ACL STANDAR y extend

8/7/2019 ACL STANDAR y extend

1/42

Listas de Control de

Acceso(ACL)


2/42

Qu son las ACL

ACLs: Condiciones aplicadas al trfico que viaja a travs

de la interfaz del router.

Indican al router qu tipo de paquetes aceptar o

rechazar basndose en condiciones especficas. Permiten la administracin del trfico y aseguran el

acceso hacia y desde una red.

Se puede crear en todos los protocolos de redenrutados: IP, IPX ...

Se pueden configurar en el router para controlar elacceso a una red o subred.


3/42

Qu son las ACL

Las ACL se definen segn el protocolo, la

direccin o el puerto.

Para controlar el flujo de trfico en una interfaz: Se debe definir ACL para cada protocolo enrutado

habilitado

Se necesita crear ACLs por separado para cada

direccin del trfico, una para el trfico entrante yotra para el saliente.


4/42

Qu son las ACL

Razones para crear ACLs: Limitar el trfico de red y mejorar el rendimiento de la

red: Por ejemplo, restriccin de video

Brindar control de flujo de trfico. P.e: restringir el envode actualizaciones de enrutamiento.

Proporcionar nivel bsico de seguridad para el acceso ala red.

Si ACL no estn configuradas en el router: Todos los paquetes tendrn acceso a todas las partes de

la red.


5/42

Funcionamiento de las ACL

siguiente


6/42

Tipos de ACLs


7/42

Tipos de ACLs


8/42

ACL Estndar Verifican direccin origen de los paquetes IP.

Permiten o rechazan el acceso a todo un conjuntode protocolos, segn las direcciones de red, subred ohost origen

Las ACL estndar no especifican las direccionesdestino, de modo que se deben colocar lo ms cercaposible del destino.


9/42

Creacin de ACLs Estndar

1. Ingresar al modo de configuracin global.

Router(config)#

2. Decidir nmero de la ACL que identifique que esestndar (1-99 o 1300-1999)

3. Ingresar sentencias de ACL utilizando comandoaccess-list, con los parmetros necesarios.

Router(config)#access-list nmero-lista {deny | permit |remark} direccin-origen [wildcard ] [log]


10/42

Mscara Wilcard.

Cantidad de 32-bits: cuatro octetos de 1s y 0s. Se compara contra una direccin IP. 1 y 0 identifican cmo tratar los bits de la

direccin IP 0: Comprueba el valor del bit correspondiente

1: Ignora ignora el valor del bit correspondiente

1s y 0s filtran direcciones IP individuales o en

grupos, permitiendo o rechazando el acceso arecursos segn el valor de las mismas. Ejemplo:


11/42

Mscara Wilcard.

128 64 32 16 8 4 2 1

0 0 0 0 0 0 0 0 =

0 0 1 1 1 1 1 1 =

0 0 0 0 1 1 1 1 =

1 1 1 1 1 1 0 0 =

1 1 1 1 1 1 1 1 =

Comprobar todos los bitsde direccin

Ignorar los ltimos 6 bitsde direccin

Ignorar los ltimos 4 bitsde direccin

Comprobar los ltimos 2bits de direccin

No Comprobar ladireccin (ignorar los bits

del octeto

Valor de direccin y posicin

en el octeto de cada bit

Ejemplos


12/42

Mscara Wilcard.

Access-list 1 permit 172.16.0.0 0.0.255.25500110101 00001000 00000000 00000000

00000000 00000000 11111111 11111111

00110101 00001000

Paquete entrante: 172.18.4.2

00110101 01001000 00100000 01000000

00110101 01001000

Paquete descartado


13/42

Mscara Wilcard.

Palabras claves especiales utilizadas en las ACL:

Any: Reemplaza la direccin IP con 0.0.0.0 y la mscara

wildcard por 255.255.255.255.

Esta opcin concuerda con cualquier direccin con laque se la compare.

Host: Reemplaza la mscara 0.0.0.0.

Esta mscara necesita todos los bits de la direccin ACLy la concordancia de direccin del paquete.

Esta opcin slo concuerda con una direccin.


14/42


Remark: Similar a un comentario Facilita entendimiento de la ACL. Limitado a 100 caracteres.

access-list 1 remark Permit only Jones workstation

access-list 1 permit 171.69.2.88


15/42


4. Asignar la lista a la interfaz apropiada: Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la

ACL Entrante: filtra el trfico que entra por una interfaz Saliente: filtra el trfico que sale por una interfaz

Para decidir si ACL es entrante o saliente, mire lasinterfaces como si se observara desde dentro delrouter


16/42


Router(config)#ip access-group {nmero-lista-acceso | nombre-lista-acceso} {in | out}

Recordar: Sentencias se procesan de forma secuencial

hasta que se encuentre una concordancia.

Si no hay concordancia, se rechaza el paquete. Hay un deny any (denegar cualquiera) implcito

al final de todas las ACLs.


17/42


Reglas bsicas a la hora de crear ACLs Deben filtrar desde lo particular a lo general:

Primero filtrar hosts especficos

Luego grupos (filtros generales).

Primero se examina la condicin de concordancia.El permiso o rechazo se examina SLO si laconcordancia es cierta.

Nunca trabaje con una ACL que se utiliza de forma

activa. Siempre, las lneas nuevas se agregan al final de la

lista de acceso.


18/42


Reglas bsicas a la hora de crear ACLs (2) El comando no access-list x elimina la lista X. No es posible agregar y quitar lneas de manera

selectiva en las ACL numeradas.

Los filtros salientes no afectan al trfico que seorigina en el router local.


19/42

ACL Estndar

Eliminar ACL estndar:

Router(config)#no access-list nmero-lista-acceso


20/42

ACL Extendida

Utilizadas con ms frecuencia que las estndarporque ofrecen un mayor control.

Verifican: Direcciones origen y destino depaquetes, protocolos y nmeros de puerto.

Mayor flexibilidad para establecer qu verifica laACL. Sintaxis es engorrosa.

Se utilizan tambin las palabras any y host

Regla General: Aplicarlas lo ms cerca posible al

origen.


21/42

ACL Extendida

Protocolo: Nombre o nmero de un protocolo de Internet: eigrp, icmp,

igrp, ip, tcp, udp, ... Para referirse a cualquier protocolo de Internet utiliza palabra

clave ip

access-list nmero-lista-acceso {deny | permit} protocoloip-origenwildcard-origenip-destinowildcard-destinooperadorpuerto-o-nombre-de-aplicacin


22/42

ACL Extendida

Operadores lgicos: eq, neq, gt, lt


23/42

ACL Extendida

http80

Tftp69Smtp25

telnet23

ftp21

ftp-data20

DescripcinNmero Puerto

Algunos nmeros TCP/UDP reservados


24/42

Ubicacin de las ACL

Importante Si las ACL se colocan en el lugar correcto:

Filtran el trfico

Toda la red se hace ms eficiente.

Regla: Colocar ACL extendidas lo ms cerca posible del

origen del trfico denegado.

Las ACL estndar no especifican las direccionesdestino, de modo que se deben colocar lo ms cercaposible del destino.


25/42

Creacin de ACLs Extendidas

1. Ingresar al modo de configuracin global.Router(config)#

2. Decidir nmero de la ACL que identifiqueque es estndar (100-199 o 2000-2699)

3. Ingresar sentencias de ACL utilizandocomando access-list, con los parmetrosnecesarios.


26/42

Creacin de ACLs Extendidas

4. Asignar la lista a la interfaz apropiada: Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la

ACL Entrante: filtra el trfico que entra por una interfaz Saliente: filtra el trfico que sale por una interfaz

Para decidir si ACL es entrante o saliente, mire lasinterfaces como si se observara desde dentro delrouter


27/42

Verificacin de las ACLs.

show ip interface: Muestra informacin de la interfaz IP e indica si se

ha establecido alguna ACL.

show access-lists:

Muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o

nmero ACL como opcin a este comando.

show running-config Muestra las listas de acceso en el router y la

informacin de asignacin de interfaz.


28/42

Ejercicios

Crear ACL estndar que

deniegue el trfico desde elhost 192.5.5.25 a la red210.93.105.0 pero permitael trfico desde todos losdems hosts. Escrbala de

3 formas. Dnde se debeaplicar?


29/42

Ejercicios

Router(config)# access-list 22 deny 192.5.5.25 0.0.0.0Router(config)# access-list 22 permit any

Router(config)# access-list 22 deny host 192.5.5.25Router(config)# access-list 22 permit any


30/42

Ejercicios

Crear una lista de acceso que impida que el host 192.5.5.148 acceda aun sitio web ubicado en 210.93.105.50. Dnde se debe ubicar esta ACL?


31/42

Ejercicios

access-list 100 deny tcp 192.5.5.148 0.0.0.0 210.93.105.50 0.0.0.0 eq 80access-list 100 permit tcp any any


32/42

Ejercicios

Qu hace la anterior ACL?

Escriba los comandos que aplican la ACL del diagrama


33/42

Ejercicios

Router2(config)# interface ethernet 0Router2(config-if)# ip access-group 10 out


34/42

Ejercicios

Qu hace la siguiente lista de acceso?.

access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21access-list 111 permit tcp any any

Escriba los comandos que colocan esta ACL en la ubicacin correcta?


35/42

Ejercicios

Router2(config)# interface fa0/0Router2(config-if)# ip access-group 111 in


36/42

Ejercicios

Se introdujeron los siguientes comandos en un router:

Router(config)# access-list 2 deny 172.16.5.24Router(config)# access-list 2 permit any

Qu se puede concluir acerca de este conjunto de comandos?

Las sentencias de la lista de acceso estn mal configuradas

Se denegar acceso a todos los nodos en 172.16.0.0 cuando se

apliquen estas sentencias.

Se asume la mscara wildcard por defecto, 0.0.0.0.

Se asume la mscara wildcard por defecto, 255.255.255.255


37/42

Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, qu efectotiene la ACL en el trfico de red?

Se deniega el acceso ftp del host 192.168.15.4 a cualquier destino, pero sepermite todo el acceso restante

Todo el trfico ftp al host 192.168.15.4 se denegar

Todo el trfico desde esa interfaz se denegar

No se denegar ningn trfico porque no existe una sentencia de "permit"en esta ACL


38/42

Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, qu efectotiene la ACL en el trfico de red?

Todo el trfico a la red 172.16.0.0 se denegarSe permitir todo el trfico TCP hacia y desde la red 172.16.0.0Se denegar todo el trfico telnet desde la red 172.16.0.0 a cualquier

destinoTodo el trfico de puerto 23 a la red 172.16.0.0 se denegarTodo el trfico desde la red 172.16.0.0 se denegar a cualquier otra red


39/42

ACL Nombradas

Introducidas en el Cisco IOS Versin 11.2

Permiten que ACL extendidas y estndar tengannombres en lugar de nmeros.

Ventajas de ACLs nombradas: Identifica ACL usando un nombre alfanumrico.

No limita nmero de ACL nombradas configuradas.

Tienen la capacidad de modificar las ACL sin tener que

eliminarlas y luego reconfigurarlas. Permiten eliminar sentencias pero slo permiten que las

sentencias se agreguen al final de la lista.


40/42

ACL Nombradas

Tener en cuenta:

ACL nombradas no son compatibles con versionesde Cisco IOS anteriores a la versin 11.2.

No se puede utilizar el mismo nombre para variasACL.

Se crean con el comando ip access-list.


41/42

Acceso a Terminales Virtuales

ACLs extendidas y estndar se aplican a paquetes queviajan a travs de un router.

No diseadas para bloquear paquetes que se originandentro del router.

Una lista de acceso extendida Telnet saliente, pordefecto no impide las sesiones Telnet iniciadas por elrouter.


42/42

Acceso a Terminales Virtuales

ACL STANDAR y extend

Documents

Transcript of ACL STANDAR y extend