Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

What is access control list (ACL)?

Anuncio 
Listas de Control de
Acceso (ACL)
Adaptado para ISI por Enrique Ostúa.
Abril 2016
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
1
Access Control Lists (ACLs)
Objetivos
 Ver las diferencias entre ACLs
standard y extendidas
 Explicar las reglas para colocar las
ACLs
 Usar reglar ACLs con nombres
 Describir la función de firewall
 Usar ACLs para restringir el acceso a
la consola
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
2
Introducción
 Access control list (ACL): consisten en una tabla
que le dice al sistema operativo qué permisos de
acceso tiene un usuario sobre un objeteo particular
del sistema, por ejemplo un fichero o un directorio.
 Cada objeto tiene un atributo de seguridad que
identifica su ACL.
 Los ACLs se pueden aplicar a otro tipo de objetos,
por ejemplo, en el caso de routers se pueden
aplicar ACLs al tráfico que entra o sale por las
interfaces de red.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
3
Modelo de ACL para routers
 ACLs son listas de condiciones usadas para
comprobar que el tráfico de una interfaz está
permitido o prohibido. En las listas se describen los
tipos de paquetes a aceptar o rechazar. ACLs
permiten la gestión de tráfico y el acceso seguro
hacia/desde una red.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
4
Ventajas ACLs
 Limita volumen tráfico y aumenta el rendimiento de
la red
 Provee control de flujo
 Provee un nivel básico de seguridad de acceso
 Permite tomar decisiones de tráfico (reenviar o
bloquear)
 Acceso por áreas.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
5
Cómo se ejecuta una ACL
 El ACL contiene una
o más reglas.
 Toma decisiones
cuando se encuentra
la primera regla que
coincide, y toma la
acción que
corresponda
(PERMIT o DENY).
 Cada regla dentro de
un mismo ACL opera
en orden secuencial.
 Regla por defecto:
“Implicit DENY” (no
hay que indicarlo).
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
6
Rango de ACL para cada protocolo
 Cada ACL tiene un IDentificador único
numérico asignado, y tiene que ser de rango
descrito en la tabla adjunta.
 Tráfico IP: rango 1-99 ACLs normales; rango
100-199 para ACLs extendidas.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
9
ACL Configuración
 Paso1, añadir una regla a una ACL (nueva o
existente):
Rter (config)# access-list access-list-number {permit/deny} {testcondition}
 Paso2, configurar la interfaz para usar la ACL:
Rter (config-if)# ip access-group access-list-number {in/out}
 En una ACL con reglas ya creadas, estas no se
pueden modificar: se debe borrar toda la ACL para
volver a crearla:
Rter (config)# no access-list access-list-number
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
11
ACL configuración - Ejemplo
1. Router (config)# access-list 6 deny 172.13.0.0 0.0.255.255
(si no existía ACL 6, crea el ACL 6 con una primera regla)
1. Router (config)# access-list 6 permit 172.0.0.0 0.255.255.255
(añade una segunda regla al ACL 6)
1. Router (config)# interface e0
2. Router (config-if)# ip access-group 6 in
Wildcard
Masks
(aplica el filtro del tráfico de entrada de E0 con el ACL 6)
Si se quiere borrar el ACL:
Router (config)# no access-list 6
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
13
Aplicando la Wildcard Mask
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
18
Formato ANY y HOST
 La opción any sustituye a una IP 0.0.0.0 con una wildcard mask
255.255.255.255 (es decir, lo que conocemos como 0.0.0.0/0 en una
tabla de enrutamiento). Esta regla se aplica para cualquier dirección
con que sea comparada.
 La opción host es equivalente a poner un wildcard mask 0.0.0.0 (es
decir, una máscara de red /32). Quiere decir que todos los bits de la
dirección deben ser iguales a la dirección del host, sólo se aplica
con una única dirección IP.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
19
Verificando la ACL de un interfaz
 # show access-list
 lista todos los ACLs
 # show access-list 6
lista el ACL 6
 # show ip interface Fa0/1
lista los ACLs INBOUND y OUTBOUND de esa interfaz
 # show ip access-list
lista cada regla con un contador del número de veces que se ha
usado
 # show running-config
muestra la configuración actual, incluyendo todas las ACLs y sus
asignaciones a las interfaces
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
20
Standard ACLs
 Compara la dirección IP origen del datagrama que
está siendo filtrado.
 No se puede distinguir protocolos.
Router(config)# access-list access-list-number deny / permit
[log]
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
21
Extended ACLs
 Permiten un control más completo
 ACLs Extendidos puede comprobar direcciones IP
origen y destino, además de protocolos, números
de puerto y bits de estado.
 Ejemplos:
Comprueban: Protocolo, IP/wildcard origen, IP/wildcard
destino, y el puerto.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
24
Extended ACLs - Parameter
 Dynamic: Identifies the access-list as a dynamic access list
 Timeout: specifies the absolute length of time
 Protocol: name or number (0 – 255) of an Internet protocol
 Source: Number of the network or host which it being send from
(32 bit quantity in four part – any – host)
 Destination: Number of the network or host to which the packet
is being sent(32 bit quantity in four part – any – host)
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
25
Transport – Application layer Ports
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
27
Colocando ACLs
 Extended ACLs,
lo más cerca
posible al
origen del
tráfico
denegado.
 Standard ACLs
no especifican
el destino, así
que se deben
colocar lo más
cerca posible
del destino.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
30
Firewall
 ACLs se pueden
usar en en routers
con firewall, que se
suelen colocar
entre una red
interna y la red
externa (por
ejemplo internet).
 El firewall del
router provee un
punto de
aislamiento, así el
resto de la
estrcutura de la red
interna no se ve
afectada.
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
31
Restringiendo acceso a la consola
 Se puede restringir el acceso al VTY del router con una lista
de acceso, de forma que se permita/rechace acceso por
telnet o ssh.
Rt1(config)# line vty 12 15
Rt1(config-line)#access-class 99 in
Rt1(config)#access-list 99 permit any
Presentation_ID
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
32
Documentos relacionados
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Propuesta de trabajo a distancia
Actividad de clase: Propuesta de trabajo a distancia
Actividad de clase: enviar o recibir (instrucciones)
Actividad de clase: enviar o recibir (instrucciones)
Diez buenas razones para ofrecer financiación a sus clientes
Diez buenas razones para ofrecer financiación a sus clientes
Transformación digital de los servicios financieros
Transformación digital de los servicios financieros
Actividad de clase: Diseño y armado de una red de pequeña empresa (instrucciones)
Actividad de clase: Diseño y armado de una red de pequeña empresa (instrucciones)
10 buenas razones por las que ofrecer financiación a sus clientes
10 buenas razones por las que ofrecer financiación a sus clientes
Entrenamiento – Modulo 1.3 Como abrir casos con el Service
Entrenamiento – Modulo 1.3 Como abrir casos con el Service
Entrenamiento CSCC – SNIF Serial Number Information Finder
Entrenamiento CSCC – SNIF Serial Number Information Finder
Descargar
Anuncio
Anuncio