Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capitulo 10:
Seguridad
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
mtodos generales para mitigar esas amenazas. Configurar, verificar y solucionar problemas de las operaciones bsicas y de ruteo en routers Cisco. En particular implementar seguridad bsica en un router.
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
Preguntas a responder
Cul es la diferencia entre filtrado bsico y avanzado de paquetes? Qu es una Lista de Acceso? Defina trfico Entrante y Saliente Cul es el(los) rango(s) para las Listas estndar? Cul es el(los) rango(s) para las Listas extendidas? Cul es el(los) rango(s) para las Listas MAC? Qu se entiende por permetro? Qu significa Remark? Que es una ACL Reflexiva? Que es una ACL Basada en Tiempo? Qu significa CBAC? Cuales son los comandos para monitorear las ACLs?
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
Red interna
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
IP spoofing: agente externo o interno que disfraza su IP como confiable. Ataques Man-in-the-middle: intercepcin de los paquetes, mediante un sniffer, agregndoles protocolos de ruteo y transporte . Ataques de Trojanos y viruses: infectan la mquina con cdigos maliciosos, produciendo parlisis, destruccin, etc. Los trojanos, a diferencia de los virus, son aplicaciones disfrazadas .
- Firewalls para usuarios: firewalls personalizados, especficos para cada usuario. Tambin se pueden obtener ACLs personalizadas.
- Provisin de funciones de router y Firewall del Cisco IOS: permite actualizaciones de versin y polticas de seguridad. - Deteccin y prevencin de DoS: chequea los encabezados de los paquetes y descarta cualquier paquete que parezca sospechoso. - Mapeo dinmico de puertos: un adaptador que permite aplicaciones respaldadas por los firewalls en puertos no estndar. - Bloqueo de aplicaciones Java: protege el sistema de cualquier aplicacin java extraa.
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
Uno de los usos ms extendidos de las Listas de Acceso es el de controlar el flujo de trfico entrante y saliente de un router (filtrado de paquetes segn polticas de seguridad).
Las Listas de Acceso pueden ser aplicadas tanto a trfico entrante (inbound) como saliente (outbound). Cuando se aplica una Lista de Acceso el router analiza cada paquete que atraviesa la interfaz en la direccin especificada y toma la accin correspondiente. Existen tres reglas importantes que debe seguir un paquete cuando es comparado con una ACLs: - Siempre es comparado con cada lnea de la ACL en orden secuencial. - Es comparado con cada lnea de la ACL hasta que ocurre una coincidencia. - Existe un deny (rechazar) implcito al final de cada ACL.
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
out
in
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
Se puede asignar slo una Lista de Acceso por interfaz por protocolo por direccin.
No se puede remover una sola lnea de la Lista de Acceso, slo la lista completa. La excepcin es para las listas de acceso nombradas.
El trfico originado desde el router no es filtrado por las ACLs, slo el trfico a travs de l.
Las ACLs estndar deben ser aplicadas lo ms cerca posible del destino.
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
ACLs estndar
Las Listas de Acceso estndar filtran el trfico examinando la IP de fuente del paquete. Las ACLs estndar deben ser aplicadas lo ms cerca posible del destino. El rango de nmeros para estas Listas de Acceso es 1-99 o 1300-1999. Es decir existen a lo ms 800 Listas de Acceso estndar distintas configurables.
ACLs estndar
Corp(config)#access-list 10 ? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment
Rechazar paquetes Permitir paquetes Agregar comentario a la lista
Corp(config)#access-list 10 deny ? A.B.C.D Address to match any Any source host host A single host address Corp(config)#access-list 10 deny host ? A.B.C.D Host address Corp(config)#access-list 10 deny host 172.16.30.2
Nota: Lo anterior corresponde a crear una lista que rechace todos los paquetes del host 172.16.30.2 .
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
ACLs estndar
Mscara Wildcard (i)
Para poder especificar un rango de direcciones sobre el cual se quiere realizar la Lista de Acceso es necesario usar mscaras Wildcard. Esta mscara tambin sirve para especificar un host en particular o una red. Recordando, los tamaos de los bloques disponibles son 4, 8, 16, 32 y 64. Para especificar un rango de direcciones, se elije el tamao del bloque ms chico que abarque todo el rango. Por ejemplo si se desean especificar 34 redes, se necesita un bloque de tamao 64.
ACLs estndar
Mscara Wildcard (ii)
Para especificar un host se utiliza: 172.16.30.5 0.0.0.0, decir, los 4 octetos deben coincidir con la primera direccin. es
Host
172.16.30.5
Address 172.16.30.5
Wildcard 0.0.0.0
Para especificar una subred /24: 172.16.30.0 0.0.0.255, es decir los 3 primeros octetos deben coincidir y el ltimo octeto puede valer entre 0 y 255.
Subred /24
Si se quiere especificar un grupo pequeos de subredes, se debe especificar la cantidad exacta correspondiente al tamao del bloque. Es decir el rango puede ser por ejemplo 16 o 32, pero no 20. Para especificar una subred /19: 172.16.8.0 0.0.7.255, es decir, si se quiere bloquear el acceso a parte de la red que est en el rango 172.16.8.0-172.16.15.0, es necesario un bloque de tamao 8 para el octeto que vara.
172.16.30.0/24
Grupo de subredes
172.16.8.0/19
Address 172.16.8.0
Wildcard 0.0.7.255
ACLs estndar
Mscara Wildcard (iii)
Reglas: - Cada bloque debe comenzar en 0 o un mltiplo del tamao del bloque. - El trmino any es lo mismo que especificar el rango 255.255.255.255. 0.0.0.0 con Wildcard
- El nmero de la Wildcard es siempre el tamao del bloque menos 1. - Si algn octeto de la Wildcard corresponde a un 0, entonces ese octeto debe coincidir completamente con el octeto de la direccin de subred. Por otro lado si el valor es 255, entonces ese octeto recorre todo el rango (0-255).
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
ACLs estndar
Ejemplos (i)
Se quiere bloquear el acceso de los usuarios de la red Ventas a Finanzas, permitiendo eso si el acceso a las dems redes. wildcard
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Se crea la lista de acceso 10 (estndar) que bloquea el rango de redes 172.16.40.0-172.16.40.255
Subred
Lab_A(config)#access-list 10 permit any
Se permiten todas las dems direcciones.
out
172.16.50.1/24
172.16.30.1/24
Nota: Se aplica la ACL en la interfaz e1 al trfico out (saliente), siguiendo la recomendacin de situar la ACL lo ms cerca posible del destino.
ACLs estndar
Ejemplos (ii)
Se quiere bloquear el acceso de los usuarios de la red Contabilidad al servidor de recursos humanos, permitiendo a todos los dems usuarios acceder a esa red.
Lab_B(config)#access-list 10 deny 192.168.10.128
0.0.0.31
Se crea la lista de acceso 10 (estndar) que bloquea el rango de redes 192.168.10.128-192.168.10.159 Se permiten direcciones. todas las dems
Se aplica la lista a la interfaz e0 del router Lab_B para filtrar trfico saliente. Se sigue recomendacin de poner la ACL cerca del destino. /27=24+3 => 3 primeros octetos fijos . Resto: Los 3 primeros bits del 4to octeto prendidos => 128+64+32 =224 Bloque: 256-224 = 32 Mscara: 255.255.255.224 Wildcard: 0.0.0.31 Subred: 192.168.10.128
ACLs estndar
Ejemplos (iii)
/19=16+3 => 2 primeros octetos fijos . Resto: Los 3 primeros bits del 3er octeto prendidos => 128+64+32 =224 Bloque: 256-224 = 32 Mscara: 255.255.224.0 Wildcard: 0.0.31.255 Subred: 172.16.128.0
/20=16+4 => 2 primeros octetos fijos. Resto: Los 4 primeros bits del 3er octeto prendidos => 128+64+32+16=240 Bloque: 256-240 = 16 Mscara: 255.255.240.0 Wildcard: 0.0.15.255 Subred: 172.16.48.0 /21=16+5 => 2 primeros octetos fijos . Resto: Los 5 primeros bits del 3er octeto prendidos => 128+64+32+16+8 =248 Bloque: 256-248 = 8 Mscara: 255.255.248.0 Wildcard: 0.0.7.255 Subred: 172.16.88.0
/18=16+2 => 2 primeros octetos fijos. Resto: Los 2 primeros bits del 3er octeto prendidos => 128+64 =192 Bloque: 256-192 = 64 Mscara: 255.255.192.0 Wildcard: 0.0.63.255 Subred: 172.16.192.0
ACLs estndar
Ejemplos (iv)
Se permiten direcciones.
todas
las
dems
Agenda
Tpicos para el CCNA Preguntas a responder Topologa general de una red con seguridad Amenazas de seguridad y sus posibles soluciones
ACLs estndar
Mscara Wildcard Ejemplos
ACLs estndar
Control de acceso por VTY
Se debe crear una Lista de Acceso estndar (numerada) que permita la conexin nicamente de los usuarios autorizados a realizar telnet al router.
Se debe aplicar esa lista a la lnea VTY del router con el comando access-class (Se deben imponer restricciones idnticas a todas las lneas del terminal virtual, porque el usuario puede querer conectarse a cualquiera de ellas).
Un ejemplo para permitir la conexin telnet al router slo del host 172.16.10.3:
Lab_A(config)#access-list 50 permit 172.16.10.3 Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 50 in
Se crea la lista de acceso 50 que permite al host 172.16.10.3 Se aplica la lista 50 a la lnea para filtrar el trfico entrante. Tambin se puede permitir el acceso slo mediante login.
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
ACLs extendidas
Generalidades
Las listas de acceso extendidas permiten especificar direcciones de fuente y destino como tambin el protocolo y el nmero de puerto que identifica el protocolo de capa superior o aplicacin.
Las ACLs extendidas deben ser aplicadas lo ms cerca posible de la fuente. El rango de nmeros para estas Listas de Acceso es 100-199 o 2000-2699. Es decir existen a lo ms 800 Listas de Acceso estndar distintas configurables.
ACLs extendidas
Corp(config)#access-list 110 ? deny Specify packets to reject dynamic specify a DYNAMIC list of PERMITs or DENYs permit Specify packets to forward remark Access list entry comment
Rechazar paquetes
Lista dinmica
Permitir paquetes Agregar comentario a la lista
Corp(config)#access-list 110 deny ? <0-255> An IP protocol number ahp Authentication header protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Ciscos GRE tunneling icmp Internet Control Message Protocol IGMP Internet Gateway Message Protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol pcp Payload Compression protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol
ACLs extendidas
Corp(config)#access-list 110 deny tcp ? A.B.C.D Host address any Any source host host A single host address Corp(config)#access-list 110 deny tcp any ? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt host lt neq Match only packets with a greater port number A single destination host Match only packets with a lower port number Match only packets not on a given port number
Rango de direcciones host fuente Todos los host fuente Un host fuente en particular
range
ACLs extendidas
Corp(config)#access-list 110 deny tcp any host 172.16.30.2 ? ack Match on the ACK bit dscp Match packets with given dscp value eq Match only packets on a given port number established Match established connections fin Match on the FIN bit fragments Check non-initial fragments gt Match only packets with a greater port number log Log matches against this entry log-input Log matches against this entry, including input interface lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value psh Match on the PSH bit range Match only packets in the range of port numbers rst Match on the RST bit syn Match on the SYN bit time-range Specify a time-range tos Match packets with given TOS value urg Match on the URG bit <cr>
Nota: Se puede dejar la lista hasta este punto, denegando as todo el trafico TCP hacia el host 172.16.30.2.
ACLs extendidas
Para ser ms especfica la lista se puede incluir el tipo de servicio sobre TCP que se quiere denegar:
Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80)
Ejemplo especfico:
Corp(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log Corp(config)#access-list 110 permit ip any any Corp(config-if)#ip access-group 110 in (out)
En este ejemplo se bloquea el acceso Telnet al host 172.16.30.2, registrando mensajes, mediante el comando log, cada vez que ocurre una coincidencia con alguna lnea de la ACL .
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
ACLs extendidas
Ejemplos (i)
Se quiere bloquear el acceso al host 172.16.30.5 de la red de Finanzas tanto para Telnet como para FTP.
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Se crea la lista de acceso 110 (extendida) que bloquea el acceso FTP al host 172.16.30.5
172.16.30.1/24
ACLs extendidas
Ejemplos (ii)
Se quiere bloquear el acceso mediante Telnet a las redes conectadas a las interfaces E1 y E2.
Router(config)#access-list 110 deny tcp any 172.16.48.0 0.0.15.255 eq 23
Se crea la lista 110 que bloquea el acceso mediante Telnet a las redes del rango 172.16.48.0-172.16.63.0
Router(config)#int e1 Router(config-if)#ip access-group 110 out Router(config)#int e2 Router(config-if)#ip access-group 110 out
Nota: En los dos ejemplos, como el origen es any y el destino son host particulares es mejor poner la ACL en las interfaces cercanas al destino.
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
ACLs Avanzadas
Tipos de ACLs Avanzadas (i)
ACLs nombradas (Named ACLs)
Las Listas de Acceso nombradas permiten usar nombres tanto para crear como para aplicar ACLs estndar y extendidas. Solo se diferencian de las ACLs antes explicadas en que son referenciadas mediante un nombre y se utiliza el trmino ip al configurarlas.
Lab_A(config)#ip access-list ? extended Extended Access List logging Control access list logging standard Standard Access List Lab_A(config)#ip access-list standard ? <1-99> Standard IP access-list number WORD Access-list name
- Ejemplo: bloquear el acceso de los usuarios de la red Ventas a Finanzas, permitiendo eso si el acceso a las dems redes.
Lab_A(config)#ip access-list standard BlockSales
172.16.40.1/24
172.16.50.1/24
172.16.30.1/24
ACLs Avanzadas
Tipos de ACLs Avanzadas (ii)
ACLs nombradas (continuacin)
Lab_A(config-std-nacl)#? default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment Lab_A(config-std-nacl)#deny 172.16.40.0 0.0.0.255 Lab_A(config-std-nacl)#permit any
172.16.50.1/24
172.16.40.1/24
172.16.50.1/24
ACLs Avanzadas
Tipos de ACLs Avanzadas (iii)
ACLs para puertos de Switch (Switch Port ACLs) Slo se pueden aplicar ACLs para puertos a interfaces de capa 2 en los Switches. Adems se pueden aplicar nicamente a trfico entrante. Otra restriccin es que se deben usar ACLs nombradas extendidas. En este sentido las ACLs para puertos de Switch son Listas de Acceso MAC extendidas que utilizan direcciones MAC de fuente y destino, adems de informacin opcional del tipo de protocolo. As los Switches analizan todo el trfico entrante y deciden si permiten su acceso dependiendo si coinciden con la ACLs o no. Estas ACLs pueden ser usadas tambin para controlar trfico en VLANs, aplicando la ACL a un puerto trunk. Existen a lo ms 200 Listas de Acceso MAC distintas configurables.
ACLs Avanzadas
Tipos de ACLs Avanzadas (iv)
ACLs para puertos de Switch (continuacin i)
S1(config)#mac access-list ? extended Extended Access List S1(config)#mac access-list extended ? WORD Access-list name S1(config)#mac access-list extended Todd_MAC_list S1(config-ext-macl)#deny ? H.H.H 48-bit source MAC address any any source MAC address host A single source host S1(config-ext-macl)#deny any? H.H.H 48-bit source MAC address any any source MAC address host A single source host S1(config-ext-macl)#deny any host? H.H.H 48-bit source MAC address
ACLs Avanzadas
Tipos de ACLs Avanzadas (v)
ACLs para puertos de Switch (continuacin ii)
S1(config-ext-macl)#deny any host 000d.29bd.4b85 S1(config-ext-macl)#permit any any S1(config-ext-macl)#int f0/6 S1(config-if)#mac access-group Todd_MAC_List in
Nota: En este caso se estn rechazando los paquetes provenientes de una MAC especfica.
ACLs Avanzadas
Tipos de ACLs Avanzadas (vi)
ACLs para puertos de Switch (continuacin iii) Tambin se puede denegar acceso basndose en el tipo de Ethernet.
ACLs Avanzadas
Tipos de ACLs Avanzadas (vii)
ACLs Dinmicas (Lock and Key) Este tipo de ACLs depende de la autentificacin a Telnet en conjunto con ACLs extendidas. Primero debe aplicarse una ACL extendida en el router de manera de parar el flujo de trfico a travs de el. La nica manera de pasar el bloqueo es haciendo Telnet al router consiguiendo autentificacin. Esta conexin es luego terminada reemplazada por una entrada dinmica agregada a la ya existente ACL. Esto produce que se permita trfico por una cantidad de tiempo especfica, cortndose el flujo de trfico cuando termina el tiempo.
ACLs Avanzadas
Tipos de ACLs Avanzadas (viii)
ACLs Reflexivas (Reflexive ACLs) Estas Listas de Acceso filtran los paquetes IP dependiendo de la informacin de sesin de la capa superior. Slo estn definidas para ACLs nombradas extendidas, pero pueden ser usadas con otras ACLs, estndar o extendidas. Utilizan listas de control de acceso dinmicas, para mantener las conexiones aseguradas (sesiones activas). ACLs Basadas en Tiempo (Time-Based ACLs) El tipo de control acceso es orientado al tiempo. Bsicamente se especifica una hora del da y semana, y luego se identifica la lista mediante un nombre referenciado por una tarea.
ACLs Avanzadas
Tipos de ACLs Avanzadas (ix)
ACLs Basadas en Tiempo (continuacin)
Corp(config)#time-range no-http Corp(config-time-range)#periodic we? Wednesday weekdays weekend Corp(config-time-range)#periodic weekend ? hh:mm Startig time Corp(config-time-range)#periodic weekend 06:00 to 12:00 Corp(config-time-range)#exit Corp(config)# time-range tcp-yes Corp(config-time-range)#periodic weekend 06:00 to 12:00 Corp(config-time-range)#exit Corp(config-ext-nacl)#deny tcp any any eq www time-range no http Corp(config-ext-nacl)#permit tcp any any time-range tcp-yes Corp(config-ext-nacl)#int f0/0 Corp(config-if)#ip access-group Time in
ACLs Avanzadas
Tipos de ACLs Avanzadas (ix)
Comentarios en ACLs (Remarks) Los comentarios en las ACLs facilitan el entendimiento de stas. Se permite agregar comentarios tanto en las ACLs estndar como extendidas. Est limitado a un mximo de 100 carcteres.
-Ejemplo:
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
ACLs Avanzadas
Firewall del IOS de Cisco (CBAC: Context-Based Access Control)
El trabajo de CBAC es analizar todo el trfico que pretende atravesar el Firewall, informndose de las sesiones TCP y UDP. El trfico a travs de un router con Firewall se procesa como sigue:
Primero, si la ACL interna lo aprueba, el router recibe todos los paquetes de la red interna enviados a el. Despus, el trfico aceptado es sometido a la inspeccin IP del Firewall, el cual agrega a la tabla de estado la informacin de estado de las conexiones aprobadas.
Finalmente el trfico atraviesa el proceso de inspeccin IP, el cual crea luego una entrada ACL dinmica, ponindola en la ACL externa, de manera que el trfico que retorne sea permitido a travs del router.
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
ACLs Avanzadas
Proxy de Autentificacin (Authentication Proxy)
Para poder hacer uso del Proxy de Autentificacin es necesario tener activada esta caracterstica en el Firewall del IOS de Cisco.
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
Monitoreo de ACLs
Comandos de Verificacin (i)
Comando
show access-list [access-list-number | access-list-name] show ip access-lists [list-name] [applied] show ip interface [type number] [brief]
Efecto
Muestra todas las listas de acceso y sus parmetros configurados en el router (no muestra a que interfaz estn aplicadas). Se puede especificar el nombre o nmero para ver la lista correspondiente. Muestra slo las listas IP de Acceso configuradas. Se puede especificar el nombre y la interfaz a la cual fue aplicada. Muestra las interfaces que poseen ACLs. Se puede especificar el tipo de interfaz y si se quiere una descripcin breve del uso de la interfaz. Muestra las ACLs y las interfaces asociadas. Muestra las ACLs MAC aplicadas a todas las interfaces de capa 2 (Slo se usa en Switches de capa 2). Se puede especificar la interfaz.
show running-config
show mac access-group [applied]
Monitoreo de ACLs
Comandos de Verificacin (ii)
show access-list:
ACLs estndar
ACLs extendida
Monitoreo de ACLs
Comandos de Verificacin (iii)
show ip interface e1:
Monitoreo de ACLs
Comandos de Verificacin (iv)
show mac access-group:
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
Agenda
ACLs extendidas
Generalidades Ejemplos
ACLs avanzadas
Tipos de ACLs avanzadas Firewall de IOS de Cisco Proxy de autentificacin
Entender que significa negacin implcita al final de cada lista. Entender los comandos de configuracin de las ACLs estndar.
Ej:
Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Lab_A(config)#access-list 10 permit any Lab_A(config)#int e1 Lab_A(config-if)#ip access-group 10 out
Preguntas ?
Preguntas a responder
Cul es la diferencia entre Filtrado bsico y avanzado de paquetes? Qu es una Lista de Acceso? Defina trafico Entrante y Saliente Cul es el(los) rango(s) para las Listas estndar? Cul es el(los) rango(s) para las Listas extendidas? Cul es el(los) rango(s) para las Listas MAC? Qu se entiende por permetro de seguridad? Qu significa Remark? Que es una ACL Reflexiva? Que es una ACL Basada en Tiempo? Qu significa CBAC? Cuales son los comandos para monitorear las ACLs?
Anexos
ACL Reflexiva: interface ip access-group {number|name} {in|out} ip access-list extended name permit protocol any any reflect name [timeoutseconds] ip access-list extended name evaluate name
Ej:
ip access-list extended OUTB permit udp ip wildcard any reflect UDPTRAFFIC permit icmp ip wildcard any reflect ICMPTRAFFIC ip access-list extended INB evaluate UDPTRAFFIC evaluate ICMPTRAFFIC interface s0/0 ip access-group OUTB out ip access-group INB in