Scribd
Cargar
38 vistas37 páginas

IPv4 ACL

Este documento explica qué son las ACL (Access Control Lists) o listas de control de acceso, cómo se definen y configuran en routers. Las ACL permiten filtrar el tráfico de red controlando qué paquetes se envían o bloquean en las interfaces del router.

Cargado por

josetumacho
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
38 vistas37 páginas

IPv4 ACL

Este documento explica qué son las ACL (Access Control Lists) o listas de control de acceso, cómo se definen y configuran en routers. Las ACL permiten filtrar el tráfico de red controlando qué paquetes se envían o bloquean en las interfaces del router.

Cargado por

josetumacho
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 37

ACCESS LIST

ACL

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 1


Que son las ACLs

• Condiciones aplicadas al trafico que viaja a través de la interfaz del


router.
• Indica al router que tipo de paquete acepta o rechaza basándose en
condiciones especificas.
• Permite la administración del trafico y asegura el acceso hacia y
desde una red.
• Se puede crear en todos los protocolos de red enrutados: IP, IPX …
• Se pueden configurar en el router para controlar el acceso a una red
o subred.

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 2


Definición de ACLs

• Las ACL se definen según el protocolo, la dirección o el puerto.


• Para controlar el flujo de tráfico en una interfaz:
• Se debe definir ACL para cada protocolo enrutado habilitado.
• Se necesita crear ACLs por separado para cada dirección del tráfico,
una para el trafico entrante y otra para el saliente.

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 3


Definición de ACLs

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 4


Definición de ACLs

• Estas listas le informan al router qué tipo de paquetes aceptar o


rechazar. La aceptación y rechazo se pueden basar en ciertas
condiciones específicas. Las ACL permiten la administración del
tráfico y aseguran el acceso hacia y desde una red.
• Es posible crear ACL en todos los protocolos de red enrutados, por
ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes
de internetwork (IPX). Las ACL se pueden configurar en el router para
controlar el acceso a una red o subred.
• Las ACL filtran el tráfico de red, controlando si los paquetes
enrutados se envían o se bloquean en las interfaces del router.

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 5


Definición de ACLs
• Una ACL es un grupo de sentencias que define cómo se
procesan los paquetes:
– Entran a las interfaces de entrada
– Se reenvían a través del router
– Salen de las interfaces de salida del router

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 6


Definición de ACLs
• Razones para crear ACLs:
- Limitar el tráfico de red y mejorar el rendimiento de la red. Al
restringir el tráfico de video.
- Brindar control de flujo de tráfico. Las ACL pueden restringir
el envío de las actualizaciones de enrutamiento.
- Proporcionar un nivel básico de seguridad para el acceso a la
red. Por ejemplo, las ACL pueden permitir que un host acceda a
una parte de la red y evitar que otro acceda a la misma área
- Se debe decidir qué tipos de tráfico se envían o bloquean en
las interfaces del router.
- Analizar ciertos hosts para permitir o denegar acceso a partes
de una red.
• Si las ACL no están configuradas en el router:
- Todos los paquetes que pasen a través del router tendrán
acceso a todas las partes de la red.

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 7


Definición de ACLs

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 8


Ejecución de las ACLs

• El orden de las sentencias de la ACL es importante


• Cuando el router está decidiendo si desea enviar o bloquear un
paquete, el IOS prueba el paquete, verificando si cumple o no cada
sentencia de condición, en el orden en que se crearon las sentencias
• Una vez que se verifica que existe una coincidencia, no se siguen
verificando otras sentencias de condición
• Para añadir sentencias en una ACL hay que eliminar la ACL completa
y volver a crearla con las nuevas sentencias de condiciones

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 9


Ejecución de las ACLs

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 10


Tipos de ACLs
• ACL Estándar (1-99)
• Permite autorizar o denegar el tráfico desde direcciones IP de origen. No importa
el destino del paquete ni los puestos involucrados.
access-list 10 permit 192.168.30.0 0.0.0.255
• Este ejemplo permite todo el trafico desde la red 192.168.30.0/24. Todo el otro
trafico se bloquea con esta ACL. Las ACL estándar se crean en el modo de
configuración global.
• ACL extendidas (100-199)
• Filtran los paquetes en función de varios atributos, por ejemplo: tipo de
protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP
de origen, puerto TCP o UDP de destino e información opcional de tipo de
protocolo para una mejor disparidad de control
access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
• La ACL permite el tráfico que se origina desde cualquier dirección en la red
192.168.30.0/24 hacia cualquier puerto 80 de host destino (HTTP). Las ACL
extendidas se crean en el modo de configuración global

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 11


Creación de las ACLs
• Desde el modo de configuración global: (config)#
• 2 tipos de ACL:
− ACL estándar → ACL del 1 al 99
− ACL extendida → ACL del 100 al 199
• Es importante seleccionar y ordenar lógicamente las ACL de forma
cuidadosa
• Se deben seleccionar los protocolos IP que se deben verificar; todos los
demás protocolos no se verifican
• Aplicar ACL a interfaces oportunos (tráfico entrante y saliente) → se
prefiere ACL para saliente (+ eficiente)
• Hay que asignar un número exclusivo para cada ACL:

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 12


Creación de las ACLs

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 13


ACLs estándar

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 14


Creación de ACLs Estándar

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 15


Creación de ACLs Estándar

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 16


Creación de ACLs Estándar

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 17


Creación de ACLs Estándar

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 18


Creación de ACLs Estándar

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 19


Bits de la máscara de wildcard

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 20


ACLs estándar. Ejemplos

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 21


ACLs estándar. Ejemplos (II)

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 22


ACLs extendidas
• Ofrecen una mayor cantidad de opciones de control que las ACLs
estándares, son más versátiles
• Verifican direcciones origen y destino de los paquetes, protocolos,
números de puerto y otros parámetros específicos
• Las ACLs extendidas usan un número dentro del intervalo del 100 al 199
• Al final de la sentencia de la ACL extendida, se puede especificar
opcionalmente el número de puerto de protocolo TCP o UDP para el que
se aplica la sentencia:
- 20 y 21: datos y programa FTP
- 23: Telnet
- 25: SMTP
- 53: DNS
- 69: TFTP

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 23


ACLs extendidas

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 24


ACLs extendidas. Ejemplos

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 25


ACLs extendidas. Ejemplos (II)

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 26


ACLs nombradas

• Permiten que las ACL IP estándar y extendidas se identifiquen con


una cadena alfanumérica (nombre) en lugar de la representación
numérica actual (1 a 199)
• Se usan si:
– Se desea identificar intuitivamente las ACL utilizando un nombre
alfanumérico
– Existen más de 99 ACL simples y 100 extendidas que se deben
configurar en un router para un protocolo determinado
• Tener en cuenta que:
- No son compatibles con
versiones < 11.2 del IOS
- No se puede usar el mismo
nombre en varias ACLs

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 27


ACLs nombradas

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 28


ACLs y protocolos
• ACLs pueden controlar la mayoría de los protocolos en un router Cisco
• El protocolo al que tiene que aplicarse la ACL se indica como un número en el
intervalo de números de protocolo
• Sólo se puede especificar una ACL por protocolo y por trafico en interfaz
• Para algunos protocolos, se pueden agrupar hasta 2 ACL a una interfaz (entrante
y saliente). Con otros protocolos, se agrupa sólo 1 ACL
• Si ACL es entrante, se comprueba al recibir el paquete
• Si ACL es saliente, se comprueba después de recibir y enrutar un paquete a la
interfaz saliente
• Nombrar o numerar un protocolo IP:
– usando las palabras reservadas: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos,
ospf, tcp, o udp, o bien
– con un nº entero (0 a 255) , que representa un nº de protocolo IP
– la palabra reservada ip indica cualquier protocolo Internet
– los protocolos y sus números correspondientes se enumeran en RFC 1700,
juntoOct2015-Feb2016
Semestre con los números de puerto Ing Carlos Vásquez 29
Ubicación de las ACLs

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 30


Verificación de las ACLs. Comandos

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 31


Acceso a Terminales Virtuales

• ACLs extendidas y estándar se aplican a paquetes que viajan a través


de un router.
• No diseñadas para bloquear paquetes que se originan dentro del
router.
• Una lista de acceso extendida Telnet saliente, por defecto no impide
las sesiones Telnet iniciadas por el router.

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 32


Acceso a Terminales Virtuales

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 33


Ejercicios
• Escriba los comandos que aplican la ACL del diagrama

Router2(config)# interface ethernet 0


Router2(config-if)# ip access-group 10 out

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 34


Ejercicios

Qué hace la siguiente lista de acceso?.


access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21
access-list 111 permit tcp any any

¿Escriba los comandos que colocan esta ACL en la ubicación correcta?


Router2(config)# interface fa0/0
Router2(config-if)# ip access-group 111 in

Semestre Oct2015-Feb2016 Ing Carlos Vásquez 35


Ejercicios

Cree una lista de acceso para permitir todo el tráfico de la red


192.168.14.0 a la red 192.168.17.0
Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255
192.168.17.0 0.0.0.255
Router1(config)# interface FastEthernet0
Router1(config-if)# ip access-group 101 in
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 36
Ejercicios
Cree una lista de acceso
para denegar sólo el tráfico
de correo electrónico, ping y
TFTP que vaya de la red
192.168.16.0 al host
192.168.17.5

Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255


192.168.17.5 0.0.0.0 eq 25
Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255
192.168.17.5 0.0.0.0
Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255
192.168.17.5 0.0.0.0 eq 69
Router2(config)# access-list 111 permit ip any any
Router2(config)# interface FastEthernet0
Router2(config-if)# ip access-group 111 in
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 37

También podría gustarte