Want to make creations as awesome as this one?
Register now
Report content

More creations to inspire you

UNCOVERING REALITY

Presentation

SPRING HAS SPRUNG!

Presentation

THE OCEAN'S DEPTHS

Presentation

2021 TRENDING COLORS

Presentation

POLITICAL POLARIZATION

Presentation

VACCINES & IMMUNITY

Presentation

LETTERING PRESENTATION

Presentation

Discover more incredible creations here

Transcript

Listas de control de acceso

START

MÓDULO 4

Pregunta interactiva

ÍNDICE

01.

Introducción a las Listas de Control de Acceso

02.

Enmascaramiento wildcard

03.

Configurar ACL

04.

Sintaxis de ACL con nombre estándar IPv4

05.

Implementar ACL

06.

Mitigar ataques con ACL

07.

ACL de IPv6

08.

09.

Cierre

¿Qué es una ACL?

+INFO

Es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete.

Proporcionan un nivel básico de seguridad para el acceso a la red

Proporcionan control del flujo de tráfico

Tareas realizadas por los enrutadores que requieren el uso de ACL para identificar el tráfico.

Limitan el tráfico de la red para aumentar su rendimiento

Una política corporativa requiere que el tráfico del protocolo de enrutamiento se limite solo a ciertos enlaces. Se puede implementar una política utilizando ACL para restringir la entrega de actualizaciones de enrutamiento solo a aquellas que provienen de una fuente conocida.

Una política corporativa prohíbe el tráfico de video para reducir la carga de la red. Se puede aplicar una directiva mediante ACL para bloquear el tráfico de vídeo.

La política corporativa exige que el acceso a la red de Recursos Humanos esté restringido únicamente a usuarios autorizados. Se puede aplicar una política mediante ACL para limitar el acceso a redes específicas.

Proporcionar prioridad a determinadas clases de tráfico de red

Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red

Tareas realizadas por los enrutadores que requieren el uso de ACL para identificar el tráfico.

Filtran el tráfico según el tipo de tráfico

La política corporativa requiere que el acceso a algunos tipos de archivos (por ejemplo, FTP o HTTP) se limite a grupos de usuarios. Se puede implementar una política utilizando ACL para filtrar el acceso de los usuarios a los servicios.

La política corporativa exige que se permita el tráfico de correo electrónico en una red, pero que se deniegue el acceso Telnet. Una directiva se puede implementar mediante ACL para filtrar el tráfico por tipo.

El tráfico corporativo especifica que el tráfico de voz se reenvíe lo más rápido posible para evitar cualquier interrupción. Se puede implementar una política utilizando ACL y servicios QoS para identificar el tráfico de voz y procesarlo de inmediato.

Filtrado de paquetes

El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios determinados. El filtrado de paquetes puede producirse en la capa 3 o capa 4

+ INFO

ACL nombradas

Las ACL con nombre son el método preferido para configurar ACL. Específicamente, las ACL estándar y extendidas se pueden nombrar para proporcionar información sobre el propósito de la ACL. Por ejemplo, nombrar un FILTRO FTP-ACL extendido es mucho mejor que tener un ACL 100 numerado.

ACL numeradas

+ INFO

+ INFO

Las ACL número 1 a 99, o 1300 a 1999 son ACL estándar, mientras que las ACL número 100 a 199, o 2000 a 2699 son ACL extendidas.

Funcionamiento de la ACL

Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router.

+ INFO

Enmascaramiento wildcard

+ INFO

una máscara wildcard es una secuencia de bits que indica qué partes de una dirección IP son relevantes para una acción específica.Una máscara wildcard es similar a una máscara de subred, ya que utiliza el proceso AnDing para identificar los bits de una dirección IPv4 que deben coincidar. Difieren en la forma en que coinciden binarios 1s y 0s

Tipos de máscaras comodín (wildcard)

Wildcard para coincidir con un host

Máscara wildcard para que coincida con una subred IPv4

Máscara wildcard para coincidir con un rango de direcciones IPv4

+ INFO

+ INFO

+ INFO

Cálculo de máscara wildcard

La forma más sencilla de calcular una máscara wildcard es restando la máscara de subred de 255.255.255.255.

+ INFO

sta palabra clave sustituye a la máscara 255.255.255.255. Esta máscara establece que se omita la dirección IPv4 completa o que se acepte cualquier dirección.

Palabras clave de una máscara wildcard

Esta palabra clave sustituye a la máscara 0.0.0.0. Esta máscara indica que todos los bits de direccion es IPv4 deben coincidir para filtrar solo una dirección de host.

host

any

Sintaxis de ACL IPv4 estándar numerada

Para crear una ACL estándar numerada, utilice el siguiente comando de configuración global:

Las ACL con varias ACE deben crearse en un editor de texto. Esto le permite planificar las ACE requeridas, crear la ACL y luego pegarla en la interfaz del router. También simplifica las tareas para editar y corregir una ACL.

Por ejemplo, supongamos que la ACL 1 se introdujo incorrectamente utilizando 19 en lugar de 192 para el primer octeto, como se muestra en la configuración en ejecución.

Método del editor de texto

+ INFO

Una ACE ACL también se puede eliminar o agregar utilizando los números de secuencia ACL. Los números de secuencia se asignan automáticamente cuando se introduce una ACE. Estos números se muestran en el comando show access-list. El comando show running-config no muestra números de secuencia.

En el ejemplo anterior, el ACE incorrecto para ACL 1 está utilizando el número de secuencia 10

Método del número de secuencia

+ INFO

Implementar ACL

+ INFO

+ INFO

+ INFO

Mitigar ataques con ACL

Las ACL pueden utilizarse para mitigar muchas amenazas de red, tales como la suplantación de direcciones IP y los ataques de denegación de servicio (DoS).

Permitir el tráfico necesario a través de un firewall

Mitigar los ataques de ICMP

Mitigar los ataques de SNMP

Descripción general de ACL IPv6

Un ejemplo de una preocupación de seguridad son los actores de amenazas que aprovechan IPv4 para explotar IPv6 en entornos de doble pila. La doble pila es un método de integración en el que un dispositivo tiene conectividad tanto a redes IPv4 como a IPv6. En un entorno de doble pila los dispositivos funcionan con dos pilas de protocolo IP.Los actores de la amenaza pueden llevar a cabo ataques sigilosos que resultan en la explotación de la confianza mediante el uso de hosts de doble pila, mensajes falsos del Protocolo de Descubrimiento de Vecinos (NDP) y técnicas de túnel.

Recuerda que no respondo Whatsapps. Utiliza las herramientas oficiales.

Si tienes dudas o comentarios, no olvides enviarlas por correo electronico: gustavo.castillo@jamexico.org.mx

YouTube
LinkedIn

Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios:Máscara wildcard bit 0: Coincide con el valor del bit correspondiente en la dirección.Máscara wildcard bit 1: Ignora el valor del bit correspondiente en la dirección.

En este ejemplo, ACL 10 necesita una ACE que permita todos los hosts de la red 192.168.1.0/24.

Los protocolos de administración, como SNMP, son útiles para la supervisión remota y la administración de dispositivos en red. Sin embargo, aún pueden ser explotados. Si el SNMP es necesario, la explotación de las vulnerabilidades del SNMP se puede mitigar aplicando ACLs de interfaz para filtrar los paquetes SNMP de los sistemas no autorizados. Un exploit todavía puede ser posible si el paquete SNMP proviene de una dirección que ha sido falsificada y está permitida por la ACL.

Las ACL de entrada filtran los paquetes que ingresan a una interfaz específica y lo hacen antes de que se enruten a la interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Las ACL de salida filtran los paquetes después de que se enrutan, independientemente de la interfaz de entrada. Los paquetes entrantes se enrutan a la interfaz saliente y luego se procesan a través de la ACL saliente.

Planificar la estructurade tu comunicación.

Jerarquizarla y darle peso visual a lo principal.

Reglas que se deben seguir para las ACL con nombre:

  • Asigne un nombre para identificar el propósito de la ACL.
  • Los nombres pueden contener caracteres alfanuméricos.
  • Los nombres no pueden contener espacios ni signos de puntuación.
  • Se sugiere escribir el nombre en MAYÚSCULAS.
  • Se pueden agregar o eliminar entradas dentro de la ACL.

Una estrategia eficaz para mitigar los ataques es permitir explícitamente solo ciertos tipos de tráfico a través de un firewall. Por ejemplo, el Sistema de Nombres de Dominio (DNS), el Protocolo Simple de Transferencia de Correo (SMTP) y el Protocolo de Transferencia de Archivos (FTP) son servicios que a menudo se deben permitir a través de un firewall.

En este ejemplo, la máscara wildcard se utiliza para que coincida con una dirección IPv4 de host específica.

Para corregir el error:

  • Copie la ACL de la configuración en ejecución y péguela en el editor de texto.
  • Realice los cambios necesarios.
  • Elimine la ACL configurada previamente en el router. De lo contrario, al pegar los comandos ACL editados solo se anexarán (es decir, se añadirán) a las ACE de las ACL existentes en el router.
  • Copie y pegue la ACL editada de nuevo en el router.
Las ACE también suelen llamarse instrucciones ACL

Una ACL utiliza una lista secuencial de declaraciones de permiso o denegación, conocidas como entradas de control de acceso (ACE).

Para corregir el error:

  • Utilice el comando ip access-list standard para editar una ACL. Las instrucciones no se pueden sobrescribir con el mismo número de secuencia que el de una instrucción existente. Por lo tanto, la instrucción actual debe eliminarse primero con el comando no 10. A continuación, se configura el ACE correcto utilizando el número de secuencia 10.

Los hackers pueden utilizar paquetes de eco (pings) del Protocolo de Mensajes de Control de Internet (ICMP) para descubrir subredes y hosts en una red protegida y para generar ataques de inundación DoS. Las ACL se utilizan para bloquear la suplantación de direcciones IP, permitir servicios específicos a través de un firewall y permitir solo los mensajes ICMP requeridos. La figura muestra una topología de ejemplo y posibles configuraciones de ACL para permitir servicios ICMP específicos en las interfaces G0/0 y S0/0/0.

Ejemplo:

  • Máscara de subred: 255.255.255.0
  • Cálculo: 255.255.255.255 - 255.255.255.0 = 0.0.0.255
  • Máscara wildcard: 0.0.0.255
Explicación:
  • Máscara de subred: Define la parte de la dirección IP que identifica la red.
  • Máscara wildcard: Define la parte de la dirección IP que puede variar dentro de esa red.
En la máscara wildcard:
  • Los unos (1) indican los bits que deben coincidir.
  • Los ceros (0) indican los bits que pueden variar.

En este ejemplo, ACL 10 necesita una ACE que permita todos los hosts de las redes 192.168.16.0/24, 192.168.17.0/24,..., 192.168.31.0/24.