Upload
siuxx
View
220
Download
0
Embed Size (px)
Citation preview
8/7/2019 Como Se Usa El Access Lis o ACL
1/40
1
LISTAS DE
CONTROLDE ACCESO
8/7/2019 Como Se Usa El Access Lis o ACL
2/40
2
ACL: Access Control List
Listas de control de acceso o filtro a lospaquetes en los routers de Cisco, para
actuar como firewall (cortafuegos). Pueden actuar a nivel de direcciones,
protocolos y puertos: capas 3 y 4
Se puede definir diferentes ACLs y luegoinstalarlas sobre los interfaces del routersegn convenga al administrador de la red
8/7/2019 Como Se Usa El Access Lis o ACL
3/40
3
Listas de control de acceso
Cada ACL es un conjunto de sentencias que
filtran a cada paquete en la interfaz
instalada
Cada ACL sobre cada interfaz, acta en un
sentido, distinguiendo tanto sentido de
entrada como de salida
8/7/2019 Como Se Usa El Access Lis o ACL
4/40
4
Definicin de ACLs
Las listas son secuencias de sentencia de permiso
(permit) o denegacin (deny) y que se aplican a
los paquetes que atraviesan dicha interfaz, en elsentido indicado (in/out), con riguroso orden
segn hayan sido declaradas .
Cualquier trfico que pasa por la interfaz debe
cumplir ciertas condiciones que forman parte de laACL.
8/7/2019 Como Se Usa El Access Lis o ACL
5/40
5
Funcin: Filtrar el trfico
Las ACLs filtran el trfico de red controlando si
los paquetes enrutados se envan o se bloquean en
las interfaces del router. El router examina cadapaquete para determinar si se debe enviar o
descartar, segn las condiciones especificadas en
la ACL. Entre las condiciones de las ACLs se
pueden incluir la direccin origen o destino deltrfico, el protocolo de capa superior, u otra
informacin.
8/7/2019 Como Se Usa El Access Lis o ACL
6/40
6
Diferentes protocolos
Las ACLs se deben definir por protocolo.
En otras palabras, es necesario definir una
ACL para cada protocolo habilitado en unainterfaz si desea controlar el flujo de trfico
para esa interfaz. Por ejemplo, si la interfaz
de router estuviera configurada para IP,AppleTalk e IPX, sera necesario definir por
lo menos tres ACLs.
8/7/2019 Como Se Usa El Access Lis o ACL
7/40
7
Justificacin de ACLs
Pueden ser utilizadas para priorizar trfico
para mejorar el rendimiento de una red,
restringir acceso de trfico no deseado,aumentar la seguridad, introducir control
administrativo o de protocolos como emails,
...OTRAS...
8/7/2019 Como Se Usa El Access Lis o ACL
8/40
8
8/7/2019 Como Se Usa El Access Lis o ACL
9/40
9
Posibles usos de ACLs Limitar el trfico de red y mejorar el
desempeo de la red. Por ejemplo, las ACLpueden designar ciertos paquetes para queun router los procese antes de procesar otrotipo de trfico, segn el protocolo.
Brindar control de flujo de trfico. Porejemplo, las ACL pueden restringir o reducirel contenido de las actualizaciones deenrutamiento.
Proporcionar un nivel bsico deseguridad para el acceso a la red. Porejemplo, las ACL pueden permitir que unhost acceda a una parte de la red y evitar queotro acceda a la misma rea.
Se debe decidir qu tipos de trfico seenvan o bloquean en las interfaces delrouter. Por ejemplo, se puede permitir quese enrute el trfico de correo electrnico,pero bloquear al mismo tiempo todo eltrfico de telnet.
8/7/2019 Como Se Usa El Access Lis o ACL
10/40
10
Verificacin de encabezados de
paquete y de capa superior Despus de que una
sentencia de ACL verifica
un paquete para ver si
existe coincidencia, al
paquete se le puede
denegar o permitir el uso
de una interfaz en el grupo
de acceso. Las ACLs deCisco IOS verifican los
encabezados de paquete y
de capa superior.
8/7/2019 Como Se Usa El Access Lis o ACL
11/40
11
Cmo funcionan?
8/7/2019 Como Se Usa El Access Lis o ACL
12/40
12
Declaracin de ACLs
Al conjunto de sentencias que forman la ACL se lellama grupogrupo
Los pasos a seguir para crear una ACL son: definimos la lista que formar un grupogrupo access-list nmero .....sentencia..
access-list nmero .....sentencia..
La ltima sentencia implcitamente es negar
luego aplicamos dicha ACL sobre los interfaces en elsentido deseado con
ip access-group nmero (in/out)
8/7/2019 Como Se Usa El Access Lis o ACL
13/40
13
Flujo en la comparacin de
ACLs
Se manda paquete ICMP
Destino inalcanzable
8/7/2019 Como Se Usa El Access Lis o ACL
14/40
14
Tareas clave para la
creacin de ACL
Las ACLs se crean utilizando el modo de configuracin global.
Al especificar un nmero de ACL del 1 al 99 se instruye al router que
debe aceptar las sentencias de las ACLs estndar. Al especificar un
nmero de ACL del 100 al 199 se instruye al router para aceptar lassentencias de las ACLs extendidas.
Se deben seleccionar y ordenar lgicamente las ACLs de forma muy
cuidadosa. Los protocolos IP permitidos se deben especificar; todos
los dems protocolos se deben denegar.
Se deben seleccionar los protocolos IP que se deben verificar; todoslos dems protocolos no se verifican. Ms adelante en el
procedimiento, tambin se puede especificar un puerto destino
opcional para mayor precisin.
8/7/2019 Como Se Usa El Access Lis o ACL
15/40
15
Consideraciones sobre ACLs
Agrupacin de ACL en interfaces El primer paso es crear una definicin de ACL, y el segundo es aplicar la ACL a una
interfaz.
Las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente,segn la configuracin. Las ACL salientes son generalmente ms eficientes que lasentrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debeverificar cada paquete para ver si cumple con la condicin de la ACL antes de conmutar el
paquete a una interfaz saliente. Asignacin de un nmero nico a cada ACL
Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva,asignando un nmero a la ACL del protocolo. Cuando se usa un nmero para identificaruna ACL, el nmero debe estar dentro del intervalo especfico de nmeros que esvlido para el protocolo.
Se pueden especificar ACL por nmeros para los protocolos enumerados para la tabla. Latabla tambin incluye el intervalo de nmeros de ACL que es vlido para cada protocolo.
Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Sidesea alterar una ACL que contiene sentencias de ACL numeradas, necesitaeliminar todas las sentencias en la ACL numerada mediante el comando no access-list list-number.
8/7/2019 Como Se Usa El Access Lis o ACL
16/40
16
Pasos en la definicin (1/2)
8/7/2019 Como Se Usa El Access Lis o ACL
17/40
17
Pasos en la definicin (2/2)
8/7/2019 Como Se Usa El Access Lis o ACL
18/40
18
Tipos de ACLs
Las ACLs se clasifican segn el nmero utilizado en
access-list nmero .....y que estn definidos
Estandar IP 1-99 Extended IP 100-199
AppleTalk 600-699
IPX 800-899
Extended IPX 900-999
IPX Service Advertising Protocol 1000-1099
8/7/2019 Como Se Usa El Access Lis o ACL
19/40
19
ACLs: IP estndar y extended
Se definen en modo global de configuracinRouter(config)#
Las ACLs estndar su formato es
access-list acl-number {deny | permit} source [source-wildcard ] [log]
Las ACLs extended su formato esaccess-list acl_number {deny | permit} proto source [source- wildcard] destination [destination-wildcard] [operand port] [established] [log]
A nivel de interfaz:Router(config-if)#ip access-group access-list-number {in | out}
Log: para registrar los incidentes ( msg: n ACL, si el paquete ha sido permitido o denegado, direccinorigen y el nmero de paquetes)
proto: ip, tcp, udp, icmp, gre, igrp
operation operand: lt(less than), gt(greater than), eq (equal), neq (non equal) y un nmero de puerto
established: si la conexin TCP est establecida con acks
8/7/2019 Como Se Usa El Access Lis o ACL
20/40
20
Mscara (wildcard) 1/2
En las direcciones IP especificadas, para
cada bit de la direccin se especifica con
una mscara si se comprueba o no dicho bit:0 indica bit a chequear
1 indica bit a ignorar
Su significado es justo la inversa de los bits en las
mscaras de las subredes.
8/7/2019 Como Se Usa El Access Lis o ACL
21/40
21
Mscara (wildcard) 2/2
8/7/2019 Como Se Usa El Access Lis o ACL
22/40
22
Ejemplo de mscara
La direccin IP 172.30.16.0 con mscara 0.0.15.255 evala
las subredes 172.30.16.0 hasta 172.30.31.0.
8/7/2019 Como Se Usa El Access Lis o ACL
23/40
23
Trminos Any y host
Si especificamos que cualquiera cumple la
sentencia pondramos como direccin IP 0.0.0.0 y
de mscara todo 1s para que se ignore(255.255.255.255), por tanto la palabra any
sustituye a 0.0.0.0 255.255.255.255
Si especificamos una direccin IP determinada,
daremos la direccin y luego la mscara de todo0s, que se simplifica con la palabra host
8/7/2019 Como Se Usa El Access Lis o ACL
24/40
24
ACLs estndar
8/7/2019 Como Se Usa El Access Lis o ACL
25/40
25
Ejemplos any y hostANY
access-list 1 permit 0.0.0.0 255.255.255.255
Se puede poner como
access-list 1 permit any
HOST
access-list 1 permit 172.30.16.29 0.0.0.0
Se puede poner como
access-list 1 permit host 172.30.16.29
8/7/2019 Como Se Usa El Access Lis o ACL
26/40
26
Ejemplo1: ACL estndar
En este ejemplo, la ACLslo permite que se enveel trfico desde la red
origen 172.16.0.0. Eltrfico que no es de172.16.0.0 se bloquea. Elejemplo muestra cmo laACL slo permite que se
enve el trfico desde lared origen 172.16.0.0 yque se bloquee el que noes de 172.16.0.0.
8/7/2019 Como Se Usa El Access Lis o ACL
27/40
27
Ejemplo2: Denegar un host
especfico ACL para bloquear el trfico
proveniente de una direccin
especfica, 172.16.4.13, y para permitir
que todo el trfico restante sea enviado
en la interfaz Ethernet 0. El primercomando access-list usa el parmetro
deny para denegar el trfico del host
identificado. La mscara de direccin
0.0.0.0 en esta lnea requiere que en la
prueba coincidan todos los bits.
En el segundo comando access-list la
combinacin de mscara wildcard /
direccin IP 0.0.0.0 255.255.255.255
identifica el trfico de cualquier origen.
8/7/2019 Como Se Usa El Access Lis o ACL
28/40
28
Ejemplo 3: Denegar una
direccin de red El ejemplo muestra
cmo una ACL estdiseada para
bloquear el trficodesde una subredespecfica,172.16.4.0, y para
permitir que el restodel trfico seaenviado.
8/7/2019 Como Se Usa El Access Lis o ACL
29/40
29
Nmeros de puerto reservados
8/7/2019 Como Se Usa El Access Lis o ACL
30/40
30
Ejemplo 4: ACL extendida que bloquea el
trfico de FTP. Observe que el bloqueo del puerto 21
evita que se transmitan los comandos
FTP, evitando de esta manera las
transferencias de archivo FTP. El
bloqueo del puerto 21 evita que eltrfico mismo se transmita, pero no
bloquea los comandos FTP. Los
servidores FTP se pueden configurar
fcilmente para funcionar en
diferentes puertos. Debe entender que
los nmeros de puerto conocidos sonsimplemente eso: conocidos. No
existen garantas de que los servicios
estn en esos puertos, aunque
normalmente lo estn.
8/7/2019 Como Se Usa El Access Lis o ACL
31/40
31
Ejemplo 5: Denegar conexiones
telnet de una subred no permite que el trfico de
Telnet (eq 23) desde172.16.4.0 se enve desdela interfaz E0. Todo el
trfico desde cualquier otroorigen a cualquier otrodestino se permite, segn loindica la palabra clave any.La interfaz E0 est
configurada con elcomando access-group101 out ; es decir, ACL101 se encuentra enlazadaa la interfaz saliente E0.
8/7/2019 Como Se Usa El Access Lis o ACL
32/40
32
Ubicacin de las ACLs
La regla es colocar las ACLssextendidas lo ms cerca
posible del origen del trficodenegado.
Las ACLs estndar noespecifican direccionesdestino, de manera que sedebe colocar la ACL estndarlo ms cerca posible deldestino.
Dentro de las interfaces secolocan en el sentido desalida, para no procesar tanto
paquete
8/7/2019 Como Se Usa El Access Lis o ACL
33/40
33
ACLs con nombre
Se usan cuando:
- Se desea identificar intuitivamente las ACL utilizando un nombrealfanumrico.
-Existen ms de 99 ACL simples y 100 extendidas que se debenconfigurar en un router para un protocolo determinado.
Hay que tener en cuenta que:
-Las ACL nombradas no son compatibles con las versiones Cisco IOSanteriores a la versin 11.2
-No se puede usar el mismo nombre para mltiples ACL. Adems, lasACL de diferentes tipos no pueden tener el mismo nombre. Porejemplo, no es vlido especificar una ACL estndar llamadaAdministracin y una ACL extendida con el mismo nombre.
8/7/2019 Como Se Usa El Access Lis o ACL
34/40
34
Etiquetado de ACLs
Router(config)# ip access-list
{standard | extended} name
ip access-list standard
Internetfilter
permit 128.88.0.0 0.0.255.255
permit 36.0.0.0 0.255.255.255!(Note:all other access implicitly denied)
8/7/2019 Como Se Usa El Access Lis o ACL
35/40
35
Comandos DENY / PERMIT
Se utiliza el comando de
configuracin de ACL deny
para establecer condiciones
para una ACL nombrada. La
sintaxis completa del comando
es: deny {source [source-
wildcard] | any}
Se usa la forma no de este
comando para eliminar una
condicin de denegar,
utilizando la siguiente sintaxis:
no deny {source [source-
wildcard] | any}
Se utiliza el comando deconfiguracin de lista de accesopermit para establecercondiciones para una ACL
nombrada estndar. La sintaxiscompleta del comando es:
permit {source [source-wildcard] | any}[log]
Se usa la forma no de este
comando para eliminar unacondicin de una ACL,utilizando la siguiente sintaxis:
nopermit {source [source-wildcard]| any}
8/7/2019 Como Se Usa El Access Lis o ACL
36/40
36
Ejemplo uso Deny / Permit
En la figura establece una condicin de denegar ypermitir para una ACL estndar denominada
Internetfilter
8/7/2019 Como Se Usa El Access Lis o ACL
37/40
37
Comandos del router
show ip interface indicada si
cualquier ACL est establecida show access-lists muestra los
contenidos de todas las ACLs
8/7/2019 Como Se Usa El Access Lis o ACL
38/40
38
Show ip interface. Resultado
8/7/2019 Como Se Usa El Access Lis o ACL
39/40
39
ACLS en routers fronterizos
Para aprovechar las ventajas de seguridad de las ACLs,
como mnimo se deben configurar las ACLs en los routers
fronterizos, que son routers situados en las fronteras de lared. Esto proporciona proteccin bsica con respecto a la
red externa, u otra parte menos controlada de la red, para
un rea ms privada de la red. En estos routers fronterizos,
las ACLs se pueden crear para cada protocolo de redconfigurado en las interfaces del router. Se pueden
configurar las ACLs para que el trfico entrante, el trfico
saliente, o ambos, sean filtrados en una interfaz.
8/7/2019 Como Se Usa El Access Lis o ACL
40/40
40
El router externo manda el trfico a la pasarela.
El router interno slo acepta trfico de la pasarela.