1 / 37

Filtrado de tráfico mediante listas de control de acceso

Filtrado de tráfico mediante listas de control de acceso. Introducción al enrutamiento y la conmutación en la empresa Capítulo 8. Objetivos. Describir el filtrado de tráfico y explicar cómo las listas de control de acceso (ACL) pueden filtrar el tráfico en las interfaces del router.

atira
Télécharger la présentation

Filtrado de tráfico mediante listas de control de acceso

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Filtrado de tráfico mediante listas de control de acceso Introducción al enrutamiento y la conmutación en la empresa Capítulo 8

  2. Objetivos • Describir el filtrado de tráfico y explicar cómo las listas de control de acceso (ACL) pueden filtrar el tráfico en las interfaces del router. • Analizar el uso de las máscaras wildcard. • Configurar y aplicar las ACL. • Crear y aplicar las ACL para controlar los tipos de tráfico específico. • Registrar la actividad de la ACL e integrar las mejores prácticas de la ACL.

  3. Descripción del filtrado de tráfico • Analizar el contenido de un paquete • Permitir o bloquear el paquete • Según la IP de origen, IP de destino, dirección MAC, protocolo y tipo de aplicación

  4. Descripción del filtrado de tráfico Dispositivos que proporcionan filtrado de tráfico: • Firewalls incluidos en los routers integrados • Aplicaciones de seguridad dedicadas (firewalls dedicados) • Servidores

  5. Descripción del filtrado de tráfico Usos para las ACL: • Especificar hosts internos para NAT • Clasificar el tráfico para el QoS • Restringir las actualizaciones de enrutamiento, limitar los resultados de la depuración, controlar el acceso a terminal virtual de los enrutadores

  6. Descripción del filtrado de tráfico Posibles problemas con las ACL: • Mayor carga en el router • Posible interrupción de la red por ACLs mal diseñadas • Consecuencias no esperadas a causa de una incorrecta ubicación,como dejar pasar tráfico prohibido o bloquear tráfico permitido

  7. Descripción del filtrado de tráfico • Las ACL estándar filtran según la dirección IP de origen (Número identificación: [1 - 99] y [1300 a 1999] • Las ACL extendidas filtran en el origen y el destino así como también en el número de puerto y protocolo(Número identificación: [100 a 199] y [2000 a 2699]) • Las ACL nombradas pueden ser estándar o extendidas

  8. Descripción del filtrado de tráfico • Las ACL están compuestas de sentencias. • Al menos una sentencia debe ser una sentencia de permiso, sino todo el tráfico será denegado. • La sentencia final es una denegación implícita. • La ACL debe aplicarse a una interfaz para que funcione .

  9. Descripción del filtrado de tráfico • La ACL se aplica en forma entrante (inbound) o saliente (outbound). • La dirección se obtiene a partir de la perspectiva del router. • Cada interfaz puede tener una ACL por dirección para cada protocolo de red.

  10. Análisis del uso de las máscaras wildcard • La máscara wildcard puede bloquear un rango de direcciones o una red entera con una sentencia • Los 0 indican qué parte de una dirección IP debe coincidir con la ACL • Los 1 indican qué parte no tiene que coincidir en forma específica

  11. Análisis del uso de las máscaras wildcard • Utilice el parámetro host en lugar de una wildcard 0.0.0.0192.168.15.99 0.0.0.0 es lo mismo que host 192.168.15.99 • Usar el parámetro any en lugar de la wildcard 255.255.255.2550.0.0.0 255.255.255.255 es lo mismo que any

  12. Análisis del uso de las máscaras wildcard • Ejemplo: 192.168.85.0/26 • ¿Qué subredes se obtienen? • 192.168.85.0/26 192.168.85.64/26192.168.85.128/26 192.168.85.192/26 • ¿Qué sentencias se utilizan para denegar el tráfico de las primeras dos redes? • access-list XX deny 192.168.85.0 0.0.0.63 • access-list XX deny 192.168.85.64 0.0.0.63 • ¿Se pueden summarizar en una sola sentencia? • Sí: access-list XX deny 192.168.85.0 0.0.0.127

  13. Configuración e implementación de las listas de control de acceso • Pasos para determinar tipo y ubicación de las ACLs: • Determinar los requisitos del filtrado de tráfico • Decidir qué tipo de ACL utilizar (estándar o extendida) • Determinar el router y la interfaz a los cuales aplicar la ACL • Determinar en qué dirección filtrar el tráfico • Procurarque tráficoa bloquearviaje lo menosposible porla red. • Estándar: cerca deldestino. • Extendida: cerca del origen.

  14. Configuración e implementación de las listas de control de acceso • La configuración de las ACLs involucra 2 pasos: Creación y Aplicación • Creación: crea la listaSe usa la siguiente sintaxis: access-list [access-list-number] [deny|permit] [source address] [source-wildcard][log]Para documentar la información:access-list [list number] remark [text] Para borrar una ACL:no access-list [list number]

  15. Configuración e implementación de las listas de control de acceso • Aplicación: asocia la lista a una interfazPara asociar:R2(config-if)#ip access-group access-list-number [in | out]Para desasociar:no ip access-group interface • Si solo se usa tráfico IP, solo pueden haber 2 ACLs por interfaz: de entrada y salida de tráfico.Usar: show ip interface, access-lists access-list-number, running-config

  16. Configuración e implementación de las listas de control de acceso: ACL estándar numerada • Utilice el comando access-list para ingresar las sentencias • Rangos de números: 1-99, 1300-1999 • Aplicar lo más cerca posible del destino • show ip interface • show access-lists • show running-config

  17. Práctica de Laboratorio • Laboratorio 8.3.3.4

  18. Configuración e implementación de las listas de control de acceso: ACL extendida numerada • Utilice el comando access-list para ingresar las sentencias • Rangos de números: 100-199, 2000-2699 • Especificar un protocolo para admitir o rechazar • Colóquela lo más cerca posible del origen

  19. Configuración e implementación de las listas de control de acceso: ACL extendida numerada • La sentenciabásica de configuraciónestá dada por: R(config)#access-list [ACL-number] [permit | deny] [protocol(eigrp, icmp, ip, ospf, tcp, udp, etc…)] [source IP] [destination IP] [matching condition (equal, greater, lower)][TCP Application (http, ftp, etc…)]

  20. Práctica de Laboratorio • Laboratorio 8.3.4.4

  21. Configuración e implementación de las listas de control de acceso: ACL nombradas • El nombre descriptivo reemplaza el número de ACL • Utilice el comando ip access-list {standard | extended} namepara crear la lista • Comience las sentencias subsiguientes con permiso o rechazo • Aplicar de la misma manera que la ACL estándar o extendida

  22. Configuración e implementación de las listas de control de acceso: ACL nombradas • Show access-lists muestra las líneas de la lista, cuyas filas se numeran como 10, 20 , 30, … • Para borrar una línea de la ACL usar:no [line number]. • Para introducir una línea hacerlo iniciando la sentencia con el line number según la posición deseada. • Para colocar una sentencia en una posición intermedia usar un número intermedio.

  23. Práctica de Laboratorio • Laboratorio 8.3.5.4

  24. Configuración e implementación de las listas de control de acceso: Acceso VTY • Utilizar el comando access-class para asociar la ACL a la línea VTY en configuración. • Utilizar una ACL numerada por seguridad. • Aplicar restricciones idénticas a todas las líneas VTY.

  25. Práctica de Laborarorio • Laboratorio 8.3.6.3

  26. Creación y aplicación de las ACL para controlar los tipos de tráfico específico • Utilizar una condición específica cuando se realice el filtrado a los números de puerto: eq, lt, gt, range • Rechazar todos los puertos correspondientes en el caso de aplicaciones de varios puertos como el FTP

  27. Creación y aplicación de las ACL para controlar los tipos de tráfico específico • Es posible bloquear tráfico originado externamente, pero dejar pasar tráfico externo de respuesta. • Ping: permitir respuestas de eco mientras se rechazan las solicitudes de eco desde fuera de la red. (Ver Imagen) • Esto es una forma de Inspección de paquetes con estado (SPI).

  28. Creación y aplicación de las ACL para controlar los tipos de tráfico específico • Cuando el paquete llega a la interfaz NAT el router: Aplica la ACL IN. Traduce la dirección exterior en interior. Enruta el paquete. • Cuando el paquete sale de la interfaz NAT el ruoter: Traduce la dirección interna en externa. Aplica la ACL OUT. • Filtrar las direcciones públicas en una interfaz NAT exterior. • Filtrar las direcciones privadas en una interfaz NAT interior.

  29. Práctica de Laboratorio • Laboratorio 8.4.3.2

  30. Creación y aplicación de las ACL para controlar los tipos de tráfico específico • Inspeccionar cada ACL una línea a la vez para evitar consecuencias no previstas

  31. Creación y aplicación de las ACL para controlar los tipos de tráfico específico • Aplicar las ACL a las interfaces o subinterfaces VLAN al igual que con las interfases físicas

  32. Registro de la actividad de la ACL y sus mejores prácticas • El registro (logging) proporciona detalles adicionales sobre los paquetes que se rechazan o se admiten. • Agregue la opción registro al final de cada sentencia de la ACL que se debe rastrear.

  33. Registro de la actividad de la ACL y sus mejores prácticas Mensajes de Syslog: • Estado de las interfaces del router • Mensajes de la ACL (logging [ip_address]) • Ancho de banda, protocolos en uso, eventos de configuración

  34. Práctica de Laboratorio • Laboratorio 8.5.2.3

  35. Registro de la actividad de la ACL y sus mejores prácticas • Compruebe siempre la conectividad básica antes de aplicar las ACL. • Agregue deny ip any al final de una ACL cuando realice el registro. • Utilice reload in 30 cuando pruebe las ACL en los routers remotos.

  36. Resumen • Las ACL habilitan la administración del tráfico y aseguran el acceso hacia la red y sus recursos y desde estos • Aplicar una ACL para filtrar el tráfico entrante o saliente • Las ACL pueden ser estándar, extendidas o nombradas • El uso de una máscara wildcard otorga flexibilidad • Existe una sentencia de rechazo implícito al final de una ACL • Fundamente NAT cuando cree y aplique las ACL • El registro proporciona detalles adicionales sobre el tráfico filtrado

More Related