Blog

Se autoriza la reproducción de los materiales de este blog, citando la fuente e incluyendo un enlace al mismo.

Categorías

Calendario

<<   Junio 2017    
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30   

Apúntate

Principios Básicos de Networking

todo lo que siempre quisiste saber y nunca supiste dónde encontrar ... ¡Y en castellano!! :)

Este Blog está destinado a mantener actualizados los materiales e información publicados en los libros de networking de Oscar Gerometta. Estás invitado a suscribirte y participar con tus comentarios.

Listas de Acceso

Todo lo que no entendiste sobre ACL.... y vas a seguir sin entender :)

10 preguntas sobre ACL

23 de Noviembre, 2005, 8:31

Por @ 23 de Noviembre, 2005, 8:31 en Listas de Acceso

Acá van algunas preguntas sobre el tema ACL, para que puedan practicar un poco... Como siempre, discutamos las respuestas utilizando la función de Comentario al artículo.

1. ¿Cuál de los siguientes es un ejemplo de listas de acceso IP estándar?

  1. access-list 125 permit host 10.10.10.10
  2. access-list 5 deny 172.16.15.2 0.0.0.0
  3. access-list 10 permit 172.16.15.2 255.255.0.0
  4. access-list standard 10.10.10.10

2. Se le ha requerido crear una lista de acceso que evite el paso de los nodos que se encuentran en el rango de direcciones comprendido entre 192.168.160.0 y 192.168.191.0. ¿Cuál de las sentencias que se muestran a continuación deberá utilizar?

  1. access-list 20 deny 192.168.160.0 255.255.224.0
  2. access-list 20 deny 192.168.160.0 0.0.191.255
  3. access-list 20 deny 192.168.160.0 0.0.31.255
  4. access-list 20 deny 192.168.0.0 0.0.31.255

3. Usted ha creado una lista de acceso llamada "ventas". ¿Cuál de los siguientes comandos le permitirá aplicar esa lista para filtrar el tráfico entrante en la interfaz serial 0 de su router?

  1. (config)#ip access-group 100 in
  2. (config-if)#ip access-group 100 in
  3. (config-if)#ip access-group ventas in
  4. (config-if)#ventas ip access-list in

4. ¿Cuál de los siguientes es un modo válido de referir solamente el nodo 172.16.15.95 en una lista de acceso IP extendida? (elija)

  1. 172.16.15.95 0.0.0.255
  2. 172.16.15.95 0.0.0.0
  3. any 172.16.15.95
  4. host 172.16.15.95
  5. 0.0.0.0 172.16.15.95
  6. 172.16.15.95
  7. ip any 172.16.15.95

5. ¿Cuál de las siguientes sentencias de ACL permitirá solamente el tráfico http que ingresa a la red 196.15.7.0?

  1. access-list 110 permit tcp any 192.168.7.0 0.0.0.255 eq www
  2. access-list 15 deny tcp any 192.16.7.0 0.0.0.255 eq www
  3. access-list 110 permit 196.15.7.0 0.0.0.255 eq www
  4. access-list 110 permit ip any 192.168.7.0 0.0.0.255 eq www
  5. access-list 110 permit www any 192.168.7.0 0.0.0.255

6. ¿Qué comando de Cisco IOS le permitirá determinar si una lista de acceso ip está operativa sobre una interfaz en particular?

  1. show ip port
  2. show access-lists
  3. show ip interface
  4. show access-lists interface

7. ¿Qué comando de Cisco IOS le permite visualizar el contenido completo de todas las listas de acceso configuradas?

  1. Router#show interfaces
  2. Router>show ip interface
  3. Router#show access-lists
  4. Router>show all access-lists

8. Si usted debe denegar toda conexión telnet dirigida a la red 192.168.1.0. ¿Cuál de los siguientes comandos deberá utilizar?

  1. access-list 120 deny tcp 192.168.1.0 255.255.255.0 any eq telnet
  2. access-list 120 deny tcp 192.168.1.0 255.255.255.255 any eq telnet
  3. access-list 120 deny tcp any 192.168.1.0 0.0.0.255 eq 23
  4. access-list 120 deny 192.168.1.0 0.0.0.255 eq 23

9. Si usted debe denegar el acceso por ftp desde la red 200.42.15.0 a la red 200.199.11.0, y permitir todo lo demás, ¿Cuál de los siguientes conjuntos de comandos es el válido?

  1. access-list 100 deny network 200.42.15.0 to network 200.199.11.0 eq ftp
    access-list 110 permit ip any any
  2. access-list 1 deny tcp 200.42.15.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
  3. access-list 100 deny tcp 200.42.15.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
  4. access-list 100 deny tcp 200.42.15.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp
    access-list 100 permit ip any 0.0.0.0 255.255.255.255

10. Usted debe crear una lista de acceso estándar que deniegue solamente la subred en la que se encuentra el nodo 172.16.50.92/20. ¿Cuál de las siguientes sentencias deberá estar presente en su lista de acceso?

  1. access-list 1 deny host 172.16.50.92
  2. access-list 2 deny 172.16.50.80 0.0.0.15
  3. access-list 3 deny 172.16.0.0 0.0.255.255
  4. access-list 4 deny 172.16.16.0 0.0.31.255
  5. access-list 5 deny 172.16.48.0 0.0.31.255
  6. access-list 5 deny 172.16.48.0 0.0.15.255

Ingresá tus respuestas, dudas o comentarios a estas preguntas
en forma de comentario en el blog.

Oscar Gerometta

Tips de configuración para Listas de Acceso

13 de Noviembre, 2005, 5:13

Por @ 13 de Noviembre, 2005, 5:13 en Listas de Acceso

  • Organice su lista de acceso de modo que los criterios más específicos estén al comienzo de la misma, y luego las premisas más generales.
  • Coloque primero los permisos y luego las denegaciones.
  • Toda lista debe incluir al menos un comando permit.
  • Las listas no filtran el tráfico originado en el router.
  • Una misma lista de acceso puede ser asignada a varias interfaces en el mismo dispositivo, tanto en modo entrante como saliente.
  • Las listas de acceso estándar deben colocarse lo más cerca posible del destino del tráfico.
  • Las listas de acceso extendidas deben colocarse lo más cerca posible del origen del tráfico que será denegado.
  • Antes de comenzar a trabajar sobre una lista de acceso existente, desvincúlela de todas las interfases a las que se encuentre asociada.
  • Hasta hace un tiempo no era posible remover una única línea de una lista de acceso numerada (ya que de suyo no son editables). En este aspecto, es una buena práctica -para mantener un proceso de edición más simple-, recurrir al uso de un editor de texto. 

¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle. Muchas gracias.

Oscar Gerometta

Edición de listas de acceso numeradas

22 de Septiembre, 2005, 10:27

Por @ 22 de Septiembre, 2005, 10:27 en Listas de Acceso

Hasta hace un tiempo no era posible remover una única línea de una lista de acceso numerada (ya que de suyo no son editables). En este aspecto, es una buena práctica -para mantener un proceso de edición más simple-, recurrir al uso de un editor de texto.

Sin embargo, se puede tratar una lista de acceso numerada como si fuera nombrada para poder eliminar y agregar sentencias. Un ejemplo:

router(config)# ip access-list extended 101

router(config-std-nacl)# permit ip any any

router(config-std-nacl)# no permit 172.16.1.1

De esta manera se agrega una sentencia permit any any en la lista de acceso 110, y se retira la sentencia permit 172.16.1.1, como si se tratara de una lista de acceso nombrada.

Cuando realice este tipo de operaciones en dispositivos que se encuentran en producción, agregue primero las nuevas sentencias y luego retire las antiguas, de modo de evitar una brecha de seguridad transitoria

Oscar Gerometta

Blog alojado en ZoomBlog.com