Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 10 Ejemplos para Entender La Mascara Wildcard y El Epilogo ACL PDF

    Cargado por

    Quique Zagal
    42 vistas7 páginas

    Título original

    363860915-10-Ejemplos-Para-Entender-La-Mascara-Wildcard-y-El-Epilogo-ACL.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    42 vistas7 páginas

    10 Ejemplos para Entender La Mascara Wildcard y El Epilogo ACL PDF

    Cargado por

    Quique Zagal

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

     

    10 ejemplos para entender la máscara wildcard 
     
    Damos por sentado que se han asimilado las explicaciones dadas en clase sobre la 
    máscara wildcard.​ Una deducción interesante que hemos sacado es que la wildcard solo 
    permite los siguientes números: 0  1  3  7  15  31  63  127. Si la wildcard es el resultado de 
    restar 255.255.255.255 menos la máscara de red, en algún octeto estamos restando un 
    impar menos un par, luego el resultado es par. En las ACLs que vamos a estudiar en esta 
    unidad de trabajo, una máscara wildcard la vamos a asociar con una IP de referencia; Estos 
    dos elementos formarán lo que nosotros vamos a llamar binomio; el binomio será de la 
    forma: 
     
    IP de referencia máscara wildcard 
     
    192.168.1.72 0.0.0.0 
    192.168.1.0 0.0.0.0 
    192.168.1.32 0.0.0.31 
    172.16.64.0 0.0.31.255 
    …………… ………….. 
     
    Cuando nombramos al filtro o condición de una ACL (da igual que sea estándar o 
    extendida), nos referimos al binomio IP de referencia + máscara wildcard; binomio que lo 
    vamos a “enfrentar” con cientos de IPs, algunas de las cuales cumplirán la condición o filtro 
    y otras no cumplirán. Nada mejor que entenderlo con una serie de ejemplos: 
     
    1. Seleccionar todos los hosts de la red 192.168.1.0/24​. seleccionar quiere decir que 
    las IPs de los hosts de esta red pasen el filtro o condición que nos va a poner el 
    binomio IP de referencia y máscara wildcard. ¿Cómo proceder? 
    Las IPs de dicha subred abarcan el siguiente rango: 192.168.1.0 - 192.168.1.255 
    Si codificamos en binario estás 256 IPs y vemos cuántos bits en las 256 IPs son 
    coincidentes, observaremos que son los 24 bits que conforman los tres primeros 
    octetos (192 como primer octeto, 168 como segundo y 1 como tercero). El cuarto 
    octeto es el variable, y como sean sus 8 bits a nosotros nos da igual (es indiferente 
    que sean 1 o 0). Sabemos que si la IP a comparar con la condición es de la forma 
    192.168.1.xxxxxxxx, ese paquete, mejor su IP de origen es de un host de esa red. Así 
    pues, nos interesa analizar los 24 primeros bits de toda IP de origen. ¿Cómo 
    creamos el binomio IP de referencia máscara wildcard? Muy fácil. 
     
    ● La IP de referencia sale de poner a ceros (0) la ristra de x → 192.168.1.0 
    ● La máscara wildcard (bajo la condición de que sus 0 se comparan y sus 1 se 
    ignoran) se deduce en ese caso del interés de analizar, tal y como hemos 
    dicho, los tres primeros octetos; el cuarto lo ignoramos; da igual el valor que 
    traiga → 0.0.0.255 
     
    El binomio será de la forma → ​192.168.1.0 0.0.0.255 
     
    Una​ forma rápida (no siempre fiable cuando la IP de referencia no es una red o 
    subred)​ de sacar el rango de IPs o hosts que enfrentados a la wildcard van a tener 
    como resultado la IP de referencia es sumar el valor crítico a unos de la máscara al 
    octeto crítico de la IP de referencia. En el ejemplo 0+255 → rango de IPs [1.0 - 1.255] 
    → Por ejemplo: dada la siguiente ACL, se trata de deducir si permitirá o bloqueará el 
    tráfico de un paquete con IP de origen 198.51.100.3 
     
    access-list 33 permit 198.51.100.58  0.0.0.63 
     
    Análisis: la IP de referencia 198.51.100.58 no es la de ninguna red ni subred. Sería 
    erróneo deducir que los paquetes permitidos serán aquellos cuya IP de origen esté 
    en el rango [.58 - .58+63 = .121] → error muy grave. 
     
    63 → 00 11 11 11 → los 26 bits de la IP de origen deben ser iguales a los 26 bits de la 
    IP de referencia para que el paquete sea permitido, es decir tienen que ser de la 
    forma 198.51.100.00 y la IP de origen tiene esos mismos 26 bits, luego ​el paquete se 
    acepta​ (no se bloquea) 
     
    Otro ejemplo: sea la sentencia access-list 21 permit 192.0.2.11  0.0.0.15 
    ¿Qué hará la sentencia anterior si evalúa un paquete con IP de origen 192.0.11.17? →  
    la wildcard le va a exigir a toda IP de origen que sus 28 bits de más peso sean 
    iguales a los 28 bits de más peso de 192.0.2.11, y no lo son, ya que 11 es 0000 ​1011 ​y 17 
    es 0001 ​0001 ​por lo que dicho ​paquete será denegado​. 
     
    Dicho de otro modo, vamos a proponer ​tres formas de entender el binomi​o: 
     
    1. La IP de origen del paquete a evaluar que cumpla la condición tiene que ser 
    de la forma 192.168.1.algo → ignorar los unos de la wildcard 
    2. Los 24 bits de más peso de la IP a evaluar con el filtro tienen que ser iguales 
    a los 24 bits de más peso de la IP de referencia → el router le dice al paquete 
    que recibe: “Dame tus 24 primeros bits (3 ceros de la wildcard) para ver si 
    son iguales a los 24 bits de la IP de referencia 
    3. Si la IP de origen a evaluar la enfrentamos con la wildcard y hacemos una 
    especie de “AND inversa (cambiando el paradigma de la máscara de subred” 
    y el resultado es la IP de referencia, entonces la IP de origen será 
    seleccionada; mejor el paquete con la IP de origen será seleccionado para 
    ser descartado (deny) o para permitirle el paso (permit). Cuando hablamos 
    de la  “AND inversa” queremos decir que si un octeto de la wildcard es 0, va 
    a pasar el octeto entero de la IP de origen. Si es 255 el octeto de la IP de 
    origen se convierte en 0. Vamos a enfrentar la IP de origen 192.168.1.37 con el 
    binomio 
     
    192 .168.1. 37 
    0   . 0  . 0.255 
    resultado 192.168.1.0  

    10 ejemplos para entender la máscara wildcard 
    1/7 
     
    ¿ IP de referencia 192.168.1.0 = resultado 192.168.1.0? ​SI​, luego el paquete que 
    lleve esa IP de origen lo bloquearemos(deny) o permitiremos el tráfico 
    (permit). ​La ACL no sigue en secuencia leyendo más sentencias de la ACL. Si 
    la ​ IP de referencia 192.168.1.0 no es igual a 192.168.1.0 se lee la siguiente 
    sentencia de la ACL 
     
    Vamos a enfrentar la IP de origen 192.210.1.37 con el binomio 
     
    192 .210.1. 37 
    0   . 0  . 0.255 
    resultado 192.210.1.0  
     
    ¿ IP de referencia 192.168.1.0 = resultado 192.210.1.0? NO, luego pasamos a la 
    siguiente instrucción o entrada de la ACL configurada por nosotros 
    2. Seleccionar cualquier host (cualquier IP de origen)​. Es decir, que sea cual sea la IP 
    de origen, al enfrentarla con la wildcard, el resultado sea igual a la IP de referencia. 
     
    El binomio será de la forma → ​0.0.0.0 255.255.255.255 
     
    Se deja al alumnado que deduzca que cualquier IP que se enfrente a una wildcard 
    con 32 unos, el resultado será 32 ceros, que serán iguales a los 32 ceros de la IP de 
    referencia del binomio 
     
    3. Seleccionar exclusivamente el host cuya IP es 192.168.1.248 (una y solamente 
    una IP de origen particular) 
     
    El binomio será de la forma → ​192.168.1.248 0.0.0.0 
     
     
    4. Seleccionar los hosts de las redes 192.168.1.0/24 - 192.168.7.0/24. ​A partir de esta 
    actividad, daremos el binomio solución. será el alumnado el que lo razone y 
    proponga IPs de origen enfrentadas con la wildcard y ver si el resultado de ese 
    enfrentamiento es igual o no a la IP de referencia 
     
    El binomio será de la forma → ​192.168.1.0 0.0.7.255 
     
    5. Seleccionar los hosts de la subred 192.168.1.128/25 
     
    El binomio será de la forma → ​192.168.1.128 0.0.0.127 
     
    6. Seleccionar los hosts 192.168.1.1/24 - 192.168.1.7/24 de la red 192.168.1.0/24 
     
    El binomio será de la forma → ​192.168.1.0 0.0.0.7 
     
     

    10 ejemplos para entender la máscara wildcard 
    2/7 
    7. Seleccionar los hosts impares de la red 192.168.1.0/24 
     
    El binomio será de la forma → ​192.168.1.1 0.0.0.254 
     
    8. Seleccionar los hosts pares de la red 192.168.1.0/24 
     
    El binomio será de la forma → ​192.168.1.0 0.0.0.254 
     
    9. Seleccionar los hosts resultantes de dividir la subred 192.168.1.192/64  en cuatro 
    partes y quedarnos con la tercera parte 
     
    El binomio será de la forma → ​192.168.1.224 0.0.0.15 
     
    10. Seleccionar los hosts de la subred 172.16.64.0/19 
     
    El binomio será de la forma → ​172.16.64.0 0.0.31.255 
    2 ejemplos extra “diferentes”: 
     
    ejemplo 1 extra​: ​la IP de origen 198.51.100.3 se encuentra con la siguiente sentencia 
    ACL . ¿El paquete se permite o se descarta? 
     
    access-list 33 permit 198.51.100.58   0.0.0.63 
     
    la wildcard nos indica que a toda IP de origen se le van a pedir sus 26 primeros bits 
    que si coinciden con los 26 primeros bits de la IP de referencia 192.51.100.58 el 
    paquete se permitirá. ¿Cómo deben ser esos 26 primeros bits? de la forma 
    192.51.100.​00 (los 2 bits de más peso de 58 son 00)​ → permitiremos IPs que se 
    encuentren dentro del rango [192.51.100.0 - 192.51.100.63] 
     
    Notas​: 
     
    Recomendamos al alumnado que intente hacer las siguientes actividades de la 
    presentación power point incrustada en la página estática del blog UT 10: ACLs 

     
    Actividades de las diapositivas: 28  30  32  38  49  71  73 75   
     
     
    ejecutar el comando ​no access-list 10​ ​elimina la ACL 10 de la configuración en ejecución pero
    no de la interfaz donde está ubicada → deberemos ejecutar el comando ​no ip access-group 10
    in 
     
     

    10 ejemplos para entender la máscara wildcard 
    3/7 
    Epílogo ACL 
     
    1. Consulte la imagen. Esta ACL se aplica al tráfico saliente del router en la interfaz 
    que se conecta directamente al servidor 10.0.70.55. Una solicitud de información 
    proveniente de una página web segura se envía del host 10.0.55.23 y está destinada 
    al servidor 10.0.70.55. ¿Qué línea (entrada o instrucción) de la lista de acceso hará 
    que el router ejecute una acción?

    a. la línea 1 
    b. la línea 2 
    c. la línea 3 
    d. la línea 4 
    e. la línea 5 
     
    2. Consulte la imagen. ¿Qué se puede determinar a partir de este resultado? 

     
    a. El router no recibió ningún paquete Telnet de 10.35.80.22 destinado a 
    10.23.77.101 
    b. La ACL no funciona, porque no hay coincidencias para la línea 10. 
    c. La ACL solo supervisa el tráfico destinado a 10.23.77.101 desde tres hosts 
    específicos. 
     
       

    10 ejemplos para entender la máscara wildcard 
    4/7 
     
    3. Consulte la siguiente imagen. Suponer que las IPs de las LAN son el propio nombre 
    de las LAN. Se ha decidido entre otras, implementar las siguientes políticas de 
    seguridad: 
     
    a. a la LAN de servidores no se va a poder acceder desde INTERNET 
    b. la LAN 1 no va a poder acceder a ninguna LAN corporativa ni a Internet 
     
    Seleccione la respuesta correcta 

     
     
    a. Configuraría para la política a. una ACL extendida en router R, interface 
    se0/0 de entrada del tipo deny ip any LAN servidores y configuraría para la 
    política b. una ACL estándar en router R, interfaz fa0/0 de entrada del tipo 
    deny LAN 1 
    b. Configuraría para la política a. una ACL extendida en router R, interface 
    se0/0 de entrada del tipo deny ip any any y configuraría para la política b. 
    una ACL estándar en router R, interfaz fa0/0 de salida del tipo deny LAN 1 
    c. Configuraría para la política a. una ACL extendida en router R, interfaz se0/0 
    de entrada del tipo deny ip any LAN servidores y configuraría para la política 
    b. una ACL estándar en router R, interfaz fa0/0 de salida del tipo deny LAN 1 
     
       

    10 ejemplos para entender la máscara wildcard 
    5/7 
     
    4. Consulte la imagen. Un administrador de red configura una ACL para limitar el 
    acceso a los servidores de la empresa, alojados en la subred 10.0.10.0. Seleccione la 
    respuesta correcta: 

     
     
    a. Se observa una incongruencia con el primer deny y la subred referenciada en 
    el siguiente permit 
    b. Se deniega todo el tráfico ip a un rango de hosts y se permite el acceso web 
    a la subred 192.168.22.0/28 
    c. La tercera entrada de la ACL es la denominada permiso implícito por defecto 
     
    5. Dada la siguiente topología, ​queremos ​permitir exclusivamente el tráfico HTTP de 
    los hosts de la red B al servidor web. La red A y C no van a poder acceder al 
    servidor. Puede haber comunicación entre las zonas A,B y C. Seleccione la ACL y 
    ubicación

     
     
    a. router0(config)#access-list 101 permit tcp 192.168.2.0  0.0.0.255 host 
    192.168.10.1 eq www 
    ubicaré la ACL en fa1/1 de salida 
    b. router0(config)#access-list 101 permit tcp 192.168.2.0  0.0.0.255 host 
    192.168.10.1 eq www 
    ubicaré la ACL en fa1/1 de entrada 
    c. router0(config)#access-list 101 permit tcp 192.168.2.0  0.0.0.255 host 
    192.168.10.1 eq 443 
    ubicaré la ACL en fa1/1 de salida 
     
     

    10 ejemplos para entender la máscara wildcard 
    6/7 

    También podría gustarte