CCNAc 10

CCNA
(Cisco Certified Network Associate)
Capitulo 10:
Seguridad
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
Listas de acceso (ACLs)

Que son Tipos de listas de acceso Caractersticas de las listas de acceso Soluciones de seguridad mediante ACLs
ACLs estndar
Mscara Wildcard Ejemplos
Control de acceso por VTY (Telnet)
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
Monitoreo de ACLs Configuracin de ACLs mediante SDM

Creacin de ACLs con SDM Creacin de Firewall con SDM Temas esenciales para el CCNA
Agenda

ACLs estndar
Tpicos para el CCNA

Identificar las amenazas de seguridad que pueden afectar a un red y describir los
mtodos generales para mitigar esas amenazas. Configurar, verificar y solucionar problemas de las operaciones bsicas y de ruteo en routers Cisco. En particular implementar seguridad bsica en un router.
Implementar, verificar y solucionar problemas de ACLs en una red de oficina mediana.

Entender el propsito y los tipos de ACLs. Configurar y aplicar ACLs basadas en los requerimientos de filtrado de paquetes de la red. Configurar y aplicar ACLs para limitar el acceso por Telnet y SSH al router. Verificar y monitoriar ACLs en una red. Solucionar problemas de las ACLs.
Agenda

ACLs estndar
Preguntas a responder
Cul es la diferencia entre filtrado bsico y avanzado de paquetes? Qu es una Lista de Acceso? Defina trfico Entrante y Saliente Cul es el(los) rango(s) para las Listas estndar? Cul es el(los) rango(s) para las Listas extendidas? Cul es el(los) rango(s) para las Listas MAC? Qu se entiende por permetro? Qu significa Remark? Que es una ACL Reflexiva? Que es una ACL Basada en Tiempo? Qu significa CBAC? Cuales son los comandos para monitorear las ACLs?
Agenda

ACLs estndar
Topologa general de una red con seguridad Red externa

La topologa de una red segura est basada principalmente en routers internos y perimetrales, incluyendo adems equipos de Firewall. Los routers proveen seguridad adicional a la red controlando el trfico usando Listas de Acceso.
En la zona desmilitarizada (DMZ) se encuentran normalmente el HTTP, DNS, email u otros servidores de tipo Internet.
Red interna
Agenda

ACLs estndar
Amenazas de seguridad y sus posibles soluciones

Amenazas de Seguridad
Negacin de Servicio (DoS): Consiste en colapsar el sistema que provee un servicio de manera de que este no quede disponible.
TCP SYN flood (Inundacin de mensajes TCP SYN): ocurre durante el inicio de una conexin TCP,
colapsando el sistema con sesiones semi-abiertas. Ping of Dead (Ping de la muerte): ocurre cuando se hace ping con paquetes muy grandes, produciendo reinicio de la mquina, congelamiento de la sesin, entre otros.
IP spoofing: agente externo o interno que disfraza su IP como confiable. Ataques Man-in-the-middle: intercepcin de los paquetes, mediante un sniffer, agregndoles protocolos de ruteo y transporte . Ataques de Trojanos y viruses: infectan la mquina con cdigos maliciosos, produciendo parlisis, destruccin, etc. Los trojanos, a diferencia de los virus, son aplicaciones disfrazadas .

Posibles soluciones (i)
Firewall de Cisco IOS : - CBAC(Context Based Access Control): proporciona el control interno de acceso de los
usuarios. - Deteccin de Intrusos: herramienta de inspeccin de paquetes que permite monitorear, interceptar y responder a los ataques en tiempo real. - Firewall de Voz: caracterstica de la capa de Aplicacin basada en protocolos respectivos al flujo de la llamada y de los canales de transmisin correspondientes. - Inspeccin ICMP: permite las respuesta a los paquetes ICMP, como ping y traceroute, que vienen de la red interna , denegando cualquier otro tipo de trafico ICMP. - Proxy de autentificacin: aplicacin que obliga a los usuarios autentificarse siempre que deseen acceso a los recursos de la red a travs de HTTP, HTTPs, FTP y Telnet.

Posibles soluciones (ii)
Firewall de Cisco IOS (continuacin):
- Administracin de URL de destino: filtrado de URL.
- Firewalls para usuarios: firewalls personalizados, especficos para cada usuario. Tambin se pueden obtener ACLs personalizadas.
- Provisin de funciones de router y Firewall del Cisco IOS: permite actualizaciones de versin y polticas de seguridad. - Deteccin y prevencin de DoS: chequea los encabezados de los paquetes y descarta cualquier paquete que parezca sospechoso. - Mapeo dinmico de puertos: un adaptador que permite aplicaciones respaldadas por los firewalls en puertos no estndar. - Bloqueo de aplicaciones Java: protege el sistema de cualquier aplicacin java extraa.

Posibles soluciones (iii)
Filtrado bsico y avanzado de trfico : se pueden usar ACLs bsicas y estndar con el
Firewall de Cisco IOS. - Soporte multi-interfaz : permite controlar el acceso de los usuarios a travs de direcciones IP e interfaces dependiendo de las polticas de seguridad que se tengan. - NAT: oculta la red interna del exterior, incrementando la seguridad. - ACLs basadas en tiempo: determinan polticas de seguridad en base una hora exacta y un da especifico de la semana. - Autentificacin entre routers : garantiza que los routers reciban informacin de routeo vlida, de fuentes confiables.
Agenda

ACLs estndar
Listas de Acceso ACLs

ACLs
Las Listas de Acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas.
Uno de los usos ms extendidos de las Listas de Acceso es el de controlar el flujo de trfico entrante y saliente de un router (filtrado de paquetes segn polticas de seguridad).
Las Listas de Acceso pueden ser aplicadas tanto a trfico entrante (inbound) como saliente (outbound). Cuando se aplica una Lista de Acceso el router analiza cada paquete que atraviesa la interfaz en la direccin especificada y toma la accin correspondiente. Existen tres reglas importantes que debe seguir un paquete cuando es comparado con una ACLs: - Siempre es comparado con cada lnea de la ACL en orden secuencial. - Es comparado con cada lnea de la ACL hasta que ocurre una coincidencia. - Existe un deny (rechazar) implcito al final de cada ACL.
Agenda

ACLs estndar

Tipos de Listas de Acceso (i)
Existen dos tipos principales de Listas de Acceso: Listas de Acceso Estndar: usan slo la IP del host fuente como la condicin para el test. No distinguen entre los distintos tipos de trfico IP. Listas de Acceso Extendidas: pueden evaluar muchos de los campos de capa 3 y capa 4 del paquete IP. Tambin pueden evaluar las IP de fuente y de destino, el campo de protocolo del encabezado de capa de Red y el nmero de puerto en el encabezado de la capa de Transporte.

Tipos de Listas de Acceso (ii)
Para usar una ACL como filtro de paquetes es necesario aplicarla a la interfaz donde se quiere filtrar el trfico, adems se debe especificar en que direccin (sentido) del trfico se quiere aplicar, siempre visto desde el router en el cual se crea la ACL. ACLs para trfico entrante (Inbound ACLs): los paquetes son procesados mediante la ACL previo a ser ruteados a la interfaz saliente. ACLs para trfico saliente (Outbound ACLs): los paquetes son ruteados a la interfaz saliente y luego son procesados mediante la ACL, previo a ser transmitidos por esa interfaz.
out
in
Agenda

ACLs estndar

Caractersticas de las ACLs (i)
Permiten mejorar la seguridad de la red interna como tambin atenuar la mayora de
los ataques de seguridad.
Se pueden obtener estadsticas sobre le flujo de paquetes e implementar polticas de seguridad.

Se puede controlar el acceso a dispositivos vulnerables.
Se puede asignar slo una Lista de Acceso por interfaz por protocolo por direccin.
No se puede remover una sola lnea de la Lista de Acceso, slo la lista completa. La excepcin es para las listas de acceso nombradas.

Caractersticas de las ACLs (ii)
Cada lista debe poseer al menos una lnea donde se permita algn tipo de trfico, o sino se descartarn todos los paquetes.
El trfico originado desde el router no es filtrado por las ACLs, slo el trfico a travs de l.
Las ACLs estndar deben ser aplicadas lo ms cerca posible del destino.
Las ACLs extendidas deben ser aplicadas lo ms cerca posible de la fuente.
Agenda

ACLs estndar

Soluciones de seguridad mediante ACLs
Ataques que pueden ser atenuados mediante el uso de Listas de Acceso:
IP spoofing (entrante y saliente) DoS (ataques TCP SYN) Filtrado de mensajes ICMP (entrantes y salientes) Filtrado de traceroute.
Reglas generales para atenuar los problemas de seguridad:

Denegar cualquier direccin que proviene de la red interna Denegar cualquier direccin de host local (127.0.0.0/8) Denegar cualquier direccin privada reservada. Denegar cualquier direccin en el rango de direcciones multicast (224.0.0.0/4)
Agenda

ACLs estndar
ACLs estndar
Las Listas de Acceso estndar filtran el trfico examinando la IP de fuente del paquete. Las ACLs estndar deben ser aplicadas lo ms cerca posible del destino. El rango de nmeros para estas Listas de Acceso es 1-99 o 1300-1999. Es decir existen a lo ms 800 Listas de Acceso estndar distintas configurables.
ACLs estndar
Corp(config)#access-list 10 ? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment
Rechazar paquetes Permitir paquetes Agregar comentario a la lista
Corp(config)#access-list 10 deny ? A.B.C.D Address to match any Any source host host A single host address Corp(config)#access-list 10 deny host ? A.B.C.D Host address Corp(config)#access-list 10 deny host 172.16.30.2
Rango de direcciones Todos los host fuente Un host en particular
Direccin del host. El trmino host es optativo.
Nota: Lo anterior corresponde a crear una lista que rechace todos los paquetes del host 172.16.30.2 .
Agenda

ACLs estndar
ACLs estndar
Mscara Wildcard (i)
Para poder especificar un rango de direcciones sobre el cual se quiere realizar la Lista de Acceso es necesario usar mscaras Wildcard. Esta mscara tambin sirve para especificar un host en particular o una red. Recordando, los tamaos de los bloques disponibles son 4, 8, 16, 32 y 64. Para especificar un rango de direcciones, se elije el tamao del bloque ms chico que abarque todo el rango. Por ejemplo si se desean especificar 34 redes, se necesita un bloque de tamao 64.
ACLs estndar
Mscara Wildcard (ii)
Para especificar un host se utiliza: 172.16.30.5 0.0.0.0, decir, los 4 octetos deben coincidir con la primera direccin. es
Host
172.16.30.5
Address 172.16.30.5
Wildcard 0.0.0.0
Para especificar una subred /24: 172.16.30.0 0.0.0.255, es decir los 3 primeros octetos deben coincidir y el ltimo octeto puede valer entre 0 y 255.
Subred /24
Si se quiere especificar un grupo pequeos de subredes, se debe especificar la cantidad exacta correspondiente al tamao del bloque. Es decir el rango puede ser por ejemplo 16 o 32, pero no 20. Para especificar una subred /19: 172.16.8.0 0.0.7.255, es decir, si se quiere bloquear el acceso a parte de la red que est en el rango 172.16.8.0-172.16.15.0, es necesario un bloque de tamao 8 para el octeto que vara.
172.16.30.0/24
Address Wildcard 172.16.30.0 0.0.0.255
Grupo de subredes
172.16.8.0/19
Address 172.16.8.0
Wildcard 0.0.7.255
ACLs estndar
Mscara Wildcard (iii)
Reglas: - Cada bloque debe comenzar en 0 o un mltiplo del tamao del bloque. - El trmino any es lo mismo que especificar el rango 255.255.255.255. 0.0.0.0 con Wildcard
- El nmero de la Wildcard es siempre el tamao del bloque menos 1. - Si algn octeto de la Wildcard corresponde a un 0, entonces ese octeto debe coincidir completamente con el octeto de la direccin de subred. Por otro lado si el valor es 255, entonces ese octeto recorre todo el rango (0-255).
Agenda

ACLs estndar
ACLs estndar
Ejemplos (i)
Se quiere bloquear el acceso de los usuarios de la red Ventas a Finanzas, permitiendo eso si el acceso a las dems redes. wildcard
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Se crea la lista de acceso 10 (estndar) que bloquea el rango de redes 172.16.40.0-172.16.40.255
Subred
Lab_A(config)#access-list 10 permit any
Se permiten todas las dems direcciones.
Lab_A(config)#int e1 Lab_A(config-if)#ip access-group 10 out

Se aplica la lista a la interfaz e1 para filtrar trfico saliente. 172.16.40.1/24
out
172.16.50.1/24
172.16.30.1/24
Nota: Se aplica la ACL en la interfaz e1 al trfico out (saliente), siguiendo la recomendacin de situar la ACL lo ms cerca posible del destino.
ACLs estndar
Ejemplos (ii)
Se quiere bloquear el acceso de los usuarios de la red Contabilidad al servidor de recursos humanos, permitiendo a todos los dems usuarios acceder a esa red.
Lab_B(config)#access-list 10 deny 192.168.10.128
0.0.0.31
Se crea la lista de acceso 10 (estndar) que bloquea el rango de redes 192.168.10.128-192.168.10.159 Se permiten direcciones. todas las dems
Lab_B(config)#access-list 10 permit any Lab_B(config)#int e0 Lab_B(config-if)#ip access-group 10 out
Se aplica la lista a la interfaz e0 del router Lab_B para filtrar trfico saliente. Se sigue recomendacin de poner la ACL cerca del destino. /27=24+3 => 3 primeros octetos fijos . Resto: Los 3 primeros bits del 4to octeto prendidos => 128+64+32 =224 Bloque: 256-224 = 32 Mscara: 255.255.255.224 Wildcard: 0.0.0.31 Subred: 192.168.10.128
ACLs estndar
Ejemplos (iii)
/19=16+3 => 2 primeros octetos fijos . Resto: Los 3 primeros bits del 3er octeto prendidos => 128+64+32 =224 Bloque: 256-224 = 32 Mscara: 255.255.224.0 Wildcard: 0.0.31.255 Subred: 172.16.128.0
/20=16+4 => 2 primeros octetos fijos. Resto: Los 4 primeros bits del 3er octeto prendidos => 128+64+32+16=240 Bloque: 256-240 = 16 Mscara: 255.255.240.0 Wildcard: 0.0.15.255 Subred: 172.16.48.0 /21=16+5 => 2 primeros octetos fijos . Resto: Los 5 primeros bits del 3er octeto prendidos => 128+64+32+16+8 =248 Bloque: 256-248 = 8 Mscara: 255.255.248.0 Wildcard: 0.0.7.255 Subred: 172.16.88.0
/18=16+2 => 2 primeros octetos fijos. Resto: Los 2 primeros bits del 3er octeto prendidos => 128+64 =192 Bloque: 256-192 = 64 Mscara: 255.255.192.0 Wildcard: 0.0.63.255 Subred: 172.16.192.0
Se quiere bloquear el acceso de cada una de las subredes de la figura a Internet.

Router(config)#access-list 1 deny 172.16.128.0 0.0.31.255 Router(config)#access-list 1 deny 172.16.48.0 0.0.15.255 Router(config)#access-list 1 deny 172.16.192.0 0.0.63.255 Router(config)#access-list 1 deny 172.16.88.0 0.0.7.255
Se crea la lista de acceso 1 (estndar) que bloquea el rango redes 172.16.128.0-172.16.159.0 Se bloquea adems rango 172.16.48.0-172.16.63.0 Tambin rango 172.16.192.0-172.16.255.0 Se agrega por ultimo a la ACL el bloqueo del rango 172.16.88.0-172.16.95.0
ACLs estndar
Ejemplos (iv)
Router(config)#access-list 1 permit any
Se permiten direcciones.
todas
las
dems
Router(config)#int s0 Router(config-if)#ip access-group 1 out
Se aplica la lista a la interfaz s0 para filtrar trfico saliente.
Agenda

ACLs estndar
ACLs estndar
Control de acceso por VTY
Se debe crear una Lista de Acceso estndar (numerada) que permita la conexin nicamente de los usuarios autorizados a realizar telnet al router.
Se debe aplicar esa lista a la lnea VTY del router con el comando access-class (Se deben imponer restricciones idnticas a todas las lneas del terminal virtual, porque el usuario puede querer conectarse a cualquiera de ellas).
Un ejemplo para permitir la conexin telnet al router slo del host 172.16.10.3:
Lab_A(config)#access-list 50 permit 172.16.10.3 Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 50 in
Se crea la lista de acceso 50 que permite al host 172.16.10.3 Se aplica la lista 50 a la lnea para filtrar el trfico entrante. Tambin se puede permitir el acceso slo mediante login.
Agenda
ACLs extendidas
ACLs avanzadas

ACLs extendidas
Generalidades
Las listas de acceso extendidas permiten especificar direcciones de fuente y destino como tambin el protocolo y el nmero de puerto que identifica el protocolo de capa superior o aplicacin.
Las ACLs extendidas deben ser aplicadas lo ms cerca posible de la fuente. El rango de nmeros para estas Listas de Acceso es 100-199 o 2000-2699. Es decir existen a lo ms 800 Listas de Acceso estndar distintas configurables.
ACLs extendidas
Corp(config)#access-list 110 ? deny Specify packets to reject dynamic specify a DYNAMIC list of PERMITs or DENYs permit Specify packets to forward remark Access list entry comment
Rechazar paquetes
Lista dinmica
Permitir paquetes Agregar comentario a la lista
Corp(config)#access-list 110 deny ? <0-255> An IP protocol number ahp Authentication header protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Ciscos GRE tunneling icmp Internet Control Message Protocol IGMP Internet Gateway Message Protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol pcp Payload Compression protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol
Nmero de protocolo Protocolos permitidos
ACLs extendidas
Corp(config)#access-list 110 deny tcp ? A.B.C.D Host address any Any source host host A single host address Corp(config)#access-list 110 deny tcp any ? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt host lt neq Match only packets with a greater port number A single destination host Match only packets with a lower port number Match only packets not on a given port number
Rango de direcciones host fuente Todos los host fuente Un host fuente en particular
Rango de direcciones de destino

Cualquier host de destino Calze con paquetes en un nmero de puerto dado. Calze con paquetes con un nmero de puerto mayor. Un host de destino en particular Calze con paquetes con un nmero de puerto menor. Calze con paquetes que no estn en un nmero de puerto dado. Calze con paquetes en el rango de nmeros de puertos.
range
Match only packets in the range of port numbers
ACLs extendidas
Corp(config)#access-list 110 deny tcp any host 172.16.30.2 ? ack Match on the ACK bit dscp Match packets with given dscp value eq Match only packets on a given port number established Match established connections fin Match on the FIN bit fragments Check non-initial fragments gt Match only packets with a greater port number log Log matches against this entry log-input Log matches against this entry, including input interface lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value psh Match on the PSH bit range Match only packets in the range of port numbers rst Match on the RST bit syn Match on the SYN bit time-range Specify a time-range tos Match packets with given TOS value urg Match on the URG bit <cr>
Nota: Se puede dejar la lista hasta este punto, denegando as todo el trafico TCP hacia el host 172.16.30.2.
ACLs extendidas
Para ser ms especfica la lista se puede incluir el tipo de servicio sobre TCP que se quiere denegar:
Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80)
Ejemplo especfico:
Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log Corp(config)#access-list 110 permit ip any any Corp(config-if)#ip access-group 110 in (out)
En este ejemplo se bloquea el acceso Telnet al host 172.16.30.2, registrando mensajes, mediante el comando log, cada vez que ocurre una coincidencia con alguna lnea de la ACL .
Agenda
ACLs extendidas
ACLs avanzadas

ACLs extendidas
Ejemplos (i)
Se quiere bloquear el acceso al host 172.16.30.5 de la red de Finanzas tanto para Telnet como para FTP.
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Se crea la lista de acceso 110 (extendida) que bloquea el acceso FTP al host 172.16.30.5
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23

Se crea la lista de acceso 110 (extendida) que bloquea el acceso Telnet al host 172.16.30.5
Lab_A(config)#access-list 110 permit ip any any

Lab_A(config)#int e1 Lab_A(config-if)#ip access-group 110 out
172.16.40.1/24 172.16.50.1/24
172.16.30.1/24
ACLs extendidas
Ejemplos (ii)
Se quiere bloquear el acceso mediante Telnet a las redes conectadas a las interfaces E1 y E2.
Router(config)#access-list 110 deny tcp any 172.16.48.0 0.0.15.255 eq 23
Se crea la lista 110 que bloquea el acceso mediante Telnet a las redes del rango 172.16.48.0-172.16.63.0
Router(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23

Se agrega a la lista el bloqueo del acceso mediante Telnet a las redes del rango 172.16.192.0-172.16.255.0
Router(config)#access-list 110 permit ip any any
Router(config)#int e1 Router(config-if)#ip access-group 110 out Router(config)#int e2 Router(config-if)#ip access-group 110 out
Nota: En los dos ejemplos, como el origen es any y el destino son host particulares es mejor poner la ACL en las interfaces cercanas al destino.
Agenda
ACLs extendidas
ACLs avanzadas

ACLs Avanzadas
Tipos de ACLs Avanzadas (i)
ACLs nombradas (Named ACLs)
Las Listas de Acceso nombradas permiten usar nombres tanto para crear como para aplicar ACLs estndar y extendidas. Solo se diferencian de las ACLs antes explicadas en que son referenciadas mediante un nombre y se utiliza el trmino ip al configurarlas.
Lab_A(config)#ip access-list ? extended Extended Access List logging Control access list logging standard Standard Access List Lab_A(config)#ip access-list standard ? <1-99> Standard IP access-list number WORD Access-list name
- Ejemplo: bloquear el acceso de los usuarios de la red Ventas a Finanzas, permitiendo eso si el acceso a las dems redes.
Lab_A(config)#ip access-list standard BlockSales
172.16.40.1/24
172.16.50.1/24
172.16.30.1/24
ACLs Avanzadas
Tipos de ACLs Avanzadas (ii)
ACLs nombradas (continuacin)
Lab_A(config-std-nacl)#? default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment Lab_A(config-std-nacl)#deny 172.16.40.0 0.0.0.255 Lab_A(config-std-nacl)#permit any
172.16.50.1/24
172.16.40.1/24
172.16.50.1/24
Lab_A(config)#int e1 Lab_A(config)#ip access-group BlockSales out
ACLs Avanzadas
Tipos de ACLs Avanzadas (iii)
ACLs para puertos de Switch (Switch Port ACLs) Slo se pueden aplicar ACLs para puertos a interfaces de capa 2 en los Switches. Adems se pueden aplicar nicamente a trfico entrante. Otra restriccin es que se deben usar ACLs nombradas extendidas. En este sentido las ACLs para puertos de Switch son Listas de Acceso MAC extendidas que utilizan direcciones MAC de fuente y destino, adems de informacin opcional del tipo de protocolo. As los Switches analizan todo el trfico entrante y deciden si permiten su acceso dependiendo si coinciden con la ACLs o no. Estas ACLs pueden ser usadas tambin para controlar trfico en VLANs, aplicando la ACL a un puerto trunk. Existen a lo ms 200 Listas de Acceso MAC distintas configurables.
ACLs Avanzadas
Tipos de ACLs Avanzadas (iv)
ACLs para puertos de Switch (continuacin i)
S1(config)#mac access-list ? extended Extended Access List S1(config)#mac access-list extended ? WORD Access-list name S1(config)#mac access-list extended Todd_MAC_list S1(config-ext-macl)#deny ? H.H.H 48-bit source MAC address any any source MAC address host A single source host S1(config-ext-macl)#deny any? H.H.H 48-bit source MAC address any any source MAC address host A single source host S1(config-ext-macl)#deny any host? H.H.H 48-bit source MAC address
ACLs Avanzadas
Tipos de ACLs Avanzadas (v)
ACLs para puertos de Switch (continuacin ii)
S1(config-ext-macl)#deny any host 000d.29bd.4b85 S1(config-ext-macl)#permit any any S1(config-ext-macl)#int f0/6 S1(config-if)#mac access-group Todd_MAC_List in
Nota: En este caso se estn rechazando los paquetes provenientes de una MAC especfica.
ACLs Avanzadas
Tipos de ACLs Avanzadas (vi)
ACLs para puertos de Switch (continuacin iii) Tambin se puede denegar acceso basndose en el tipo de Ethernet.
ACLs Avanzadas
Tipos de ACLs Avanzadas (vii)
ACLs Dinmicas (Lock and Key) Este tipo de ACLs depende de la autentificacin a Telnet en conjunto con ACLs extendidas. Primero debe aplicarse una ACL extendida en el router de manera de parar el flujo de trfico a travs de el. La nica manera de pasar el bloqueo es haciendo Telnet al router consiguiendo autentificacin. Esta conexin es luego terminada reemplazada por una entrada dinmica agregada a la ya existente ACL. Esto produce que se permita trfico por una cantidad de tiempo especfica, cortndose el flujo de trfico cuando termina el tiempo.
ACLs Avanzadas
Tipos de ACLs Avanzadas (viii)
ACLs Reflexivas (Reflexive ACLs) Estas Listas de Acceso filtran los paquetes IP dependiendo de la informacin de sesin de la capa superior. Slo estn definidas para ACLs nombradas extendidas, pero pueden ser usadas con otras ACLs, estndar o extendidas. Utilizan listas de control de acceso dinmicas, para mantener las conexiones aseguradas (sesiones activas). ACLs Basadas en Tiempo (Time-Based ACLs) El tipo de control acceso es orientado al tiempo. Bsicamente se especifica una hora del da y semana, y luego se identifica la lista mediante un nombre referenciado por una tarea.
ACLs Avanzadas
Tipos de ACLs Avanzadas (ix)
ACLs Basadas en Tiempo (continuacin)
Corp(config)#time-range no-http Corp(config-time-range)#periodic we? Wednesday weekdays weekend Corp(config-time-range)#periodic weekend ? hh:mm Startig time Corp(config-time-range)#periodic weekend 06:00 to 12:00 Corp(config-time-range)#exit Corp(config)# time-range tcp-yes Corp(config-time-range)#periodic weekend 06:00 to 12:00 Corp(config-time-range)#exit Corp(config-ext-nacl)#deny tcp any any eq www time-range no http Corp(config-ext-nacl)#permit tcp any any time-range tcp-yes Corp(config-ext-nacl)#int f0/0 Corp(config-if)#ip access-group Time in
ACLs Avanzadas
Tipos de ACLs Avanzadas (ix)
Comentarios en ACLs (Remarks) Los comentarios en las ACLs facilitan el entendimiento de stas. Se permite agregar comentarios tanto en las ACLs estndar como extendidas. Est limitado a un mximo de 100 carcteres.
-Ejemplo:
Agenda
ACLs extendidas
ACLs avanzadas

ACLs Avanzadas
Firewall del IOS de Cisco (CBAC: Context-Based Access Control)
El trabajo de CBAC es analizar todo el trfico que pretende atravesar el Firewall, informndose de las sesiones TCP y UDP. El trfico a travs de un router con Firewall se procesa como sigue:
Primero, si la ACL interna lo aprueba, el router recibe todos los paquetes de la red interna enviados a el. Despus, el trfico aceptado es sometido a la inspeccin IP del Firewall, el cual agrega a la tabla de estado la informacin de estado de las conexiones aprobadas.
Finalmente el trfico atraviesa el proceso de inspeccin IP, el cual crea luego una entrada ACL dinmica, ponindola en la ACL externa, de manera que el trfico que retorne sea permitido a travs del router.
Agenda
ACLs extendidas
ACLs avanzadas

ACLs Avanzadas
Proxy de Autentificacin (Authentication Proxy)
Para poder hacer uso del Proxy de Autentificacin es necesario tener activada esta caracterstica en el Firewall del IOS de Cisco.
Esta caracterstica autentifica a los usuarios entrantes, salientes o ambos.

Quienes normalmente son bloqueados por una ACL pueden, abriendo una ventana del navegador, acceder al Firewall y luego autentificarse en un servidor.
Agenda
ACLs extendidas
ACLs avanzadas

Monitoreo de ACLs
Comandos de Verificacin (i)
Comando
show access-list [access-list-number | access-list-name] show ip access-lists [list-name] [applied] show ip interface [type number] [brief]
Efecto
Muestra todas las listas de acceso y sus parmetros configurados en el router (no muestra a que interfaz estn aplicadas). Se puede especificar el nombre o nmero para ver la lista correspondiente. Muestra slo las listas IP de Acceso configuradas. Se puede especificar el nombre y la interfaz a la cual fue aplicada. Muestra las interfaces que poseen ACLs. Se puede especificar el tipo de interfaz y si se quiere una descripcin breve del uso de la interfaz. Muestra las ACLs y las interfaces asociadas. Muestra las ACLs MAC aplicadas a todas las interfaces de capa 2 (Slo se usa en Switches de capa 2). Se puede especificar la interfaz.
show running-config
show mac access-group [applied]
Monitoreo de ACLs
Comandos de Verificacin (ii)
show access-list:
ACLs estndar
Named ACLs (estndar)
ACLs extendida
Monitoreo de ACLs
Comandos de Verificacin (iii)
show ip interface e1:
Monitoreo de ACLs
Comandos de Verificacin (iv)
show mac access-group:
show mac access-group interface f0/6:
Agenda
ACLs extendidas
ACLs avanzadas

Configuracin de ACLs mediante SDM

Configuracin de ACLs con SDM (i)
Slo se pueden crear ACLs nombradas

Configuracin de ACLs con SDM (ii)

Configuracin de ACLs con SDM (iii)

Configuracin de ACLs con SDM (iv)
El men Add+ permite agregar una nueva entrada a la lista, antes o despus de la ya creada, lo que permite editar de manera ms rpida y eficiente las ACLs.

Configuracin de ACLs con SDM (v)

Configuracin de ACLs con SDM (vi)

Configuracin de Firewall con SDM (i)
Basic Firewall: se usa cuando la red en cuestin est compuesta slo de hosts o servidores internos (servidores que no necesiten conexin al exterior de la red). Advanced Firewall: se usa cuando la red en cuestin est compuesta tanto de host como de servidores que necesiten conexin al exterior de la red.

Configuracin de Firewall con SDM (ii)

Configuracin de Firewall con SDM (iii)

Configuracin de Firewall con SDM (iv)

Configuracin de Firewall con SDM (v)
La opcin Basic Firewall agrega al router el CBAC. Limita a slo 2 interfaces
Agenda
ACLs extendidas
ACLs avanzadas

Temas esenciales para CCNA

Recordar los rangos para ACLs estndar y extendidas.
ACLs estndar: 1-99 y 1300-1999 ACLs extendidas: 100-199 y 2000-2699
Entender que significa negacin implcita al final de cada lista. Entender los comandos de configuracin de las ACLs estndar.
Ej:
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Lab_A(config)#access-list 10 permit any Lab_A(config)#int e1 Lab_A(config-if)#ip access-group 10 out
Entender los comandos de configuracin de las ACLs extendidas.

Ej:
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23 Lab_A(config)#access-list 110 permit ip any any Lab_A(config)#int e1 Lab_A(config-if)#ip access-group 110 out
Recordar el comando para verificar las listas de accesos en un router.

sh ip interface
Recordar el comando para verificar la configuracin de una ACLs

sh access-list [name]
Preguntas ?
Preguntas a responder
Cul es la diferencia entre Filtrado bsico y avanzado de paquetes? Qu es una Lista de Acceso? Defina trafico Entrante y Saliente Cul es el(los) rango(s) para las Listas estndar? Cul es el(los) rango(s) para las Listas extendidas? Cul es el(los) rango(s) para las Listas MAC? Qu se entiende por permetro de seguridad? Qu significa Remark? Que es una ACL Reflexiva? Que es una ACL Basada en Tiempo? Qu significa CBAC? Cuales son los comandos para monitorear las ACLs?
Anexos
ACL Reflexiva: interface ip access-group {number|name} {in|out} ip access-list extended name permit protocol any any reflect name [timeoutseconds] ip access-list extended name evaluate name
Ej:
ip access-list extended OUTB permit udp ip wildcard any reflect UDPTRAFFIC permit icmp ip wildcard any reflect ICMPTRAFFIC ip access-list extended INB evaluate UDPTRAFFIC evaluate ICMPTRAFFIC interface s0/0 ip access-group OUTB out ip access-group INB in

CCNAc 10

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCNAc 10

Cargado por

Copyright:

Formatos disponibles

CCNA

(Cisco Certified Network Associate)

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Monitoreo de ACLs Configuracin de ACLs mediante SDM

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Tpicos para el CCNA

Implementar, verificar y solucionar problemas de ACLs en una red de oficina mediana.

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Topologa general de una red con seguridad Red externa

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Amenazas de seguridad y sus posibles soluciones

Amenazas de seguridad y sus posibles soluciones

Amenazas de seguridad y sus posibles soluciones

Amenazas de seguridad y sus posibles soluciones

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Listas de Acceso ACLs

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Listas de Acceso ACLs

Listas de Acceso ACLs

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Listas de Acceso ACLs

los ataques de seguridad.

Se pueden obtener estadsticas sobre le flujo de paquetes e implementar polticas de seguridad.

Listas de Acceso ACLs

Las ACLs extendidas deben ser aplicadas lo ms cerca posible de la fuente.

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Listas de Acceso ACLs

Reglas generales para atenuar los problemas de seguridad:

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Rango de direcciones Todos los host fuente Un host en particular

Direccin del host. El trmino host es optativo.

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Address Wildcard 172.16.30.0 0.0.0.255

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Lab_A(config)#int e1 Lab_A(config-if)#ip access-group 10 out

Lab_B(config)#access-list 10 permit any Lab_B(config)#int e0 Lab_B(config-if)#ip access-group 10 out

Se quiere bloquear el acceso de cada una de las subredes de la figura a Internet.

Router(config)#access-list 1 permit any

Router(config)#int s0 Router(config-if)#ip access-group 1 out

Se aplica la lista a la interfaz s0 para filtrar trfico saliente.

Listas de acceso (ACLs)

Control de acceso por VTY (Telnet)

Monitoreo de ACLs Configuracin de ACLs mediante SDM

Nmero de protocolo Protocolos permitidos

Rango de direcciones de destino

Match only packets in the range of port numbers

Monitoreo de ACLs Configuracin de ACLs mediante SDM

Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23

Lab_A(config)#access-list 110 permit ip any any

Router(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23