Академический Документы
Профессиональный Документы
Культура Документы
Tabla de Contenidos
Ir a! Ir a! Ir a! Ir a! Resumen de ACLs Configuracin de ACL ACLs Extendidas Otras ACL Bsicas
Home End
Resumen de ACLs
Limitan operaciones o acciones que un usuario autorizado puede llevar a cabo cuando se conecta a un computador
Home End
u u
Recurso 2
u
Recurso 4 Iniciador A leer modificar O Iniciador C leer
Considerar grupos Las ACL en funcin a grupos Usan expresiones lgicas Refinamiento de ACL: granularidad Reglas de precedencia : herencia
Home End
Una ACL es una lista de instrucciones que se colocan en el router para permitir o negar paquetes. Basndose en:
Direccin fuente Direccin destino Protocolos de capa superior (p.e. puertos TCP & UDP)
Pueden ser para los protocolos enrutados (IP, IPX) Las ACL filtran el trfico de red controlando si los paquetes enrutados se envan o se bloquean en las interfaces del router
Home End
Para determinar que paquetes deben permitirse o negarse, se verifican las reglas ACL secuencialmente.
Cuando una regla coincide, se deja de evaluar y el paquete es permitido o denegado.
La reglas ACL son creadas en tiempo real. Para actualizar las reglas se debe reescribir completamente.
Home End
Limitar el trfico y mejorar el rendimiento de la red Brindar control de flujo de trfico Proporcionar un nivel bsico de seguridad para el acceso a la red Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router (si eHome mail, no telnet)
End
No
No dir.orgen? Si Ms entra das No Si Aplicar condicin Denegar Mensaje ICMP Permitir Home
Redireccionar End
# Definir a la red local acl miredlocal src 192.168.1.0/255.255.255.0 acl permitidos src "/etc/squid/permitidos # El fichero /etc/squid/permitidos contendra algo como: 192.168.1.1 192.168.1.15 192.168.1.2 192.168.1.16 192.168.1.3 192.168.1.20 Home 192.168.1.40 End
Reglas de control de acceso Se aplican a las ACLs Definen si se permiten o no el acceso a Squid
http_access [deny o allow] [lista de control de acceso] # Acceso a la ACL permitidos http_access allow permitidos # Permite acceso a Squid a lista1, pero no a lista2 http_access allow lista1 !lista2
Home End
Caso 1:
Dar acceso a toda la red u Creacin de ACL: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.1.0/255.255.255.0 u Aplicar las regla de control de acceso http_access allow localhost http_access allow todalared http_access deny all
Home End
Caso 2:
Permitir el acceso solo a algunas mq: Creacin de ACL en un archivo: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redlocal src "/etc/squid/lista" Aplicar la regla de control de acceso http_access allow localhost http_access allow redlocal http_access deny all
Home End
Otros casos:
# Listas que definen conjuntos de maquinas acl redlocal src "/etc/squid/redlocal" acl privilegiados src "/etc/squid/privilegiados acl restringidos src "/etc/squid/restringidos" acl administrador src 192.168.1.254 # Listas que definen palabras contenidas en un URL acl porno url_regex "/etc/squid/porno" # Contenido: # sex # porn # girl # celebrit # extasis # drug # playboy # hustler
Home End
Otros casos:
# Define una lista estricta de extensiones prohibidas acl multimedia urlpath_regex "/etc/squid/multimedia # Contenido: # \.mp3$ # \.avi$ # \.mov$ # \.mpg$ # \.bat$ # \.pif$ # \.sys$ # \.lnk$ # \.scr$ # \.exe$ # Define una lista moderada de extensiones prohibidas acl peligrosos urlpath_regex "/etc/squid/peligrosos" # Contenido: # \.bat$ # \.pif$ # \.sys$ # \.lnk$ # \.scr$ # \.exe$
Home End
ACL en Routers
ACLs Estndar
ACL estndar
Home End
Home End
Ejemplo:
Home End
Tipos de ACLs
u
Home End
La Mscara Wildcard
Una mscara wildcard sirve para saber que bits de una direccin se verifican y que bits son ignorados. u Un bit 0 indica que esa posicin se debe verificar. u Un bit 1 indica que esa posicin se debe ignorar. u Por ejemplo: 192.5.5.10 0.0.0.0 escrito en binario:
u
La mscara Wildcard
u
Home End
Prctica de enmascaramiento
Cul es la Mscara ip y la Mscara wildcard para que todos los hosts de la red dada sean verificados? 192.5.5.0 255.255.255.0 u Respuesta: 192.5.5.0 0.0.0.255
u
Notar que la mscara wildcard es una imagen de espejo de la mscara de subred. PRECAUCIN: esta regla slo se aplica en redes o subredes.
Home End
El comando any
Las ACL tienen una regla implcita al final deny any u Ejemplo: si algunos los estudiantes tienen el acceso negado y los otros permitido, entonces se deben escribir dos reglas:
u
La ltima regla es escrita para evitar el deny any, tambin se puede utilizar el comando any:
Lab-A(config)#access-list 1 permit any
Home End
Home End
Home End
ACLs Extendidas
ACL Extendidas
Las ACLs Extendidas estn numeradas del 100 199 y tienen mayores capacidades que las ACL Estndar. u Tienen la habilidad de filtrar el trfico basado en...
u
Direccin orgen y destino Verifican protocolos Nmeros de puertos Capas superiores del protocolo TCP/IP
Se pueden escribir reglas para denegar protocolos como tftp o http Se pueden utilizar operadores como eq, gt, lt, y neg para manejar un protocolo en particular.
Home End
Nmero de Puerto
Un resumen de algunos puertos tcp y udp. u Se puede utilizar el nombre (telnet) en lugar del nmero (23) en {protocol-specific options}
u
Port Number 21 23 25 53 69
Home End
Como las ACL extendidas tiene informacin del destino, se debe colocar los ms cerca posible al origen.
Home End
Se quiere negar a la red 221.23.123.0 para el acceso al servidor 198.150.13.34. u En qu router e interface se debe aplicar?
Escribir la regla en el router C y aplicarlo en la interfaz E0
Home End
Home End
PAZ Y BIEN
Home End
ACLs Nombradas
u
Una manera elegante que tiene el Cisco IOS es la habilidad de nombrar las ACLs.Es de gran ayuda si se tiene mas de 99 ACLs sobre el mismo router. Si se quiere nombrar una ACL, el prompt cambia a: access-list y access-list-number. En el ejemplo, la ACL con nombre over_and est colocada en la interface--out
Lab-A(config)# ip access-list standard over_and Lab-A(config-std-nacl)#deny host 192.5.5.10 ......... Lab-A(config-if)#ip access-group over_and out
Home End
show access-lists
Muestra todas las access-lists configuradas en el router u show access-lists {name | number} Muestra la identificacin de casa lista u show ip interface Muestra las access list aplicadas en la interfaz. u show running-config Muestra todas las listas de acceso aplicadas sobre una interfaz
Home End
Prctica de enmascaramiento
u
Qu Mscara ip y wildcard para que todos los hosts de la red dada sean verificados?: 192.5.5.32 255.255.255.224
Si respondi 192.5.5.32 0.0.0.31 EST CORRECTO!! 0.0.0.31 es la imagen espejo de 255.255.255.224 En formato binario:
11111111.11111111.11111111.11100000 (255.255.255.224) 00000000.00000000.00000000.00011111 (0.0.0.31)
Para verificar si la mscara wildcard funciona, vea la direccin de hosts 192.5.5.55 de la subred .32
11000000.00000101.00000101.00110111 (192.5.5.55) host address 11000000.00000101.00000101.00100000 (192.5.5.32) ip mask 00000000.00000000.00000000.00011111 (0.0.0.31) wildcard mask
Home End
Prctica de enmascaramiento
u
Notar en el ejemplo anterior, los bits iguales estn de color azul. Estos bits son los que coinciden.
11000000.00000101.00000101.00110111 (192.5.5.55) host address 11000000.00000101.00000101.00100000 (192.5.5.32) ip mask 00000000.00000000.00000000.00011111 (0.0.0.31) wildcard mask
Recuerde que en la mscara wildcard un bit 0 ser verificado y un bits 1 ser ignorado. El 0 es la coincidencia entre la direccin del paquete (192.5.5.55) a filtrar y la mscara ip configurada en la ACL (192.5.5.32)
u
Escribir la mscara ip y la mscara wildcard para la subred 192.5.5.64 con una mscara de subred 255.255.255.192?
Respuesta: 192.5.5.64 0.0.0.63
Home End
Prctica de enmascaramiento
u
Escribir la mscara ip y la mscara wildcard para la subred 172.16.128.0 con mscara de subred 255.255.128.0?
Respuesta: 172.16.128.0 0.0.127.255
Escribir la mscara ip y la mscara wildcard para la subred 172.16.16.0 con mscara de subred 255.255.252.0?
Respuesta : 172.16.16.0 0.0.3.255
Escribir la mscara ip y la mscara wildcard para la subred 10.0.8.0 con mscara de subred 255.255.248.0?
Respuesta : 10.0.8.0 0.0.7.255
Home End
Enmascaramiento de un Rango de Hosts Se utiliza cuando se requiere negar o permitir una porcin de subred. u Para hacer una mscara de un rango de host de una subred, es necesario trabajar a nivel binario. u Por ejemplo, los estudiantes utilizan el rango 192.5.5.0 al 192.5.5.127 y los profesores de 192.5.5.128 al 192.5.5.255. Ambos grupos sobre la red 192.5.5.0 255.255.255.0 u Como se escribe las mscaras ip y wildcard para denegar un grupo y permitir el otro?
u
Home End
Home End
Examples: Host Ranges 192.5.5.1 to .127 and .128 to .255