Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Listas Control Acceso
Listas Control Acceso
rea EEyT
Derechos Reservados Titular del Derecho: INACAP N de inscripcin en el Registro de Propiedad Intelectual # __.__de fecha __-__-__. INACAP 2003.
Conceptos previos:
En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. La siguiente tabla muestra los identificadores. Tipo de lista de acceso IP estndar IP extendida Cdigo del tipo puente IPX estndar IPX extendido IPX SAP Identificador 1-99 100-199 200-299 800-899 900-999 1000-1099
Mscara Wildcard:
Las listas de acceso IP estndar y extendidas utilizan una mscara WILDCARD. Al igual que una direccin IP, una mscara wildcard es una cantidad de 32 bits escrita en un formato decimal con puntos. La mscara wildcard le indica al Router qu bits de la direccin usar en las comparaciones. Los bits de direcciones correspondientes a los bits de mscara wildcard establecidos en 1 se ignoran en las comparaciones, mientras que los bits de direcciones de mscara wildcard establecidos en 0 se usan en las comparaciones.
Comandos:
A continuacin de definen los comandos ms utilizados para la creacin de listas de acceso. Comando Access-list-number Permit / deny Source Destination Source-Wildcard Destination-Wildcard Any Show access-list Descripcin Identifica la lista a la que pertenece la entrada. Indica si la entrada permite o impide el trfico a la red especificada. Indica la direccin IP de origen. Indica la direccin IP destino. Identifica qu bits del campo de direccin deben coincidir. Aplicar a todos Muestra las listas de acceso de todos lo protocolos
EJEMPLOS
Ejemplo de lista de acceso estndar:
INTERNET
10.48.0.3 B C D A
Workstation Workstation
Workstation Workstation
10.51.0.0
Ethernet
E0 Router A 10.48.0.0
INTERNET
Correo 172.22.1.2
FTP
Tower box
Tower box
Workstation
S0
Ethernet
172.22.3.0 E1
access-list 118 permit tcp any 172.22.0.0 0.0.255.255 eq www established access-list 118 permit tcp any host 172.22.1.2 eq smtp access-list 118 permit udp any any eq dns access-list 118 permit udp 172.22.3.0 0.0.0.255 172.22.1.0 o.0.0.255 eq snmp access-list 118 deny icmp any 172.22.0.0 0.0.255.255 echo access-list 118 permit icmp any any echo reply ! interface Ethernet 0 ip access-group 118 out En el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0 del router A. Esta configuracin permite que las respuestas a las consultas del navegador del cliente A en Internet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas). Las consultas mediante navegador desde orgenes externos no son permitidas explcitamente y son descartadas por el deny any implcito del final de la lista de acceso. Tambin permite enviar correo electrnico SMTP exclusivamente al servidor de correo. El servidor est autorizado para resolver peticiones DNS. La subred 172.22.1.0 es controlada por el grupo de administracin de red que est ubicado en servidor del cliente B, por lo que las consultas de administracin de red SNMP, se les permitir llegar a estos dispositivos del servidor. Los intentos de hacer un ping a la red corporativa desde afuera de la red de la subred 172.22.3.0 fallarn, ya que la lista de acceso bloquea las peticiones echo. Sin embargo, las respuestas a las peticiones echo generadas desde dentro de la red corporativa sern autorizadas a volver a entrar a la red.
EJERCICIOS
1.Es necesario realizar el diseo de red LAN para una empresa con mltiples sucursales. Se requiere que cada sucursal tenga dos redes: Una red para ventas. Una red para administracin. Cada segmento exclusivo de LAN se debe conectar a una puerta independiente en el router para brindar servicios a esa LAN. Ethernet
Como parte de la solucin de seguridad, se necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN de ventas al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN de ventas. Indique la configuracin necesaria en el Router para satisfacer el requerimiento. 2.Indique la configuracin para una lista de acceso IP numerada que detenga los paquetes provenientes de la subred 134.141.7.0, 255.255.255.0, aplicada en una interfaz serial 0 de un Router. Permita que todos los dems paquetes pasen. Indique la configuracin para una lista de acceso IP que permita solamente paquetes de las subredes 193.7.6.48/28 a la 193.7.6.128/28, que son enviados al servidor Web de la subred 128.1.0.0, en la puerta serial 0 de algn Router. Indique la configuracin para una lista de acceso IP que detenga los paquetes desde la subred 10.3.4.0/24, a cualquier servidor Web, aplicada en la salida de una interfaz serial 0 de algn Router. Tambin detenga los paquetes del host 134.141.5.4 de entrada en la interfaz serial 0. Permita cualquier otro trfico. Indique una mscara Wildcard para poder hacer Match al grupo de subredes que van desde la 115.10.12.0/22 hasta la 115.10.64.0/22 Indique la mscara wildcard necesaria para filtrar 15 host de la subred 200.10.8.96/27, partiendo del host 200.10.8.103/27 hasta el host 200.10.8.117/27. Qu filtra la siguiente lista de acceso? (direccin IP 10.0.0.0/15) Access-list 53 deny 10.0.0.0 0.7.255.255 Access-list 53 permit any 8.Qu filtra la siguiente lista de acceso? (direccin IP 125.8.0.0/25) Access-list 36 permit host 125.8.7.11 Access-list 36 deny 125.8.7.8 0.0.0.7 Access-list 36 permit any
3.-
4.-
5.6.-
7.-
9.-
Cree Una lista de acceso y colquela en la ubicacin adecuada para satisfacer los siguientes requisitos. Impedir que todos los host de la subred 172.16.1.0/24, a excepcin del host 172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todos los dems host, incluyendo los del mundo exterior, accedan al servidor Web.
NO 172.16.0.0
172.16.1.4
172.16.1.3
S0
Ethernet
172.22.3.0 E1
172.16.1.0
E0 Router A
E1 172.16.2.0
E0
Router B
172.16.4.0
Tower box
Tower box
Tower box
Workstation
DNS 4.2
FTP 4.3
www 4.4
cliente 4.5