Como Se Usa El Access Lis o ACL

8/7/2019 Como Se Usa El Access Lis o ACL

1/40

1

LISTAS DE

CONTROLDE ACCESO


2/40

2

ACL: Access Control List

Listas de control de acceso o filtro a lospaquetes en los routers de Cisco, para

actuar como firewall (cortafuegos). Pueden actuar a nivel de direcciones,

protocolos y puertos: capas 3 y 4

Se puede definir diferentes ACLs y luegoinstalarlas sobre los interfaces del routersegn convenga al administrador de la red


3/40

3

Listas de control de acceso

Cada ACL es un conjunto de sentencias que

filtran a cada paquete en la interfaz

instalada

Cada ACL sobre cada interfaz, acta en un

sentido, distinguiendo tanto sentido de

entrada como de salida


4/40

4

Definicin de ACLs

Las listas son secuencias de sentencia de permiso

(permit) o denegacin (deny) y que se aplican a

los paquetes que atraviesan dicha interfaz, en elsentido indicado (in/out), con riguroso orden

segn hayan sido declaradas .

Cualquier trfico que pasa por la interfaz debe

cumplir ciertas condiciones que forman parte de laACL.


5/40

5

Funcin: Filtrar el trfico

Las ACLs filtran el trfico de red controlando si

los paquetes enrutados se envan o se bloquean en

las interfaces del router. El router examina cadapaquete para determinar si se debe enviar o

descartar, segn las condiciones especificadas en

la ACL. Entre las condiciones de las ACLs se

pueden incluir la direccin origen o destino deltrfico, el protocolo de capa superior, u otra

informacin.


6/40

6

Diferentes protocolos

Las ACLs se deben definir por protocolo.

En otras palabras, es necesario definir una

ACL para cada protocolo habilitado en unainterfaz si desea controlar el flujo de trfico

para esa interfaz. Por ejemplo, si la interfaz

de router estuviera configurada para IP,AppleTalk e IPX, sera necesario definir por

lo menos tres ACLs.


7/40

7

Justificacin de ACLs

Pueden ser utilizadas para priorizar trfico

para mejorar el rendimiento de una red,

restringir acceso de trfico no deseado,aumentar la seguridad, introducir control

administrativo o de protocolos como emails,

...OTRAS...


8/40

8


9/40

9

Posibles usos de ACLs Limitar el trfico de red y mejorar el

desempeo de la red. Por ejemplo, las ACLpueden designar ciertos paquetes para queun router los procese antes de procesar otrotipo de trfico, segn el protocolo.

Brindar control de flujo de trfico. Porejemplo, las ACL pueden restringir o reducirel contenido de las actualizaciones deenrutamiento.

Proporcionar un nivel bsico deseguridad para el acceso a la red. Porejemplo, las ACL pueden permitir que unhost acceda a una parte de la red y evitar queotro acceda a la misma rea.

Se debe decidir qu tipos de trfico seenvan o bloquean en las interfaces delrouter. Por ejemplo, se puede permitir quese enrute el trfico de correo electrnico,pero bloquear al mismo tiempo todo eltrfico de telnet.


10/40

10

Verificacin de encabezados de

paquete y de capa superior Despus de que una

sentencia de ACL verifica

un paquete para ver si

existe coincidencia, al

paquete se le puede

denegar o permitir el uso

de una interfaz en el grupo

de acceso. Las ACLs deCisco IOS verifican los

encabezados de paquete y

de capa superior.


11/40

11

Cmo funcionan?


12/40

12

Declaracin de ACLs

Al conjunto de sentencias que forman la ACL se lellama grupogrupo

Los pasos a seguir para crear una ACL son: definimos la lista que formar un grupogrupo access-list nmero .....sentencia..

access-list nmero .....sentencia..

La ltima sentencia implcitamente es negar

luego aplicamos dicha ACL sobre los interfaces en elsentido deseado con

ip access-group nmero (in/out)


13/40

13

Flujo en la comparacin de

ACLs

Se manda paquete ICMP

Destino inalcanzable


14/40

14

Tareas clave para la

creacin de ACL

Las ACLs se crean utilizando el modo de configuracin global.

Al especificar un nmero de ACL del 1 al 99 se instruye al router que

debe aceptar las sentencias de las ACLs estndar. Al especificar un

nmero de ACL del 100 al 199 se instruye al router para aceptar lassentencias de las ACLs extendidas.

Se deben seleccionar y ordenar lgicamente las ACLs de forma muy

cuidadosa. Los protocolos IP permitidos se deben especificar; todos

los dems protocolos se deben denegar.

Se deben seleccionar los protocolos IP que se deben verificar; todoslos dems protocolos no se verifican. Ms adelante en el

procedimiento, tambin se puede especificar un puerto destino

opcional para mayor precisin.


15/40

15

Consideraciones sobre ACLs

Agrupacin de ACL en interfaces El primer paso es crear una definicin de ACL, y el segundo es aplicar la ACL a una

interfaz.

Las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente,segn la configuracin. Las ACL salientes son generalmente ms eficientes que lasentrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debeverificar cada paquete para ver si cumple con la condicin de la ACL antes de conmutar el

paquete a una interfaz saliente. Asignacin de un nmero nico a cada ACL

Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva,asignando un nmero a la ACL del protocolo. Cuando se usa un nmero para identificaruna ACL, el nmero debe estar dentro del intervalo especfico de nmeros que esvlido para el protocolo.

Se pueden especificar ACL por nmeros para los protocolos enumerados para la tabla. Latabla tambin incluye el intervalo de nmeros de ACL que es vlido para cada protocolo.

Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Sidesea alterar una ACL que contiene sentencias de ACL numeradas, necesitaeliminar todas las sentencias en la ACL numerada mediante el comando no access-list list-number.


16/40

16

Pasos en la definicin (1/2)


17/40

17

Pasos en la definicin (2/2)


18/40

18

Tipos de ACLs

Las ACLs se clasifican segn el nmero utilizado en

access-list nmero .....y que estn definidos

Estandar IP 1-99 Extended IP 100-199

AppleTalk 600-699

IPX 800-899

Extended IPX 900-999

IPX Service Advertising Protocol 1000-1099


19/40

19

ACLs: IP estndar y extended

Se definen en modo global de configuracinRouter(config)#

Las ACLs estndar su formato es

access-list acl-number {deny | permit} source [source-wildcard ] [log]

Las ACLs extended su formato esaccess-list acl_number {deny | permit} proto source [source- wildcard] destination [destination-wildcard] [operand port] [established] [log]

A nivel de interfaz:Router(config-if)#ip access-group access-list-number {in | out}

Log: para registrar los incidentes ( msg: n ACL, si el paquete ha sido permitido o denegado, direccinorigen y el nmero de paquetes)

proto: ip, tcp, udp, icmp, gre, igrp

operation operand: lt(less than), gt(greater than), eq (equal), neq (non equal) y un nmero de puerto

established: si la conexin TCP est establecida con acks


20/40

20

Mscara (wildcard) 1/2

En las direcciones IP especificadas, para

cada bit de la direccin se especifica con

una mscara si se comprueba o no dicho bit:0 indica bit a chequear

1 indica bit a ignorar

Su significado es justo la inversa de los bits en las

mscaras de las subredes.


21/40

21

Mscara (wildcard) 2/2


22/40

22

Ejemplo de mscara

La direccin IP 172.30.16.0 con mscara 0.0.15.255 evala

las subredes 172.30.16.0 hasta 172.30.31.0.


23/40

23

Trminos Any y host

Si especificamos que cualquiera cumple la

sentencia pondramos como direccin IP 0.0.0.0 y

de mscara todo 1s para que se ignore(255.255.255.255), por tanto la palabra any

sustituye a 0.0.0.0 255.255.255.255

Si especificamos una direccin IP determinada,

daremos la direccin y luego la mscara de todo0s, que se simplifica con la palabra host


24/40

24

ACLs estndar


25/40

25

Ejemplos any y hostANY

access-list 1 permit 0.0.0.0 255.255.255.255

Se puede poner como

access-list 1 permit any

HOST

access-list 1 permit 172.30.16.29 0.0.0.0

Se puede poner como

access-list 1 permit host 172.30.16.29


26/40

26

Ejemplo1: ACL estndar

En este ejemplo, la ACLslo permite que se enveel trfico desde la red

origen 172.16.0.0. Eltrfico que no es de172.16.0.0 se bloquea. Elejemplo muestra cmo laACL slo permite que se

enve el trfico desde lared origen 172.16.0.0 yque se bloquee el que noes de 172.16.0.0.


27/40

27

Ejemplo2: Denegar un host

especfico ACL para bloquear el trfico

proveniente de una direccin

especfica, 172.16.4.13, y para permitir

que todo el trfico restante sea enviado

en la interfaz Ethernet 0. El primercomando access-list usa el parmetro

deny para denegar el trfico del host

identificado. La mscara de direccin

0.0.0.0 en esta lnea requiere que en la

prueba coincidan todos los bits.

En el segundo comando access-list la

combinacin de mscara wildcard /

direccin IP 0.0.0.0 255.255.255.255

identifica el trfico de cualquier origen.


28/40

28

Ejemplo 3: Denegar una

direccin de red El ejemplo muestra

cmo una ACL estdiseada para

bloquear el trficodesde una subredespecfica,172.16.4.0, y para

permitir que el restodel trfico seaenviado.


29/40

29

Nmeros de puerto reservados


30/40

30

Ejemplo 4: ACL extendida que bloquea el

trfico de FTP. Observe que el bloqueo del puerto 21

evita que se transmitan los comandos

FTP, evitando de esta manera las

transferencias de archivo FTP. El

bloqueo del puerto 21 evita que eltrfico mismo se transmita, pero no

bloquea los comandos FTP. Los

servidores FTP se pueden configurar

fcilmente para funcionar en

diferentes puertos. Debe entender que

los nmeros de puerto conocidos sonsimplemente eso: conocidos. No

existen garantas de que los servicios

estn en esos puertos, aunque

normalmente lo estn.


31/40

31

Ejemplo 5: Denegar conexiones

telnet de una subred no permite que el trfico de

Telnet (eq 23) desde172.16.4.0 se enve desdela interfaz E0. Todo el

trfico desde cualquier otroorigen a cualquier otrodestino se permite, segn loindica la palabra clave any.La interfaz E0 est

configurada con elcomando access-group101 out ; es decir, ACL101 se encuentra enlazadaa la interfaz saliente E0.


32/40

32

Ubicacin de las ACLs

La regla es colocar las ACLssextendidas lo ms cerca

posible del origen del trficodenegado.

Las ACLs estndar noespecifican direccionesdestino, de manera que sedebe colocar la ACL estndarlo ms cerca posible deldestino.

Dentro de las interfaces secolocan en el sentido desalida, para no procesar tanto

paquete


33/40

33

ACLs con nombre

Se usan cuando:

- Se desea identificar intuitivamente las ACL utilizando un nombrealfanumrico.

-Existen ms de 99 ACL simples y 100 extendidas que se debenconfigurar en un router para un protocolo determinado.

Hay que tener en cuenta que:

-Las ACL nombradas no son compatibles con las versiones Cisco IOSanteriores a la versin 11.2

-No se puede usar el mismo nombre para mltiples ACL. Adems, lasACL de diferentes tipos no pueden tener el mismo nombre. Porejemplo, no es vlido especificar una ACL estndar llamadaAdministracin y una ACL extendida con el mismo nombre.


34/40

34

Etiquetado de ACLs

Router(config)# ip access-list

{standard | extended} name

ip access-list standard

Internetfilter

permit 128.88.0.0 0.0.255.255

permit 36.0.0.0 0.255.255.255!(Note:all other access implicitly denied)


35/40

35

Comandos DENY / PERMIT

Se utiliza el comando de

configuracin de ACL deny

para establecer condiciones

para una ACL nombrada. La

sintaxis completa del comando

es: deny {source [source-

wildcard] | any}

Se usa la forma no de este

comando para eliminar una

condicin de denegar,

utilizando la siguiente sintaxis:

no deny {source [source-

wildcard] | any}

Se utiliza el comando deconfiguracin de lista de accesopermit para establecercondiciones para una ACL

nombrada estndar. La sintaxiscompleta del comando es:

permit {source [source-wildcard] | any}[log]

Se usa la forma no de este

comando para eliminar unacondicin de una ACL,utilizando la siguiente sintaxis:

nopermit {source [source-wildcard]| any}


36/40

36

Ejemplo uso Deny / Permit

En la figura establece una condicin de denegar ypermitir para una ACL estndar denominada

Internetfilter


37/40

37

Comandos del router

show ip interface indicada si

cualquier ACL est establecida show access-lists muestra los

contenidos de todas las ACLs


38/40

38

Show ip interface. Resultado


39/40

39

ACLS en routers fronterizos

Para aprovechar las ventajas de seguridad de las ACLs,

como mnimo se deben configurar las ACLs en los routers

fronterizos, que son routers situados en las fronteras de lared. Esto proporciona proteccin bsica con respecto a la

red externa, u otra parte menos controlada de la red, para

un rea ms privada de la red. En estos routers fronterizos,

las ACLs se pueden crear para cada protocolo de redconfigurado en las interfaces del router. Se pueden

configurar las ACLs para que el trfico entrante, el trfico

saliente, o ambos, sean filtrados en una interfaz.


40/40

40

El router externo manda el trfico a la pasarela.

El router interno slo acepta trfico de la pasarela.

Documents

Como Se Usa El Access Lis o ACL