Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ACLs Avanzadas
Packet-filtering firewall
Stateful firewall
ACLs
Virtualmente
cualquier tipo de trafico puede ser definido explcitamente usando una ACL numerada apropiadamente.
1-99 , 1300-1999 100-199 , 2000-2699
Nota:
Puede ser aplicadas a una interface en direccin entrante o saliendo con el comando ip access-group.
En la VTY se implementa con el comando access-class.
R1(config)# ip access-list standard RESTRICT-VTY R1(config-std-nacl)# remark Permit only Admin host R1(config-std-nacl)# permit host 192.168.1.10 R1(config-std-nacl)# exit R1(config)# line vty 0 4 R1(config-line)# access-class RESTRICT-VTY R1(config-line)# exit
en la interface Fa0/0, para denegar el trafico saliente del servidor workgroup pero que permita el trafico restante de los usuarios de la LAN haciendo uso de la palabra clave established .
R1(config)# ip access-list extended ACL-1 R1(config-ext-nacl)# remark LAN ACL R1(config-ext-nacl)# deny ip host 192.168.1.6 any R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any established R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface Fa0/0 R1(config-if)# ip access-group ACL-1 in R1(config-if)# exit
la interface DMZ Fa0/1, permitiendo el acceso especificamente a los servidores Web y Email.
R1(config)# ip access-list extended ACL-2 R1(config-ext-nacl)# remark DMZ ACL R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25 R1(config-ext-nacl)# permit tcp any host 192.168.2.6 eq 80 R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# interface Fa0/1 R1(config-if)# ip access-group ACL-2 out R1(config-if)# exit
10
11
12
13
aade al final. Sin los nmeros de secuencia la nica forma de aadir una declaracin entre las entradas existentes consiste en borrar la ACL, editarla y volver a crearla.
Las ACL IP con nmeros de secuencia permite agregar o eliminar
comando:
extended}
access-
14
show access-list
Por defecto los nmeros de secuencia comienzan en 10 y se
15
sentencia.
R1(config)# ip access-list extended 150 R1(config-ext-nacl)# no 20
16
Localizacin de la ACL
17
18
19
20
21
22
23
24
25
26
27
28
ACLs Complejas
29
soluciones para el filtrado de trfico basado en la conectividad de dos vas de TCP son:
30
31
32
R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established R1(config)# access-list 100 deny ip any any R1(config)# interface s0/0/0 R1(config-if)# ip access-group 100 in
33
bits ACK y RST, el filtro de ACLs reflexivas en direccin de origen de destino o nmeros de puerto.
Adems, el filtrado de sesin utiliza filtros temporales que se
eliminan cuando una sesin culmina aadiendo un lmite de tiempo si se esta en oportunidad de un ataque.
34
permitir el trfico IP de las sesiones procedentes de su red al tiempo que niega el trfico IP de las sesiones que se originan fuera de la red.
El router examina el trfico de salida y cuando ve una nueva
conexin, se agrega una entrada en una ACL temporal para permitir las respuestas hacia adentro
35
Paso 1.
Crear una ACL interna que busca nuevas sesiones salientes y crea ACL reflexivas temporales.
Paso 2.
Crear una ACL externa que utiliza las ACLs reflexivas para examinar el trfico de retorno.
Paso 3.
Activar la ACL nombrada en la Interface apropiada.
36
Crear
una ACL reflexiva que permita a los usuarios internos que navegan a Internet con un navegador web y confiando en DNS con un tiempo de espera de 10 segundos.
R1(config)# ip access-list extended INTERNAL_ACL R1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10 R1(config-ext-nacl)# exit R1(config)# ip access-list extended EXTERNAL_ACL R1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACL R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface s0/0/0 R1(config-if)# ip access-group INTERNAL_ACL out R1(config-if)# ip access-group EXTERNAL_ACL in
37
Las ACLs dinmicas son tambin llamadas las ACL de cerradura. Las ACLs dinmicas autentican al usuario y permite un acceso
limitado a travs de su router firewall para un host o subred por un perodo determinado.
ACL dinmicas son dependientes de:
Telnet conectividad Autenticacin (local o remota) ACL extendidas.
38
39
40
usuarios remotos acceden a un host dentro de la red, conectndose desde sus equipos remotos a travs de Internet.
Cuando se desea que un subconjunto de hosts en una red local
accedan a un host en una red remota que est protegida por un firewall.
41
R3(config)# username Student password cisco R3(config)# access-list 101 permit tcp any host 10.2.2.2 eq telnet R3(config)# access-list 101 dynamic TESTLIST timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255 R3(config)# interface s0/0/1 R3(config-if)# ip access-group 101 in R3(config-if)# exit R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)# autocommand access-enable host timeout 15
42
43
1.
Crear un rango de tiempo que define momentos especficos del da y de la semana. Identificar el rango de tiempo con un nombre y a continuacin se refiere a ella por una funcin. Las restricciones de tiempo se imponen a la propia funcin.
2.
3.
44
acceder a Internet durante horas de oficina, excepto durante el almuerzo y despus de las horas entre las 5 P.M. y las 7 P.M.
R1(config)# time-range EMPLOYEE-TIME R1(config-time-range)# periodic weekdays 12:00 to 13:00 R1(config-time-range)# periodic weekdays 17:00 to 19:00 R1(config-time-range)# exit R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range EMPLOYEE-TIME R1(config)# access-list 100 deny ip any any R1(config)# interface FastEthernet 0/1 R1(config-if)# ip access-group 100 in R1(config-if)# exit
45
46
47
48
49
50
amenazas de la red:
Falsificacin de direcciones IP, entrante o salientes Ataques de DoS TCP SYN Ataques de smurf DoS
51
Inbound on S0/0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list access-list access-list 150 150 150 150 150 150 150 deny deny deny deny deny deny deny ip ip ip ip ip ip ip 0.0.0.0 0.255.255.255 any 10.0.0.0 0.255.255.255 any 127.0.0.0 0.255.255.255 any 172.16.0.0 0.15.255.255 any 192.168.0.0 0.0.255.255 any 224.0.0.0 15.255.255.255 any host 255.255.255.255 any
52
salientes con una direccin de origen distinto a una direccin IP vlida de la red interna.
Inbound on Fa0/1
R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any
53
Outbound on Fa0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list access-list access-list 180 180 180 180 180 180 180 permit permit permit permit permit permit permit udp tcp tcp tcp tcp udp udp any host 192.168.20.2 eq domain any host 192.168.20.2 eq smtp any host 192.168.20.2 eq ftp host 200.5.5.5 host 192.168.20.2 host 200.5.5.5 host 192.168.20.2 host 200.5.5.5 host 192.168.20.2 host 200.5.5.5 host 192.168.20.2
eq eq eq eq
54
ataques de DoS, el uso de mensajes de redireccin ICMP para modificar las tablas de enrutamiento de host.
Tanto el eco de ICMP y redireccin de los mensajes deben ser bloqueados de forma entrante por el router.
55
Echo reply - permite a los usuarios internos hacer ping a los hosts externos. Source quench - Pide al remitente disminuir la tasa de trfico. Unreachable - Mensajes inalcanzables se generan para los paquetes que son denegados por una ACL.
Inbound on S0/0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list 150 150 150 150 150 permit icmp any any echo-reply permit icmp any any source-quench permit icmp any any unreachable deny icmp any any permit ip any any
56
Echo permite a los usuarios hacer ping a los hosts externos. Parameter problem Informa al host de problemas de encabezado. Packet too big Requerido por el paquete de descubrimiento de MTU. Source quench - Acelera el trfico cuando sea necesario.
Inbound on Fa0/0
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# access-list access-list access-list access-list access-list access-list 105 105 105 105 105 105 permit icmp 192.168.1.0 permit icmp 192.168.1.0 permit icmp 192.168.1.0 permit icmp 192.168.1.0 deny icmp any any permit ip any any 0.0.0.255 0.0.0.255 0.0.0.255 0.0.0.255 any any any any echo parameter-problem packet-too-big source-quench
57
ACLs IPv6
58
59
permit icmp any any nd-na permit icmp any any nd-ns
Al igual que con las ACLs IPv4, todas las ACL IPV6 incluyen una
60
Object Groups
61
protocolo en grupos.
Estos grupos se pueden utilizar para crear polticas de control de
objetos.
62
configurar una declaracin de permiso para cada servidor, para cada protocolo:
R1(config)# ip access-list extended R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any R1(config-ext-nacl)# permit tcp any In host host host host host host host host host 10.10.10.1 10.10.10.1 10.10.10.1 10.10.10.2 10.10.10.2 10.10.10.2 10.10.10.3 10.10.10.3 10.10.10.3 eq eq eq eq eq eq eq eq eq smtp www https smtp www https smtp www https
63