Post on 12-Oct-2015
5/21/2018 CCNA ACL.pdf
1/58
ListasListas de control de acceso ode control de acceso oACL.ACL.
5/21/2018 CCNA ACL.pdf
2/58
ListasListas de control de acceso o ACL.de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o
denegacin que se aplican a direcciones IP o protocolos de capasuperior.
La ACL puede extraer la siguiente informacin del encabezado delpaquete, probarla respecto de las reglas y decidir si "permitir" o"denegar" el ingreso segn los siguientes criterios:
Direccin IP de origen Direccin IP de destino
Tipo de mensaje ICMP
La ACL tambin puede extraer informacin de las capas superiores
y probarla respecto de las reglas. La informacin de las capassuperiores incluye:
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino
5/21/2018 CCNA ACL.pdf
3/58
ACLACL
5/21/2018 CCNA ACL.pdf
4/58
ACLACL La ACL se revisa de arriba a abajo, una
lnea a la vez, y se busca un patrn quecoincida con el paquete entrante.
5/21/2018 CCNA ACL.pdf
5/58
Las tres PLas tres P Puede configurar una ACL por protocolo,
por direccin y por interfaz.
Una ACL por protocolo: para controlar el flujo detrfico de una interfaz, se debe definir una ACL
para ca a protoco o a ta o en a nter az. Una ACL por direccin: las ACL controlan el
trfico en una direccin a la vez de una interfaz.Deben crearse dos ACL por separado para
controlar el trfico entrante y saliente. Una ACL por interfaz: las ACL controlan el trfico
para una interfaz, por ejemplo, Fast Ethernet 0/0.
5/21/2018 CCNA ACL.pdf
6/58
ACL, tareasACL, tareas Las ACL realizan las siguientes tareas:
Limitar el trfico de red para mejorar el rendimiento de sta. Brindar control de flujo de trfico.
Proporcionar un nivel bsico de seguridad para el acceso a la red.
Se debe decidir qu tipos de trfico enviar o bloquear en las interfacesdel router.
Controlar las reas de la red a las que puede acceder un cliente. Analizar los hosts para permitir o denegar su acceso a los servicios de
red.
Las ACL inspeccionan los paquetes de la red segn un criterio, como
direccin de origen, de destino, protocolos y nmeros de puerto.Adems de permitir o denegar el trfico, una ACL puede clasificar el trfico
para darle prioridad en la lnea.
5/21/2018 CCNA ACL.pdf
7/58
Cmo funcionan las ACLCmo funcionan las ACL Las listas de acceso definen el conjunto de reglas que
proporcionan control adicional para los paquetes queingresan a las interfaces de entrada, paquetes que pasan atravs del router y paquetes que salen de las interfaces desalida del router.
Las ACL no actan sobre paquetes que se originan en elmismo router.
Las ACL se configuran para ser aplicadas al trfico entrante osaliente. ACL de entrada: los paquetes entrantes se procesan antes de ser
enrutados a la interfaz de salida.
ACL de salida: los paquetes entrantes se enrutan a la interfaz desalida y luego son procesados a travs de la ACL de salida.
5/21/2018 CCNA ACL.pdf
8/58
ACL de entradaACL de entrada
5/21/2018 CCNA ACL.pdf
9/58
ACL de salidaACL de salida
5/21/2018 CCNA ACL.pdf
10/58
ACL Cisco: estndar y extendidas.ACL Cisco: estndar y extendidas. Hay dos tipos de ACL Cisco: estndar y extendidas.
ACL estndar Las ACL estndar le permiten autorizar o denegar el
trfico desde las direcciones IP de origen. No importan eldestino del a uete ni los uertos involucrados.
ACL extendidas Las ACL extendidas filtran los paquetes IP en funcin de
varios atributos, por ejemplo: tipo de protocolo,
direcciones IP de origen, direcciones IP de destino, puertosTCP o UDP de origen, puertos TCP o UDP de destino einformacin opcional de tipo de protocolo para una mejordisparidad de control.
5/21/2018 CCNA ACL.pdf
11/58
Tipos de ACLTipos de ACL
5/21/2018 CCNA ACL.pdf
12/58
Numeracin de las ACLNumeracin de las ACL
5/21/2018 CCNA ACL.pdf
13/58
UbicacinUbicacin adecuada de las ACLadecuada de las ACL ACL extendidas lo ms cerca posible del
origen del trfico denegado. De estamanera, el trfico no deseado se filtra sin
atravesar la infraestructura de red.
ACL estndar no especifican lasdirecciones de destino, colquelas lo ms
cerca del destino posible.
5/21/2018 CCNA ACL.pdf
14/58
ACLACL EstandarEstandar = Destino= Destino
5/21/2018 CCNA ACL.pdf
15/58
ACL Extendida = OrigenACL Extendida = Origen
5/21/2018 CCNA ACL.pdf
16/58
Mejores prcticas de las ACLMejores prcticas de las ACL
5/21/2018 CCNA ACL.pdf
17/58
Configuracin de las ACL estndarConfiguracin de las ACL estndar Para configurar las ACL estndar numeradas en un router Cisco,
primero debe crear la ACL estndar y, luego, activarla en una
interfaz. El comando de configuracin global access-list define una ACL
estndar con un nmero entre 1 y 99. El software IOS de Cisco
Versin 12.0.1 extendi el rango y permite desde 1300 a 1999.
Estos nmeros adicionales son denominados ACL IP expandidos. Para crear una ACL numerada nombrada 10 que permita la red
192.168.10.0 /24, debe ingresar:
R1(config)# access-list 10 permit 192.168.10.0
Para eliminar la ACL, se utiliza el comando de configuracin globalno access-list .
show access-list
5/21/2018 CCNA ACL.pdf
18/58
Configuracin de las ACL estndarConfiguracin de las ACL estndar
5/21/2018 CCNA ACL.pdf
19/58
MscarasMscaras wildcardwildcard Una mscara wildcard es una secuencia de
dgitos binarios que le indican al router qupartes del nmero de subred observar.
Las mscaras wildcard utilizan las siguientes
reglas para hacer coincidir sus unos y cerosbinarios.
Bit 0 de mscara wildcard: hacer coincidirel
valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorarel valor de
bits correspondiente de la direccin
5/21/2018 CCNA ACL.pdf
20/58
MscarasMscaras wildcardwildcard
5/21/2018 CCNA ACL.pdf
21/58
Palabras clave de la mscara de bitsPalabras clave de la mscara de bits wildcardwildcard La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica
que todos los bits de direcciones IP deben coincidir o que slo un
host coincide. La opcin any reemplaza la direccin IP y la mscara
255.255.255.255. Esta mscara indica que debe ignorarse toda la
direccin IP o que deben aceptarse todas las direcciones.
5/21/2018 CCNA ACL.pdf
22/58
Palabras clave de la mscara de bitsPalabras clave de la mscara de bits wildcardwildcard
5/21/2018 CCNA ACL.pdf
23/58
Procedimientos de configuracin de las ACL estndarProcedimientos de configuracin de las ACL estndar
5/21/2018 CCNA ACL.pdf
24/58
5/21/2018 CCNA ACL.pdf
25/58
5/21/2018 CCNA ACL.pdf
26/58
5/21/2018 CCNA ACL.pdf
27/58
ACL para controlar el acceso VTYACL para controlar el acceso VTY Cisco recomienda utilizar SSH para conexiones administrativas a
routers y switches. Si la imagen del software IOS de Cisco en su routerno admite SSH, puede mejorar parcialmente la seguridad de las lneas
administrativas restringiendo el acceso VTY. El comando access-class para filtrar sesiones de Telnet entrantes y
salientes mediante direcciones de origen y para aplicar filtros a laslneas VTY, puede utilizar las sentencias de ACL estndar para controlarel acceso VTY.
La sintaxis del comando access-class es:
access-classaccess-list-number {in [vrf-also] | out}
El parmetro in restringe las conexiones entrantes entre un dispositivoCisco particular y las direcciones de la lista de acceso, mientras que elparmetro out restringe las conexiones salientes entre un dispositivoCisco particular y las direcciones de la lista de acceso.
5/21/2018 CCNA ACL.pdf
28/58
ACL para controlar el acceso VTYACL para controlar el acceso VTY Cuando configure las listas de acceso en las VTY, tenga en
consideracin lo siguiente:
Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY
porque un usuario puede intentar conectarse a cualquiera de
ellas.
5/21/2018 CCNA ACL.pdf
29/58
5/21/2018 CCNA ACL.pdf
30/58
Edicin de las ACL numeradasEdicin de las ACL numeradas
5/21/2018 CCNA ACL.pdf
31/58
Comentarios en las ACLComentarios en las ACL
5/21/2018 CCNA ACL.pdf
32/58
ACL estndar nombradaACL estndar nombrada
5/21/2018 CCNA ACL.pdf
33/58
VisualizarVisualizar los contenidos delos contenidos de laslas ACLACL
5/21/2018 CCNA ACL.pdf
34/58
Edicin de ACLEdicin de ACL nombradasnombradas Las ACL nombradas son ms fciles de editar.
A partir del software IOS de Cisco versin 12.3,
las ACL IP nombradas permiten borrar entradasindividuales en una ACL especfica.
Puede usar secuencias de nmeros para insertar
nombrada. Si utiliza una versin anterior del software IOS,
puede agregar sentencias slo al final de la ACLnombrada.
Como puede borrar entradas individuales, puedemodificar su ACL sin necesidad de borrar y luegoreconfigurar toda la ACL.
5/21/2018 CCNA ACL.pdf
35/58
Edicin de ACL nombradasEdicin de ACL nombradas
5/21/2018 CCNA ACL.pdf
36/58
ACL extendidasACL extendidas ACL extendidas numeradas del 100 al 199
y del 2000 al 2699, ofrecen un total de799 ACL extendidas posibles.
A las ACL extendidas tambin se les
puede asignar un nombre. Las ACL extendidas se utilizan con ms
frecuencia que las ACL estndar porque
proporcionan un mayor control.
5/21/2018 CCNA ACL.pdf
37/58
ACL extendidasACL extendidas
5/21/2018 CCNA ACL.pdf
38/58
ACL extendidasACL extendidas
5/21/2018 CCNA ACL.pdf
39/58
Configuracin de ACL extendidasConfiguracin de ACL extendidas
Sin el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un servidor Web,
pero no lo reciben de ese servidor.
5/21/2018 CCNA ACL.pdf
40/58
Cmo aplicar una ACL a una interfazCmo aplicar una ACL a una interfaz
5/21/2018 CCNA ACL.pdf
41/58
5/21/2018 CCNA ACL.pdf
42/58
5/21/2018 CCNA ACL.pdf
43/58
5/21/2018 CCNA ACL.pdf
44/58
Tipos de ACL complejasTipos de ACL complejas
5/21/2018 CCNA ACL.pdf
45/58
ACL dinmicasACL dinmicas Las ACL dinmicas comienza con la aplicacin de una
ACL extendida para bloquear trfico que atraviesa derouter.
Los usuarios que deseen atravesar el router sonbloqueados por la ACL extendida hasta que utilizanTelnet para conectarse al router y ser autenticados.
En ese momento, se interrumpe la conexin a Telnet,y se agrega una ACL dinmica de nica entrada a laACL extendida existente.
Esta entrada permite el trfico por un perododeterminado; es posible que se produzcan errorespor inactividad y superacin del tiempo de espera.
5/21/2018 CCNA ACL.pdf
46/58
ACL dinmicasACL dinmicas
5/21/2018 CCNA ACL.pdf
47/58
ACL dinmicasACL dinmicas
5/21/2018 CCNA ACL.pdf
48/58
ACL dinmicasACL dinmicas
5/21/2018 CCNA ACL.pdf
49/58
ACL reflexivasACL reflexivas Los administradores de red utilizan las ACL
reflexivas para permitir el trfico IP en sesiones
que se originan en su red y, al mismo tiempo,denegar el trfico IP en sesiones que se originanfuera de la red.
trfico de sesin en forma dinmica. El router examina el trfico saliente y, cuando ve
una conexin, agrega una entrada a una ACLtemporal para permitir la devolucin de
respuestas. Las ACL reflexivas contienen slo entradas
temporales.
5/21/2018 CCNA ACL.pdf
50/58
ACL reflexivasACL reflexivas Las ACL reflexivas proporcionan una forma ms
exacta de filtrado de sesin que una ACL extendidaque utiliza el parmetro established presentadoanteriormente.
Si bien son similares en cuanto al concepto delparmetro established, las ACL reflexivas tambinuncionan para e , que no tienen its
ni RST. Las ACL reflexivas slo pueden definirse con ACL IP
extendidas nombradas. No pueden definirse con ACLnumeradas ni estndar nombradas ni con otras ACL
protocolo. Las ACL reflexivas pueden utilizarse con otras ACL
estndar y extendidas estticas.
5/21/2018 CCNA ACL.pdf
51/58
Beneficios de las ACL reflexivasBeneficios de las ACL reflexivas Ayudan a proteger la red de piratas informticos y
pueden incluirse en un firewall.
Proporcionan un nivel de seguridad contra ataques desuplantacin de identidad y de denegacin deservicios.
Las ACL reflexivas son mucho ms resistentes a losataques de suplantacin de identidad porque debencoincidir ms criterios de filtro antes de dejaringresar un paquete. Por ejemplo, se verifican lasdirecciones de origen y de destino y los nmeros depuerto, no solamente los bits ACK y RST.
Son fciles de utilizar y, comparadas con las ACLbsicas, proporcionan un mayor control de lospaquetes que ingresan a la red.
5/21/2018 CCNA ACL.pdf
52/58
ACL reflexivasACL reflexivas
5/21/2018 CCNA ACL.pdf
53/58
ACL reflexivasACL reflexivas
5/21/2018 CCNA ACL.pdf
54/58
ACL reflexivasACL reflexivas
5/21/2018 CCNA ACL.pdf
55/58
ACL basadas en el tiempoACL basadas en el tiempo La ACL basada en el tiempo es similar en funcin a la
ACL extendida, pero admite control de acceso basado
en el tiempo. Para implementar las ACL basadas en el tiempo, debe
crear un rango horario que defina la hora especfica del
da y la semana.
Debe identificar el rango de tiempo con un nombre y,
luego, remitirse a l mediante una funcin.
Las restricciones temporales son impuestas en la misma
funcin.
5/21/2018 CCNA ACL.pdf
56/58
ACL basadas en el tiempoACL basadas en el tiempo
5/21/2018 CCNA ACL.pdf
57/58
ACL basadas en el tiempoACL basadas en el tiempo
Paso 1. Defina el rango de tiempo para implementar la ACL y darle el nombreEVERYOTHERDAY, en este caso.
Paso 2. Aplique el rango de tiempo a la ACL.
5/21/2018 CCNA ACL.pdf
58/58
ACL basadas en el tiempoACL basadas en el tiempo
Paso 3. Aplique la ACL a la interfaz.