Upload
silvia-hernandez
View
81
Download
1
Tags:
Embed Size (px)
Citation preview
1Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Capítulo 6: Access Lists
Última actualización: 14 de Enero de 2004
Autor:Eduardo [email protected]
222Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Contenido
• Configuración de Access Lists
333Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Por qué utilizar Access Lists
• Gestionar el tráfico IP a medida que el acceso crece
• Filtrar los paquetes que pasan por el router
444Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Aplicaciones de los Access Lists
• Permiten o deniegan el movimiento de los paquetes a través del router.
• Permiten o deniegan el acceso a las vty de/desde otro lugar
• Sin access lists, todos los paquetes deben ser transmitidos a otras partes de la red
555Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Otros usos de los Access Lists
• Especial cuidado para el tráfico basado en paquetes de test (p.e. Actualizaciones de routing)
666Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Tipos de Access Lists
• Estándar
• Comprueba la dirección de origen
• Generalmente permite o deniega la suite de protocolos completo
• Extendida
• Comprueba las direcciones origen y destino
• Generalmente permite o deniega protocolos específicos
777Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Cómo Identificar un Access Lists
ACL Estándar (1-99) condiciones de test para todos los paquetes IP desde una dirección de origen.
ACL Extendida (100-199) condiciones de test y direcciones de origen y destino, protocolos específicos de la pila TCP/IP. Y puertos de destino.
ACL Estándar (1300-1999) (rango expandido).
ACL Extendida (2000-2699) (rango expandido).
Otros números de ACL se pueden utilizar para otros protocolos de red
888Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Probando paquetes con Access Lists Estándar
999Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Probando paquetes con Access Lists Extendidos
101010Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Operación de ACL salientes
• Si no se encuentra un ACL para el paquete, este es descartado.
111111Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Lista de pruebas Test: Permitir o Denegar
121212Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
• 0 significa comprobar el valor del bit correspondiente de la dirección.
• 1 significa ignorar el valor del correspondiente bit de dirección.
Wildcard Bits: Como comprobar la correspondencia con los bits de direcciones
131313Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Por ejemplo, 172.30.16.29 0.0.0.0 comprueba todos lso bitsw de la dirección.
Se puede abreviar esta wildcard mask utilizando la dirección IP precedida por la palabra hosthost (host 172.30.16.29).
• Comprobar TODOS los bits de la dirección• Verificar la dirección IP del host, p.e.
Wildcard Bits para encontrar la ocuirrencia de una dirección de host
141414Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Wildcard Bits para encontrar subredes
• Comprobar las subredes 172.30.16.0/24 a 172.30.31.0/24.Address and wildcard mask:
172.30.16.0 0.0.15.255
151515Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Configuración de Access Lists
• Los números de ACLs indican que protocolo se está filtrando.
• Se permite un ACL por interfaz, por protocolo, por dirección.
• El orden de las reglas del ACL controla el test.
• Situar la regla más resctrictiva al incio de la lista.
• Existe un deny implícito en la última regla. Cada ACL necesita al menos una regla.
• Crear los ACL antes de aplicarlos a los interfaces.
• Los ACL filtran el tráfico que atraviesa el router; no filtran el tráfico originado en el router.
161616Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
ACL Estándar (Ejemplo 1)
• Sólo permite la red 172.16.0.0
171717Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
ACL Estándar (Ejemplo 2)
• Deniega el equipo 172.16.4.13
181818Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
ACL Estándar (Ejemplo 3)
• Deniega la subred 172.16.4.0/24
191919Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Configuración de ACLs extendidos
Router(config-if)#ip access-group número_de_access-list {in | out}
• Activa la ACL extendida en este interfaz
• Configura los parámetros para esta entrada
Router(config)#access-list número_de_access-list {permit | deny} protocolo origen wildcard_de_origen [puerto] destino wildcard_de_destino [puerto]
202020Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
ACL Extendido (Ejemplo 1)
• Deniega el FTP desde la subred 172.16.4.0/24 a la subred 172.16.3.0/24 de salida en el interfaz ethernet 0. Permite todo el otro tipo de tráfico
212121Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
ACL Extendido (Ejemplo 2)
•Deniega sólo el Telnet desde la subred 172.16.4.0/24 saliedo por la ethernet 0.
•Permite el resto del tráfico.
222222Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Utilizando ACLs nombrados
Router(config)#ip access-list {standard | extended} nombre
Router(config) {std- | ext-}nacl)[número] {permit | deny} {condiciones de test del access list} {permit | deny} {condiciones de test del access list} no {permit | deny} {ip access list test conditions}
Router(config-if)#ip access-group nombre {in | out}
• El nombre alfanumérico tiene que ser único.
• Permite o deniega sentencias que no tienen número.
• “no” borra el ACL.
• Activa el ACL nombrado IP en el interfaz.
232323Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Filtrando el acceso vty del router
• Cinco líneas de terminales virtuales en el router (0 a 4).
• Filtra direcciones que pueden acceder dentro de los puertos vty del router.
• Filtrar el acceso vty hacia afuera del router.
242424Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Cómo controlar el acceso vty
• Configurar un ACL estándar.
• Utilizar el modo de configuraicón de linea para filtrar el acceso con el comando access-class.
• Realizar identica restriccción en cada vty.
252525Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Comandos vty
• Entrar en la configuración del/los vty
• Restringir las conexiones vty salientes o entrantes para las direcciones del access list
Router(config)#line vty {número_de_vty | rango-vty}
Router(config-line)#access-class número_de_access-list {in | out}
262626Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Ejemplo de acceso al vty
• Permite sólo a los hosts de la red 192.168.1.0 0.0.0.255 conectarse al router por vty
access-list 12 permit 192.168.1.0 0.0.0.255(implicit deny all) !line vty 0 4 access-class 12 in
Controlando el acceso de entrada
272727Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Principios de configuración de los ACLs
•El orden de los parámetros del access list es crucial.–Recomendación: Utilizar un editor de texo en el PC para crear las sentencias
del access-list, entonces copiar y pegar en el router.
–El proceso de arriba a abajo es importante.
–Poner las restricciones más específicas al principio.
•No reordenar o borrar sentencias.–Utiliza el comando no access-list [número]no access-list [número] para borrar el ACL completo.
–Excepción: Los ACLs nombrados permiten borrar sentencias individuales.
•Un deny está siempre implícito al final de cada access-list.–A no ser que el ACL termine con un explícitop permit any.
282828Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Donde colocar los ACLs IP
•Colocar los ACLs extendidos cerca del origen.
•Colocar los ACLs estádard cerca del destino.
292929Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Verificando los ACLs
wg_ro_a#show ip interfaces e0Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>
303030Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Monitorizando los ACLs
wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data
wg_ro_a#show {protocolo} access-list {número_de_access-list}
wg_ro_a#show access-lists {número_de_access-list}
313131Profesor: Eduardo Collado Cabeza
Capítulo 6:Cisco CCNA -CNAP
Bibliografía del Tema 6
• “Guía del Segundo Año” Ed. Cisco Press [Cap.6]