dirección IPv4 permitida 192.168.1.0/24 11000000.10101000.00000001.00000000 ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 Máscaras Wildcard en ACL 4.2.2 - Tipos de máscara Wildcard (cont.) 23 Máscaras Wildcard en ACLs Tipos de Máscaras Wildcard (Cont.) Máscara Wildcard para coincidir con un rango de direcciones ACL 10 necesita un ACE que permita todos los hosts en las redes 192.168.16.0/24, 192.168.17.0/24,..., 192.168.31.0/24. Cuando se procesa, la máscara de Wildcard 0.0.15.255 permite todos los hosts de las redes 192.168.16.0/24 a 192.168.31.0/24. El ACE resultante en ACL 10 sería access-list 10 permiso 192.168.16.0 0.0.15.255. Decimal Binario Dirección IPv4 192.168.16.0 11000000.10101000.00010000.00000000 Máscara Wildcard 0.0.15.255 00000000.00000000.00001111.11111111 Dirección IPv4 permitida 192.168.16.0/24 to 192.168.31.0/24 11000000.10101000.00010000.00000000 11000000.10101000.00011111.00000000 ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 - Wildcard Masks in ACLs 4.2.2 - Tipos de máscara Wildcard (cont.) 24 Wildcard Masks in ACLs Wildcard Mask Calculation El cálculo de máscaras de comodín puede ser difícil. Un método abreviado es restar la máscara de subred a 255.255.255.255. Algunos ejemplos: Assume you wanted an ACE in ACL 10 to permit access to all users in the 192.168.3.0/24 network. Para calcular la máscara comodín, reste la máscara de subred (255.255.255.0) de 255.255.255.255. This produces the wildcard mask 0.0.0.255. El ACE sería access-list 10 permiso 192.168.3.0 0.0.0.255. Assume you wanted an ACE in ACL 10 to permit network access for the 14 users in the subnet 192.168.3.32/28. Resta la subred (es decir, 255.255.255.240) de 255.255.255.255. El resultado genera la máscara wildcard 0.0.0.15. El ACE sería access-list 10 permiso 192.168.3.32 0.0.0.15. Supongamos que necesitaba una ACE en ACL 10 para permitir sólo las redes 192.168.10.0 y 192.168.11.0. Estas dos redes se pueden resumir como 192.168.10.0/23, que es una máscara de subred de 255.255.254.0. Resta la máscara de subred 255.255.254.0 de 255.255.255.255. El resultado genera la máscara wildcard 0.0.1.255. El ACE resultante en ACL 10 sería access-list 10 permit 192.168.10.0 0.0.1.255. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 Máscaras Wildcard en ACL 4.2.3 - Wildcard Mask Calculation 25 Máscaras Wildcard en ACLs Palabras clave de una máscara Wildcard Cisco IOS proporciona dos palabras clave para identificar los usos más comunes del enmascaramiento Wildcard. Las dos palabras clave son: La palabra clave host - reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host. Any sustituye la mascara 255.255.255.255 Esta máscara establece que se omita la dirección IPv4 completa o que se acepte cualquier dirección. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.2 Máscaras Wildcard en ACL 4.2.4 - Palabras clave de una máscara de Wildcard 4.2.5 - Compruebe su comprensión - Máscaras Wildcard en ACL 26 4.3 Pautas para la creación de ACL ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.3 - Pautas para ACL 27 Directrices para la creación de ACLNúmerolimitado de ACL por interfaz Existe un límite en el número de ACL que se pueden aplicar en una interfaz de router. Por ejemplo, una interfaz dual-stack de un router (es decir, IPv4 e IPv6) puede tener hasta cuatro ACL aplicadas, como se muestra en la figura. Específicamente, una interfaz de router puede tener: Una ACL IPv4 saliente. Una ACL IPv4 entrante. Una ACL IPv6 entrante. Una ACL IPv6 saliente. Note: las ACL no deben configurarse en ambos sentidos. El número de ACL y su dirección aplicada a la interfaz dependerá de la política de seguridad de la organización. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.3 Pautas para la creación de ACL 4.3.1 - Número limitado de ACL por interfaz 28 Pautas para la creación de listas ACL Prácticas recomendadas El uso de las ACL requiere prestar atención a los detalles y un extremo cuidado. Los errores pueden ser costosos en términos de tiempo de inactividad, esfuerzos de resolución de problemas y servicio de red deficiente. Antes de configurar una ACL, se requiere una planificación básica. Pautas Ventaja Fundamente sus ACL según las políticas de seguridad de la organización. Esto asegurará la implementación de las pautas de seguridad de la organización. Escribe lo que quieres que haga la ACL. Esto lo ayudará a evitar posibles problemas de acceso generados de manera inadvertida. Utilice un editor de texto para crear, editar y guardar las ACL. Esto lo ayudará a crear una biblioteca de ACL reutilizables. Documentar las ACL mediante el comando de remark. Esto ayudará a usted (y a otros) a entender el propósito de un ACE. Pruebe sus ACL en un ambiente de pruebas antes de implementarlas en una red de producción. Esto lo ayudará a evitar errores costosos. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.3 Pautas para la creación de ACL 4.3.1 - Número limitado de ACL por interfaz 4.3.2 - Compruebe su comprensión - Pautas para la creación de ACL 29 4.4 Tipos de ACL IPv4 ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 - Tipos de ACL IPv4 30 Tipos de ACL IPv4 ACL IPv4 estándar y extendidas Existen dos tipos de ACL IPv4: ACL estándar : permiten o deniegan paquetes basados únicamente en la dirección IPv4 de origen. ACL extendidas : permiten o deniegan paquetes basados en la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.1 - ACL Estándar y Extendidas 31 Tipos de ACL IPv4 ACL IPv4 numeradas y nombradas ACL numeradas Las ACL numeradas 1-99 o 1300-1999 son ACL estándar, mientras que las ACL numeradas 100-199 o 2000-2699 son ACL extendidas. R1(config)# access-list ? <1-99> IP standard access list <100-199> IP extended access list <1100-1199> Extended 48-bit MAC address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extendedaccess list (expanded range) <700-799> 48-bit MAC address access list rate-limit Simple rate-limit specific access list template Enable IP template acls Router(config)# access-list ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.2 - ACL nombradas y numeradas 32 Tipos de ACL IPv4 numeradas y nombradas(Cont.) ACL nombradas Las ACL con nombre son el método preferido para configurar ACL. Específicamente, las ACL estándar y extendidas se pueden nombrar para proporcionar información sobre el propósito de la ACL. Por ejemplo, nombrar un FILTRO FTP-ACL extendido es mucho mejor que tener un ACL 100 numerado. El comando de configuración global ipaccess-list se utiliza para crear una ACL con nombre, como se muestra en el siguiente ejemplo. R1(config)# ip access-list extended FTP-FILTER R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp R1 (config-ext-nacl) # permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data R1 (config-ext-nacl) # ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.2 - ACL nombradas y numeradas(Cont.) 33 Types of IPv4 ACLs Where to Place ACLs Cada ACL se debe colocar donde tenga más impacto en la eficiencia. Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. Las ACL estándar deben aplicarse lo más cerca posible del destino. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 Dónde ubicar las ACL 34 Tipos de ACL IPv4 Dónde ubicar las ACL (Cont.) Factores que influyen en la colocación de ACL Explicación El alcance del control organizacional La ubicación de la ACL puede depender de si la organización tiene o no control de las redes de origen y de destino. Ancho de banda de las redes involucradas Puede ser conveniente filtrar el tráfico no deseado en el origen para evitar la transmisión de tráfico que consume ancho de banda. Facilidad de configuración Puede ser más fácil implementar una ACL en el destino, pero el tráfico utilizará el ancho de banda innecesariamente. Se puede utilizar una ACL extendida en cada router donde se origina tráfico. This would save bandwidth by filtering the traffic at the source, but it would require creating extended ACLs on multiple routers. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.3 - Dónde colocar ACL (cont.) 35 Tipos de ACL IPv4 Ejemplo de ubicación de ACL estándar En la ilustración, el administrador desea impedir que el tráfico que se origina en la red 192.168.10.0/24 llegue a la red 192.168.30.0/24. Siguiendo las pautas básicas de colocación, el administrador colocaría una ACL estándar en el router R3. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.4 – Ejemplo de ubicación de una ACL estándar 36 Tipos de ACL IPv4 Ejemplo de ubicación de ACL estándar (Cont.) Hay dos interfaces posibles en R3 para aplicar la ACL estándar: Interfaz R3 S0/1/1(entrante) Interfaz R3 G0/0(saliente) ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.4 - Ejemplo de ubicación de una ACL estándar (Cont.) 37 Tipos de ACL IPv4 Ejemplo de ubicación de ACL extendida Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. Sin embargo, los administradores de red solo pueden colocar las listas ACL en los dispositivos que controlan. Por lo tanto, la colocación se debe determinar en el contexto de hasta dónde se extiende el control del administrador de red. En la figura, por ejemplo, la empresa A quiere denegar el tráfico Telnet y FTP a la red 192.168.30.0/24 de la empresa B desde su red 192.168.11.0/24, mientras permite el resto del tráfico. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.5 – Ejemplo de ubicación de la ACL extendida 38 Tipos de ACL IPv4 Ejemplo de ubicación de ACL extendida (Cont.) Una ACL extendida en R3, que bloquee Telnet y FTP de la red, cumpliría el objetivo, pero el administrador no controla R3. Además, esta solución también permite que el tráfico no deseado cruce toda la red y luego sea bloqueado en el destino. La solución es colocar una ACL extendida en R1 que especifique las direcciones de origen y destino. La figura muestra dos interfaces en R1 en las que sería posible aplicar la ACL extendida: Interfaz S0/0/0 del R1 (de salida) - una de las posibilidades es aplicar una ACL extendida de salida en la interfaz S0/0/0. Esta solución procesará todos los paquetes que salgan de R1, incluidos los paquetes de 192.168.10.0/24. Interfaz G0/1 del R1 (de entrada) - la aplicación de una ACL extendida al tráfico que ingresa a la interfaz G0/1 implica que solamente los paquetes de la red 192.168.11.0/24 están sujetos al procesamiento de la ACL en R1. Debido a que el filtro se debe limitar solo a aquellos paquetes que salen de la red 192.168.11.0/24, la aplicación de una ACL extendida a G0/1 es la mejor solución. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.4 Tipos de ACL IPv4 4.4.5 - Ejemplo de ubicación de la ACL extendida (Cont.) 4.4.5 - Compruebe su comprensión - Directrices para la colocación de ACL 39 4.5 - Módulo de práctica y cuestionario ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4 - Conceptos de ACL 4.5 Módulo de Práctica y Cuestionario 40 Práctica del módulo y cuestionario ¿Qué aprendí en este módulo? Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. Un router no tiene ninguna ACL configurada de forma predeterminada. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar. Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE). Los routers Cisco admiten dos tipos de ACL: ACL estándar y ACL extendidas. Las ACL de entrada filtran los paquetes que ingresan a una interfaz específica y lo hacen antes de que se enruten a la interfaz de salida. Si las ACL permiten el paquete, este se procesa para el enrutamiento. Las ACL de salida filtran los paquetes después de que se enrutan, independientemente de la interfaz de entrada. Un ACE IPv4 utiliza una máscara wildcard de 32-bit para determinar qué bits de la dirección debe examinar para obtener una coincidencia. Una máscara Wildcard es similar a una máscara de subred, ya que utiliza el proceso AnDing para identificar los bits de una dirección IPv4 que deben coincidir. Sin embargo, difieren en la forma en que coinciden binarios 1s y 0s.Mascara Wildcard bit 0 coincide con el valor de bit correspondiente en la dirección.Mascara Wildcard bit 1 omite el valor del bit correspondiente en la dirección. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 41 4 - Conceptos de ACL 4.5 Módulo de Práctica y Cuestionario 4.5.1 - ¿Qué aprendí en este módulo? Práctica del módulo y cuestionario ¿Qué aprendíen este módulo? (continuación) El método más sencillo para calcular una máscara Wildcard es restar la máscara de subred de la red a 255.255.255.255. Las máscaras Wildcard se puede simplificar mediante el uso del host de palabras clave del IOS de Cisco y any para identificar los usos más comunes del enmascaramiento de comodín. Existe un límite en el número de ACL que se pueden aplicar en una interfaz de router. Las ACL no deben configurarse en ambos sentidos. El número de ACL y su dirección aplicada a la interfaz dependerá de la política de seguridad de la organización. Las ACL estándar filtran paquetes solamente según la dirección de origen. Las ACL extendidas permiten o deniegan paquetes basados en la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más. Las ACL numeradas 1-99, o 1300-1999, son ACL estándar. Las ACL numeradas 100-199, o 2000-2699, son ACL extendidas. Las ACL con nombre son el método preferido para configurar ACL. Específicamente, las ACL estándar y extendidas se pueden nombrar para proporcionar información sobre el propósito de la ACL. Cada ACL se debe colocar donde tenga más impacto en la eficiencia. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 42 4 - Conceptos de ACL 4.5 Módulo de Práctica y Cuestionario 4.5.1 - ¿Qué aprendí en este módulo? (continuación) Práctica del módulo y cuestionario ¿Qué aprendí en este módulo? (continuación) Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red. Las ACL estándar deben aplicarse lo más cerca posible del destino. Si una ACL estándar se ubicara en el origen del tráfico, la instrucción “permit” o “deny” se ejecutará según la dirección de origen determinada independientemente de adónde se dirige el tráfico. La ubicación de la ACL puede depender del alcance del control organizacional, del ancho de banda de las redes y de la facilidad de configuración. ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 43 4 - Conceptos de ACL 4.5 Módulo de Práctica y Cuestionario 4.5.1 - ¿Qué aprendí en este módulo? (continuación) 4.5.2 - Módulo Quiz - Conceptos de ACL Modulo 4 : Conceptos de ACL Términos y Comandos nuevos Listas de control de acceso (ACL) Entradas de control de acceso (ACE) Filtrado de paquetes ACLs estándares ACLs extendidas Máscara wildcard host keyword any keyword ACL numeradas ACL con nombre ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 44 ‹#› © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 45
Continuar navegando
Materiales relacionados
53 pag.SRWE_Module_3
Jesús Escoboza
183 pag.PrimerParcial - Tadeo
Desafío México Veintitrés
221 pag.
60 pag.MANUAL_PRACTICAS__REDES_DE_COMPUTADORAS
Pedro Sánchez moreno
Compartir