Please enable JavaScript.
Coggle requires JavaScript to display documents.
Control de Accesos, Lista de control de acceso - Coggle Diagram
Control de Accesos
Métodos de Autenticación
Contraseña y tokens
Protocolos
RADIUS
TACACS+
Kerberos
Biometría
MFA( Autenticación Multifactor)
Modelos Principales
DAC: Control discrecional del propietario
MAC: Control basado en roles del usuario
RBAC: Basado en roles del usuario
ABAC: Basado en múltiples atributos
Tipos de controles de accesso
Físicos
Cercas
Tarjetas de acceso
Guardias
Lógicos
Contraseñas
Cifrados
Firewalls
Biometría
Administrativos
Políticas
Capacitación
Verificaciones de antecedentes
AAA (Marco central)
Autenticación
Verificar identidad
Contraseñas
Tokens
Huellas
Autorización
Definir permisos de acceso
Contabilidad
Registrar
Auditar actividades
Gestión de cuentas
Tipos
Usuario
Servicio
Invitado
Privilegiado
Buenas practicas
Mínimo privilegio
Políticas de contraseñas
Permisos
Lectura
Escritura
Ejecución
Control total
Conceptos clave
Cero confianza
"Nunca confíes, siempre verifica"
NAC: Control de acceso a la red
Funciones Hash: Para integridad y autenticación
Lista de control de acceso
ACL
Configuración de ACL
Crear una ACL nivel global y aplicar
Última declaración tiene que ser un "deny any" o "deny ip any any"
El orden es importante
Filtrar de lo más específico a lo más genérico.
Solo permite una ACL por interfaz, protocolo y dirección
Las declaraciones nuevas para una ACL existencia se agregan al final de la ACL
Los paquetes generados por el router no son filtrados por los ACL
Las ACL estándar se colocan lo más cerca posible del destino
Las ACL extendidas se colocan lo más cerca posible del origen
Aplicar
Comando: ip access-group {acl-# | name} {in | out}
Comando: ip access-class {acl-# | name} {in | out}
Ubicar
Cada ACL debe colocarse donde sea más eficiente.
Extendidas. Deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar
Estándar. Deben aplicarse lo más cerca posible del destino
Factores que influyen del LCA
Grado de control de organización
Ancho de banda de las redes implicadas
Facilidad de configuración
Mitigar ataques con ACL
Mitigar los ataques de suplantación de identidad
Suplantación de direcciones IP
Anula el proceso normal de creación de paquetes mediante la inserción de un encabezado IP personalizado con una dirección IP de origen diferente.
Ataques de denegación de servicio (DoS)
Paquetes que no se deben aceptar
Todas las direcciones con ceros
Direcciones de broadcasr
Direcciones de host local
Direcciones IP privadas automáticas
Direcciones privadas reservadas
Permitir el tráfico necesario a través de un firewall
Tipos de tráfico permitido
DNS. Sistema de Nombre de Dominio
SMTP. Protocolo Simple de Transferencia de Correo
FTP. Protocolo de Transferencia de Archivos
SSH. Secure Shell
SNMP. Protocolo Simple de Administración de Redes
Mitigar ataques de ICMP
El router debe bloquear los mensajes entrantes de eco y redireccionamiento de ICMP
Mensajes recomendados internos de la red
Echo reply
Fuente quench
Unreachable
Mensajes recomendados externos de la red
Echo
Parámetro problem
Packet too big
Fuente quench
Mitigar ataques SNMP
Formas
Aplicando ACLs de interfaz para filtar los paquetes SNMP de los sistemas no autorizados
Un exploit todavía puede ser posible si el paquete SNMP proviene de una dirección que ha sido falsificada y está permitida por el ACL
Prevención de explotación es deshabilitar el servidor SNMP en los dispositivos IOS para los que no es necesario
Sintaxis de ACL con nombre estándar IPv4
Dos métodos para modificar una ACL
ACLs pueden necesitar cambios por errores o ajustes.
Métodos disponibles:
Usar editor de texto.
Usar números de secuencia.
Método del editor de texto
Recomendado para ACL con varias ACE.
Ventajas:
Planificación previa.
Correcciones fáciles.
Pasos para corregir:
Copiar ACL en editor.
Modificar ACE incorrecta.
Eliminar ACL anterior en el router.
Pegar la ACL corregida.
Método del número de secuencia
Cada ACE recibe un número automático.
Se visualiza con show access-lists (no en running-config).
Proceso:
Entrar a ip access-list standard.
Borrar ACE con no <número>.
Volver a crear ACE correcta con el mismo número.
Verificar con show access-lists.
ACL de IPv6
Descripción general
Transición IPv4 → IPv6 → vulnerabilidades
RA falsos, túneles Teredo, pivoting interno
Entornos de doble pila (IPv4 + IPv6)
Actores de amenaza → explotan confianza
Mitigación: usar ACL IPv6 como filtrado en perímetro
Sintaxis de ACL IPv6
Diferencias:
Todas deben tener nombre
No existen ACL estándar
Permite filtrar:
Origen/destino
Cabeceras IPv6
Protocolos de capa superior
Similar a ACL extendidas IPv4
Comandos:
ipv6 access-list <nombre>
deny | permit protocolo {origen} {destino} [opciones]
ipv6 traffic-filter <nombre> in | out
Configurar ACL IPv6
deny ipv6 any any implícito
Reglas implícitas de NDP:
NS (Neighbor Solicitation)
NA (Neighbor Advertisement)