Diapositiva 1

AUTORES:T.S.U CARVAJAL, ERICKT.S.U RODRIGUEZ, RAFAELT.S.U ROJAS, JESS

CUMAN FEBRERO 2015

PROFESOR:GABRIEL MONTAO

LISTAS DE CONTROL DE ACCESO (ACL)

2CONTENIDO

LISTA DE CONTROL DE ACCESO (ACL).TIPOS DE ACL.ACL ESTNDAR (NUMERADA/NOMBRADA)PUERTOS TCPPUERTOS UDPPROTOCOLOS DE CONFIGURACINACL EXTENDIDAACL EN VLAN.LISTA DE CONTROL DE ACCESO ACL (Access Control List)

4LISTA DE CONTROL DE ACCESOUna Lista de Control de Acceso o ACL (Access Control List) es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

5LISTA DE CONTROL DE ACCESOEn redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que estn disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes.

TIPOS DE ACL

7TIPOS DE ACLACLs, estndar y extendidas (numeradas y nombradas):

Las ACLs estndar nicamente permiten establecer filtros basados en la direccin IP de origen.

Las ACLs extendidas pueden realizar el filtrado en base a prcticamente cualquier campo de la cabecera IP, ICMP, TCP, UDP, etc. Cada ACL est compuesta por un conjunto de reglas que se evalan en el orden en que se han declarado. 78TIPOS DE ACLLas reglas que componen una ACL estndar o extendida se definen en modo Configuracin Global mediante el comando access-list.

Router(config)# access-list 30 permit 192.168.40.0 0.0.0.2558

9LISTA DE CONTROL DE ACCESOAl menos una sentencia debe ser una sentencia de permiso, sino todo el trfico ser denegado.La sentencia final es una denegacin implcita.La ACL debe aplicarse a una interfaz para que funcione .9ACL ESTNDAR(numeradas/nombradas)

11ACL ESTNDAR NUMERADALas ACL estndar filtran segn la direccin IP de origen (Nmero identificacin: [1 - 99] y [1300 a 1999]

sintaxis ACL estndar numerada:Router(config)#access-list 1-99 (permit/deny/remark) ip Wilcard [deny all traffic]

11

12ACL ESTNDAR NUMERADALa ACL se aplica en forma entrante (inbound) o saliente (outbound).La direccin se obtiene a partir de la perspectiva del router.Las ACL estndar deben ser configuradas en el puerto o interfaz ms cercano al destino negado.1213ACL ESTNDAR NOMBRADARouter(config)# ip access-list {standard } name

El nombre descriptivo reemplaza el nmero de ACL. Las sentencias subsiguientes (permit/deny).

Sintaxis definicin ACL estndar nombrada:

1314MASCARA WILCARD Wildcard significa comodn, como el joker en el juego de cartas. Tanto en la direccin de origen, como (en el caso de las ACL extendidas) en la direccin de destino, se especifican las direcciones como dos grupos de nmeros: un nmero IP, y una mscara wildcard.

Si se traduce a binario, los 1 en la mscara wildcard significan que en la direccin IP correspondiente puede ir cualquier valor.

Para permitir o denegar una red o subred, la mscara wildcard es igual a la mscara de subred, cambiando los 0 por 1 y los 1 por 0 (en binario).14

15MASCARA WILCARDUtilizar el parmetro host en lugar de una wildcard 0.0.0.0192.168.15.99 0.0.0.0 es lo mismo que host 192.168.15.99

Usar el parmetro any en lugar de la wildcard 255.255.255.2550.0.0.0 255.255.255.255 es lo mismo que any

15RESUMEN ACL ESTNDAR(numeradas/nombradas)

17MASCARA WILCARDPasos para determinar tipo y ubicacin de las ACLs:Determinar los requisitos del filtrado de trficoDecidir qu tipo de ACL utilizar (estndar o extendida)Determinar el router y la interfaz a los cuales aplicar la ACLDeterminar en qu direccin filtrar el trfico

17VEMOSLO MS CLARO ENCISCO PACKET TRACER

PUERTOS TCP

20PUERTOS TCP

TCP usa el concepto de nmero de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexin TCP tiene asociado un nmero de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la aplicacin emisora o receptora. Los puertos son clasificados en tres categoras: bien conocidos, registrados, y dinmicos/privados.2021PUERTOS TCP

Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios.3 Las aplicaciones que usan este tipo de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80).2122PUERTOS TCP

Los puertos registrados son normalmente empleados por las aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero tambin pueden representar servicios que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151).2223PUERTOS TCP

Los puertos dinmicos/privados tambin pueden ser usados por las aplicaciones de usuario, pero este caso es menos comn. Los puertos dinmicos/privados no tienen significado fuera de la conexin TCP en la que fueron usados (rango de puertos dinmicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 nmeros, del 0 al 65535).23PUERTOS UDP

25PUERTOS UDP

El uso principal de UDP es para protocolos como DHCP, BOOTP,DNS y dems protocolos en los que el intercambio de paquetes de la conexin/desconexin son mayores, o no son rentables con respecto a la informacin transmitida, as como para la transmisin de audio y vdeo en real, donde no es posible realizar retransmisiones por los estrictos requisitos de retardo que se tiene en estos casos. 2526PUERTOS UDP

UDP utiliza puertos para permitir la comunicacin entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por lo que el rango de valores vlidos va de 0 a 65.535. El puerto 0 est reservado, pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta. UDP distingue entre puertos bien conocidos, registrados y efmeros.2627PUERTOS UDP

bien conocidos : puertos del 1 al 1023 registrados : puertos del 1024 al 49.151 efmeros : puertos del 49.152 al 65.535 Los puertos efmeros son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores. 2728PUERTOS UDP

Los puertos UDP mas usados son: Puerto 7.- echo. Puerto 53.- sistema de nombre de dominio. DNS Puerto 67.- servicio de protocolo de inicio. BOOTP Puerto 69.- protocolo trivial de transferencia de archivo. TFTP Puerto 138.- servicio de datagrama. NETBIOS Puerto 161.- protocolo simple de administracin de red. SNMP Puerto 554.- protocolo de secuencia en tiempo real. RTSP28ACL EXTENDIDA

30ACL EXTENDIDALas ACL extendidas filtran en el origen y el destino as como tambin en el nmero de puerto y protocolo(Nmero identificacin: [100 a 199] y [2000 a 2699])3031TIPOS DE ACLRouter(config)#Access-list 100-199 permit/deny ip/tcp/udp/icmp... Wilcard Wilcard puerto (solo aplicaen protocolos tcp/udp)

ACL extendida: sintaxis31PROTOCOLOS DE CONFIGURACIN

33PROTOCOLOS DE CONFIGURACIN.EIGRP Enhaced Interior Gateway Routing Protocol: Protocolo de enrutamiento de gateway interior mejorado) es un protocolo de encaminamiento vector distancia avanzado, propiedad de Cisco Systems, que ofrece lo mejor de los algoritmos de vector de distancias y del estado de enlace. 3334PROTOCOLOS DE CONFIGURACIN.GRE Generic Routing Encapsulation: es un protocolo del nivel de transporte que puede encapsular una amplia variedad de tipos de protocolos diferentes dentro de tneles IP, creando una red punto a punto entre dos mquinas que estn comunicndose por este protocolo. Su uso principal es crear tneles VPN.3435PROTOCOLOS DE CONFIGURACIN.ICMP Internet Control Message Protocol: El Protocolo de Mensajes de Control de Internet o ICMP es el sub protocolo de control y notificacin de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no est disponible o que un router o host no puede ser localizado. Tambin puede ser utilizado para transmitir mensajes ICMP Query.3536PROTOCOLOS DE CONFIGURACIN.IGMP Internet Group Multicast Protocol: El protocolo de red IGMP se utiliza para intercambiar informacin acerca del estado de pertenencia entre enrutadores IP que admiten la multidifusin y miembros de grupos de multidifusin. Los hosts miembros individuales informan acerca de la pertenencia de hosts al grupo de multidifusin y los enrutadores de multidifusin sondean peridicamente el estado de la pertenencia.3637PROTOCOLOS DE CONFIGURACIN.IGRP Interior Gateway Routing Protocol: Protocolo de enrutamiento de gateway interior, es un protocolo propietario patentado y desarrollado por CISCO que se emplea con el protocolo TCP/IP segn el modelo (OSI) Internet. La versin original del IP fue diseada y desplegada con xito en 1986. Se utiliza comnmente como IGP para intercambiar datos dentro de un Sistema Autnomo, pero tambin se ha utilizado extensivamente como Exterior Gateway Protocol (EGP) para el enrutamiento inter-dominio.3738PROTOCOLOS DE CONFIGURACIN.IP Internet Protocol: Protocolo de Internet o IP es un protocolo de comunicacin de datos digitales clasificado funcionalmente en la Capa de Red segn el modelo internacional OSI. Su funcin principal es el uso bidireccional en origen o destino de comunicacin para transmitir datos mediante un protocolo no orientado a conexin que transfiere paquetes conmutados a travs de distintas redes fsicas previamente enlazadas segn la norma OSI de enlace de datos.3839PROTOCOLOS DE CONFIGURACIN.IPinIP IP in IP tunneling: es un protocolo que encapsula un paquete IP en otro paquete IP. Para encapsular un paquete IP en otro paquete IP, se aade una cabecera exterior con SourceIP , el punto de entrada del tnel y al punto Destino, el punto de la salida del tnel. Mientras hace esto, el paquete interno es no modificado (excepto el TTL de campo, que se decrementa).3940PROTOCOLOS DE CONFIGURACIN.NOS KA9Q NOS: Siglas que definen una implementacin del protocolo TCP/IP de internet (y otros asociados al mismo) que emplean cualquier dispositivo para acceder a la red aunque en su da la popularizaron los que empleaban programas de acceso a la red va radio. Debe el nombre a Phil Karn, un radioaficionado que lo emple por primera vez en un PC con un sistema operativo MS-DOS.4041PROTOCOLOS DE CONFIGURACIN.OSPF Open Shortest Path First: El camino ms corto primero, un protocolo de encaminamiento jerrquico de pasarela interior o IGP (Interior Gateway Protocol), que usa el algoritmo SmoothWall Dijkstra enlace-estado (LSE - Link State Algorithm) para calcular la ruta ms idnea.4142PROTOCOLOS DE CONFIGURACIN.Transmission Control Protocol (TCP) o Protocolo de Control de Transmisin, es uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de datos compuesta por computadoras, pueden usar TCP para crear conexiones entre s a travs de las cuales puede enviarse un flujo de datos. El protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se transmitieron. 4243PROTOCOLOS DE CONFIGURACIN.User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulado de capa 4 Modelo OSI). Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.43APLICANDO ACLs EXTENDIDA EN CISCO PACKET TRACER