CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
Transcript of CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
1/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 1
Filtrado de trfico mediante
listas de control de acceso
Introduccin al enrutamiento y la conmutacin en la empresaCaptulo 8
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
2/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 2
Objetivos
Describir el filtrado de trfico y explicar cmo laslistas de control de acceso (ACL) pueden filtrar eltrfico en las interfaces del router.
Analizar el uso de las mscaras wildcard. Configurar y aplicar las ACL.
Crear y aplicar las ACL para controlar los tipos detrfico especfico.
Registrar la actividad de la ACL e integrar las mejoresprcticas de la ACL.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
3/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 3
Descripcin del filtrado de trfico
Analizar el contenido de un paquete Permitir o bloquear el paquete
Segn la IP de origen, IP de destino, direccin MAC,protocolo y tipo de aplicacin
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
4/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 4
Descripcin del filtrado de trfico
Dispositivos que proporcionan filtrado de trfico:
Firewalls incluidos en los routers integrados
Aplicaciones de seguridad dedicadas (firewalls
dedicados) Servidores
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
5/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 5
Descripcin del filtrado de trficoUsos para las ACL:
Especificar hosts internos para NAT
Clasificar el trfico para el QoS
Restringir las actualizaciones de enrutamiento, limitarlos resultados de la depuracin, controlar el acceso a
terminal virtual de los enrutadores
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
6/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 6
Descripcin del filtrado de trfico
Posibles problemas con las ACL: Mayor carga en el router
Posible interrupcin de la red por ACLs mal diseadas
Consecuencias no esperadas a causa de unaincorrecta ubicacin,como dejar pasartrfico prohibido obloquear trfico
permitido
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
7/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 7
Descripcin del filtrado de trfico
Las ACL estndarfiltran segn la direccin IP deorigen (Nmero identificacin: [1 - 99] y [1300 a 1999]
Las ACL extendidasfiltran en el origen y el destino ascomo tambin en el nmero de puerto y protocolo(Nmero identificacin: [100 a 199] y [2000 a 2699])
Las ACL nombradaspueden ser estndar o
extendidas
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
8/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 8
Descripcin del filtrado de trfico
Las ACL estn compuestas de sentencias.Al menos una sentencia debe ser una sentencia de
permiso, sino todo el trfico ser denegado.
La sentencia final es una denegacin implcita.
La ACL debe aplicarse a una interfaz para quefuncione .
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
9/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 9
Descripcin del filtrado de trfico
La ACL se aplica en forma entrante (inbound) o
saliente (outbound).
La direccin se obtiene a partir de la perspectiva delrouter.
Cada interfaz puede tener una ACL por direccin paracada protocolo de red.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
10/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 10
Anlisis del uso de las mscaras wildcard
La mscara wildcard puede bloquear un rango dedirecciones o una red entera con una sentencia
Los 0 indican qu parte de una direccin IP debecoincidir con la ACL
Los 1 indican qu parte no tiene que coincidir en formaespecfica
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
11/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 11
Anlisis del uso de las mscaras wildcard
Utilice el parmetro hos ten lugar de una wildcard 0.0.0.0192.168.15.99 0.0.0.0es lo mismo que hos t 192.168.15.99
Usar el parmetro anyen lugar de la wildcard 255.255.255.2550.0.0.0 255.255.255.255 es lo mismo que any
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
12/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 12
Anlisis del uso de las mscaras wildcard
Ejemplo: 192.168.85.0/26
Qu subredes se obtienen?
192.168.85.0/26 192.168.85.64/26192.168.85.128/26 192.168.85.192/26
Qu sentencias se utilizan para denegar el trficode las primeras dos redes?
access-list XX deny 192.168.85.0 0.0.0.63
access-list XX deny 192.168.85.64 0.0.0.63
Se pueden summarizaren una sola sentencia?
S: access-list XX deny 192.168.85.0 0.0.0.127
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
13/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 13
Configuracin e implementacin de laslistas de control de acceso
Pasos para determinar tipo y ubicacin de las ACLs:
Determinar los requisitos del filtrado de trficoDecidir qu tipo de ACL utilizar (estndar o extendida)
Determinar el router y la interfaz a los cuales aplicar la ACL
Determinar en qu direccin filtrar el trfico
Procurarque trficoa bloquearviaje lo menosposible porla red.
Estndar: cerca deldestino.
Extendida: cerca delorigen.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
14/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 14
Configuracin e implementacin de las listasde control de acceso
La configuracin de las ACLs involucra 2 pasos:Creacin y Aplicacin
Creacin: crea la listaSe usa la siguiente sintaxis:
access-list [access-list-number][deny|permit] [sourceaddress] [source-wildcard][log]
Para documentar la informacin:
access-list [list number]remark [text]
Para borrar una ACL:no access-list [list number]
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
15/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 15
Configuracin e implementacin de las listasde control de acceso
Aplicacin: asocia la lista a una interfaz
Para asociar:R2(config-if)#ip access-group access-list-number[in |out]
Para desasociar:no ip access-group interface
Si solo se usa trfico IP, solo pueden haber 2 ACLs porinterfaz: de entrada y salida de trfico.
Usar: show ip interface, access-lists access-list-number,running-config
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
16/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 16
Configuracin e implementacin de las listas decontrol de acceso: ACL estndar numerada
Utilice el comando access-listpara ingresar lassentencias
Rangos de nmeros: 1-99, 1300-1999
Aplicar lo ms cerca posible del destino
show ip interface
show access-lists
show running-config
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
17/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 17
Prctica de Laboratorio
Laboratorio 8.3.3.4
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
18/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 18
Configuracin e implementacin de las listas decontrol de acceso: ACL extendida numerada
Utilice el comando access-listpara ingresar lassentencias
Rangos de nmeros: 100-199, 2000-2699
Especificar un protocolo para admitir o rechazar
Colquela lo ms cerca posible del origen
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
19/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 19
Configuracin e implementacin de las listas decontrol de acceso: ACL extendida numerada
La sentencia bsica de configuracin est dada por:
R(config)#access-list [ACL-number] [permit | deny]
[protocol(eigrp, icmp, ip, ospf, tcp, udp, etc)] [source
IP] [destination IP] [matching condition (equal, greater,
lower)] [TCP Application (http, ftp, etc)]
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
20/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 20
Prctica de Laboratorio
Laboratorio 8.3.4.4
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
21/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 21
Configuracin e implementacin de las listasde control de acceso: ACL nombradas
El nombre descriptivo reemplaza el nmero de ACL
Utilice el comando ip access-list {standard |extended} namepara crear la lista
Comience las sentencias subsiguientes con permiso orechazo
Aplicar de la misma manera que la ACL estndar oextendida
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
22/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 22
Configuracin e implementacin de las listasde control de acceso: ACL nombradas
Show access-listsmuestra las lneas de la lista, cuyas filas
se numeran como 10, 20 , 30,
Para borrar una lnea de la ACL usar:no [line number].
Para introducir una lnea hacerlo iniciando la sentencia con
el line numbersegn la posicin deseada.
Para colocar una sentencia en una posicin intermedia usarun nmero intermedio.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
23/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 23
Prctica de Laboratorio
Laboratorio 8.3.5.4
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
24/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 24
Configuracin e implementacin de laslistas de control de acceso: Acceso VTY
Utilizar el comando access-classpara asociar la ACLa la lnea VTY en configuracin.
Utilizar una ACL numerada por seguridad.
Aplicar restricciones idnticas a todas las lneas VTY.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
25/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 25
Prctica de Laborarorio
Laboratorio 8.3.6.3
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
26/37 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 26
Creacin y aplicacin de las ACL para controlarlos tipos de trfico especfico
Utilizar una condicin especfica cuando se realice elfiltrado a los nmeros de puerto: eq, lt, gt, range
Rechazar todos los puertos correspondientes en el casode aplicaciones de varios puertos como el FTP
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
27/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 27
Creacin y aplicacin de las ACL para controlarlos tipos de trfico especfico
Es posible bloquear trfico originado externamente, perodejar pasar trfico externo de respuesta.
Ping: permitir respuestas de eco mientras se rechazan lassolicitudes de eco desde fuera de la red. (Ver Imagen)
Esto es una forma de Inspeccin de paquetes con estado(SPI).
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
28/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 28
Creacin y aplicacin de las ACL para controlarlos tipos de trfico especfico
Cuando el paquete llega a la interfaz NAT el router:Aplica la ACL IN.Traduce la direccin exterior en interior.Enruta el paquete.
Cuando el paquete sale de la interfaz NAT el ruoter:
Traduce la direccin interna en externa.Aplica la ACL OUT.
Filtrar las direcciones pblicasen una interfaz NAT exterior.
Filtrar las direcciones privadasen una interfaz NAT interior.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
29/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 29
Prctica de Laboratorio
Laboratorio 8.4.3.2
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
30/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 30
Creacin y aplicacin de las ACL para controlarlos tipos de trfico especfico
Inspeccionar cada ACL una lnea a la vez para evitarconsecuencias no previstas
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
31/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 31
Creacin y aplicacin de las ACL para controlarlos tipos de trfico especfico
Aplicar las ACL a las interfaces o subinterfaces VLANal igual que con las interfases fsicas
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
32/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 32
Registro de la actividad de la ACL y sus mejoresprcticas
El registro (logging) proporciona detalles adicionales
sobre los paquetes que se rechazan o se admiten.Agregue la opcin registro al final de cada sentencia de
la ACL que se debe rastrear.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
33/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 33
Registro de la actividad de la ACL y sus mejoresprcticas
Mensajes de Syslog: Estado de las interfaces del router
Mensajes de la ACL (logging[ip_address])
Ancho de banda, protocolos en uso, eventos deconfiguracin
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
34/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 34
Prctica de Laboratorio
Laboratorio 8.5.2.3
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
35/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 35
Registro de la actividad de la ACL y sus mejoresprcticas
Compruebe siempre la conectividad bsica antes de aplicar las ACL.
Agregue deny ip anyal final de una ACL cuando realice el registro.
Utilice reload in 30cuando pruebe las ACL en los routers remotos.
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
36/37
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 36
Resumen
Las ACL habilitan la administracin del trfico yaseguran el acceso hacia la red y sus recursos y desdeestos
Aplicar una ACL para filtrar el trfico entrante o saliente
Las ACL pueden ser estndar, extendidas onombradas
El uso de una mscara wildcard otorga flexibilidad
Existe una sentencia de rechazo implcito al final deuna ACL
Fundamente NAT cuando cree y aplique las ACL
El registro proporciona detalles adicionales sobre el
trfico filtrado
-
5/26/2018 CCNA Disc 3 Cap%EDtulo 8 ACLs Routing Switching
37/37