acl imprares.docx

martes, 14 de septiembre de 2010 EJERCICIO DE ACL ESTANDAR EL ACL (LISTA DE ACCESO) PERMITE DAR SEGURIDAD DENEGANDO O P

Views 370 Downloads 4 File size 307KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Acl
Acl

FUNDAMENTOS DE LAS LISTAS DE CONTROL DE ACCESO Principales razones para crear las ACL Se tienen varias razones, entre la

488 1 134KB Read more

Proves Acl
Proves Acl

NOM: _________________________________ DATA: ______________ __________________________________________________________

67 0 536KB Read more

Acl 1
Acl 1

90 0 108KB Read more

Acl Manuales
Acl Manuales

62 0 2MB Read more

Informe Acl
Informe Acl

44 1 316KB Read more

Informe ACL
Informe ACL

81 3 3MB Read more

ACL Proves
ACL Proves

0 0 1MB Read more

ACL TOP.pdf
ACL TOP.pdf

ACL-TOP Service Manual October, 2006 PN 28166900 Rev 03 IL, ACL-TOP, and ACL-TOP CTS are a trademark of Instrumentat

48 0 44MB Read more

Practica Acl
Practica Acl

23 3 5MB Read more

Examen ACL
Examen ACL

9 1 2MB Read more

Citation preview

martes, 14 de septiembre de 2010 EJERCICIO DE ACL ESTANDAR

EL ACL (LISTA DE ACCESO) PERMITE DAR SEGURIDAD DENEGANDO O PERMITIENDO ACCESO DE DIRECCIONES IP DESDE UN ORIGEN. ES UN TIPO DE SEGURIDAD QUE NOS BRINDA LA CONFIGURACION DEL ROUTER.

CONFIGURACION DE ACL PARA PERMITIR 21 IP PARES

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 10 permit 172.16.8.0 0.0.0.14 Router(config)#access-list 10 permit 172.16.8.16 0.0.0.6 Router(config)#access-list 10 permit 172.16.8.22 0.0.0.0 Router(config)#access-list 10 deny any Router(config)#interface fastEthernet 0/0

Router(config-if)#ip access-group 10 in

TABLA DE ACCESS LIST

Router#show ip access-lists Standard IP access list 10 permit 172.16.8.0 0.0.0.14 permit 172.16.8.16 0.0.0.6 permit host 172.16.8.22 deny any

CONFIGURACION DE ACL PARA DENEGAR 55 IP IMPARES

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 10 deny 172.16.5.1 0.0.0.30 Router(config)#access-list 10 deny 172.16.5.33 0.0.0.14 Router(config)#access-list 10 deny 172.16.5.49 0.0.0.6 Router(config)#access-list 10 permit any Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 10 in

TABLA DE ACCESS LIST

Router#SH ACcess-lists Standard IP access list 10 deny 172.16.5.1 0.0.0.30 deny 172.16.5.33 0.0.0.14 deny 172.16.5.49 0.0.0.6 permit any

Publicado por Ric

DEFINICION DE MASCARA WILDCARD Una mascara Wildcard no es una mascara de red. Eso es algo muy importante a tener en cuenta. Las cos tienen 32 bits de longitud. Veamos las diferencias en la siguiente tabla. Bit Value Subnet Mask Wildcard Mask Valor del bit Mascara de subred Mascara Wildcard 0 Componente del host Se usa 1 Componente de red Se ignora

Cuando una Wildcard encuentra un 0 significa que SI debe de mirar el bit de la dirección IP del paquete en cuestión. Cuando una Wildcard encuentra un 1 significa que NO debe de mirar el bit de la dirección IP del paquete en cuestión. Osea, que la mascara Wildcard y la IP del paquete se usan conjuntamente indicando al router la porción de dirección IP y que bits que se deben de usar. Pongamos un ejemplo práctico. Supongamos que una mascara de red 255.255.0.0, que en bits se convierte en 11111111.11111111.0000000.00000000. Supongamos que queremos definir un acceso o limitación a esa mascara de subred. Entonces debemos de invertir los 1 con 0 y los 0 con 1 y tendremos la máscara Wildcard a usar que seria 00000000.00000000.11111111.11111111, osea 0.0.255.255. En este ejemplo decimos que los bits que en la mascara están a 0 se deben de procesar, osea que se debe de procesar los bits que corresponden a los hosts. Pongamos otro ejemplo más complicadillo. Supongamos que queremos usar una mascara de red 255.255.240.0 en binario 11111111.11111111.11110000.00000000.

La máscara Wildcard sería 00000000.00000000.00001111.11111111 que se convertiría a 0.0.15.255. MASCARAS WILDCARD ESPECIALES 0.0.0.0 255.255.255.255 La máscara 0.0.0.0 le dice al router que tiene que encontrar la IP exactamente igual la que se define en la mascara Wildcard. Un ejemplo sería esta: 192.168.1.1 0.0.0.0. En este caso decimos que el router debe de encontrar exactamente la IP 192.168.1.1 en el paquete. En el caso de que así sea, se procesa la ACL, en caso contrario, se va a la siguiente línea de la lista de accesos. Si introducimos esta línea en la configuración del router, el router transformara 192.168.1.1 0.0.0.0 en host. El caso de 255.255.255.255 es exactamente lo contrario. Esto le dice al router que todas las direcciones serán encontradas, osa que todas las direcciones serán validas para procesar con la ACL. Si definiéramos 192.168.1.1 255.255.255.255, el router lo tomaría como todas las direcciones, no solamente la 192.168.1.1. Al introducir este comando, el router lo transforma a any. RESTRICCION DE ACCESO A UN ROUTER POR TELNET De la misma manera que se restringen los accesoso aa un destino o de un origen, se puede restringir el acceso por telnet a un router. esto es muy util para asegurarse de que solo los administradores de este ruter pueden establecer la conexion, y no otros. Primero se debe de hacer una lista correspondiente a los adminsitradores que SI pueden acceder a este router via TELNET, incluyendo la IP que el administrador va a usar. Luego no debemos activar esta ACL en un interface, porque en ese caso, elmimnaría todo el tráfico que no fuera procedente de los adminsitradores. Veamos como lo hacemos.

Cada puerto telnet recibe el nombre de terminal virtual (VTY). line vty 0 4 login password prueba. En este ejemplo se configuran 5 puertos virtuales del 0 al 4 y todos con la misma password "prueba". Se puede restringir el acceso por telnet definiendo una lista. La listas se definen con el siguente esquema: >>> access-list [numero] [permit/deny] IP mascara Ejemplo: access-list 12 permit 192.85.55.0 0.0.0.255 line vty 0 4 access-class 12 in En este caso se permite el acceso a los puertos vty solo desde las maquinas de la red 192.85.55.0. Fíjese que el aceso por Telnet a un router se puede restringir tambien mediante las ACL extendidas, pero hay varios motivos para no hacerlo: 1-La ACL es mas complicada. 2-Si se limita el acceso a telnet, se limitará el acceso a telnet a otro router remoto. 3-Si agregamos una ACL a un rouer,este sufre un gasto en recursos que puede ser evitado EJEMPLOS DE ACL ESTANDARES Vamos a crear y a activar una ACL estándar Router(config)# access-list 1 permit 192.168.1.1 Router(config)# access-list 1 deny 192.168.1.2 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 deny any Router(config)# interface serial 0

Router(config-if)# ip access-group 1 in En la primera instrucción decimos que queremos permitir el paso a la IP 192.168.1.1. Recordemos que al no poner wildmask, esta se convierte en 0.0.0.0, osea que corresponda exactamente la IP que se define. Si esta IP no corresponde con el paquete a tratar, entonces saltamos a la segunda instrucción que nos dice que deniega el paso a la IP 192.168.1.2. En el caso de que tampoco corresponda, seguimos a la tercera instrucción que nos dice que se permite el paso a cualquier PC de la red 192.168.1.0. El cuarto paso nos dice que se niega el acceso a el resto de direcciones. Luego entramos al interface serie 1 y activamos la ACL en modo entrada. Como vemos, primero damos paso a una IP en concreto, luego negamos otra y luego permitimos a todas. Podríamos hacer lo mismo con estas únicas instrucciones Router (config) # access-list 1 deny 192.168.1.2 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# interface serial 0 Router(config-if)# ip access-group 1 in De esta manera hemos reducido el número de instrucciones que debe de procesar el router. Veamos otro ejemplo: Router(config)# access-list 2 deny 192.168.1.0 Router(config)# access-list 2 deny 172.16.0.0 Router(config)# access-list 2 permit 192.168.1.1 Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255 Router(config)# interface ethernet 0

Router(config-if)# ip access-group 1 out A ver si puedes ver los errores que contiene. La primera y segunda instrucción son direcciones que definen una red. Además, al no tener una mascara Wildcard, significa que el paquete a denegar el paso debe de corresponder exactamente con la IP dada. Eso no se dará nunca. Las instrucción 3 y 4 están muy bien. La configuración anterior debería de ser así Router(config)# access-list 2 deny 192.168.1.0 0.0.0.255 Router(config)# access-list 2 deny 172.16.0.0 0.0.255.255 Router (config) # access-list 2 permit 192.168.1.1 Router (config) # access-list 2 permit 0.0.0.0 255.255.255.255 Router (config) # interface ethernet 0 Router(config-if)# ip access-group 1 out Con estas instrucciones limitamos el paso al tráfico que va a la red 192.168.1.1, a los que van a la red 172.16.0.0 y permite la salida a 192.168.1.1. Me refiero a salir porque luego se define en el interface ethernet 0 la opción out. Pero, aun existe otro problema. A ver si lo ves. Se ejecutara alguita vez el tercer comando? No porque cuando un paquete vaya a a salir a esa dirección será limitado por el primer comando. Así pues el orden debe de cambiar siendo este el correcto. Router(config)# access-list 2 permit 192.168.1.1 Router(config)# access-list 2 deny 192.168.1.0 0.0.0.255 Router(config)# access-list 2 deny 172.16.0.0 0.0.255.255

Router(config)# access-list 2 permit any Router(config)# interface ethernet 0 Router(config-if)# ip access-group 1 out Y aun más, existe otro error. Cuando activamos la ACL en el interface nos referimos a la ACL 1 cuando en realidad la ACL configurar es la ACL 1. Para corregir este error debemos de hacer lo siguiente: Router(config)# interface ethernet 0 Router(config-if)# no ip access-group 1 out Router(config-if)# ip access-group 2 out Primero desactivamos la ACL errónea y luego activamos la correcta.