ACL (listas de control de acceso)

57
ACL (listas de control de acceso) CISCO CCNA Exploration 4.0

Transcript of ACL (listas de control de acceso)

Page 1: ACL (listas de control de acceso)

ACL (listas de control de acceso)

CISCO CCNA Exploration 4.0

Page 2: ACL (listas de control de acceso)

INTRODUCCIÓN

Las listas son secuencias de sentencia de permiso (permit) o denegación (deny) que se aplican a los paquetes que atraviesan dicha interfaz, en el sentido indicado (in/out), con riguroso orden según hayan sido declaradas .

Cualquier tráfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL.   Se pueden configurar las ACL para todos los protocolos de red enrutados.

Page 3: ACL (listas de control de acceso)

INTRODUCCIÓNUn router actúa como filtro de paquetes cuando reenvía o deniega paquetes según las reglas de filtrado. Cuando un paquete llega al router de filtrado de paquetes, éste extrae determinada información del encabezado del paquete y toma decisiones según las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetes actúa en la capa de red (3) del modelo (OSI)

Page 4: ACL (listas de control de acceso)

Filtrado de paquetes modelo OSI

Page 5: ACL (listas de control de acceso)

INTRODUCCIÓN (3)Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorización o denegación del tráfico según:

Las direcciones IP de origen y de destino, Los puertos TCP/UDP de origen y destino. El protocolo del paquete.

Estas reglas se definen mediante las listas de control de acceso o ACL.

Page 6: ACL (listas de control de acceso)

Protocolo UDP El protocolo UDP (User Datagram Protocol, protocolo de datagrama de usuario). Al igual que el protocolo IP, UDP es:

No orientado a conexión. No se establece una conexión previa con el otro extremo para tx un mensaje UDP. Los mensajes pueden duplicarse o llegar desordenados al destino.

No fiable. Los mensajes UDP se pueden perder o llegar dañados.

Page 7: ACL (listas de control de acceso)

Formato Segmento UDP

Page 8: ACL (listas de control de acceso)

Protocolo TCPEl protocolo TCP (Transmission Control Protocol, protocolo de control de transmisión) basado en IP que es no fiable y no orientado a conexión, y sin embargo es:

Orientado a conexión. Es necesario establecer una conexión previa entre las dos máquinas antes de poder transmitir ningún dato. A través de esta conexión los datos llegarán siempre a la aplicación destino de forma ordenada y sin duplicados. Finalmente, es necesario cerrar la conexión.

Fiable. La información que envía el emisor llega de forma correcta al destino.

Page 9: ACL (listas de control de acceso)

Cómo es posible enviar información fiable basándose en un protocolo no fiable (IP). Es decir, si los datagramas que transportan los segmentos TCP se pueden perder, cómo pueden llegar los datos de las aplicaciones de forma correcta al destino.

cada vez que llega un mensaje se devuelve una confirmación (ack) para que el emisor sepa que ha llegado correctamente. Si no le llega esta confirmación pasado un cierto tiempo, el emisor reenvía el mensaje.

Page 10: ACL (listas de control de acceso)

Formato segmento TCP

Page 11: ACL (listas de control de acceso)
Page 12: ACL (listas de control de acceso)
Page 13: ACL (listas de control de acceso)

PUERTOS

Un PC puede estar conectado con distintos servidores a la vez; por ejemplo, con un servidor ftp y un servidor de correo. Para distinguir las distintas conexiones dentro de un mismo PC se utilizan los puertos.

Un puerto es un número de 16 bits, por lo que existen 65536 puertos en cada PC. Las aplicaciones utilizan estos puertos para recibir y transmitir mensajes.

Page 14: ACL (listas de control de acceso)
Page 15: ACL (listas de control de acceso)

puerto de las aplicaciones cliente

son asignados dinámicamente y generalmente son superiores al 1024. Cuando una aplicación cliente quiere comunicarse con un servidor, busca un número de puerto libre y lo utiliza.

Page 16: ACL (listas de control de acceso)

puerto de las aplicaciones servidoras

Utilizan unos números de puerto prefijados: son los llamados puertos well-known (bien conocidos). Estos puertos están definidos en la RFC 1700.

Page 17: ACL (listas de control de acceso)

A la combinación de IP origen, puerto origen, IP destino, puerto destino se la denomina "socket" y se dice que identifica de forma unívoca una conexión de red

Page 18: ACL (listas de control de acceso)

PUERTOS TCP

Page 19: ACL (listas de control de acceso)

Puertos UDP

Page 20: ACL (listas de control de acceso)

QUE ES UNA ACL

Las Listas de Control de Acceso ("Access Control List “ ACL), son comandos que sirven para filtrar el tráfico permitiendo o denegando las conexiones basándose en diferentes criterios como direcciones IP, puertos, protocolos

Page 21: ACL (listas de control de acceso)

TIPOS DE LISTAS DE CONTROL DE ACCESO (1)

Listas de acceso estándar: Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. Permiten o rechazan el acceso a todo un conjunto de protocolos, según las direcciones de red, subred o host origen

• verifican sólo la dirección de origen en la cabecera del paquete (Capa 3).

Page 22: ACL (listas de control de acceso)

Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados.

El ejemplo permite todo el tráfico desde la red 192.168.30.0/24. Debido a la sentencia implícita "deny any" (denegar todo) al final, todo el otro tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global.

Page 23: ACL (listas de control de acceso)

TIPOS DE LISTAS DE CONTROL DE ACCESO (2)

Listas de acceso extendidas: Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. También pueden verificar protocolos especificados, números de puerto y otros parámetros.• pueden verificar otros muchos elementos, incluidas opciones de la cabecera del segmento (Capa 4), como los números de puerto.

• Direcciones IP de origen y destino, protocolos específicos.

• Números de puerto TCP y UDP,

Page 24: ACL (listas de control de acceso)

La ACL del ejemplo - 103 permite el tráfico que se origina desde cualquier dirección en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuración global.

Page 25: ACL (listas de control de acceso)

Las listas de acceso no actúan sobre paquetes originados en el propio router, como las actualizaciones de enrutamiento o las sesiones Telnet salientes.

Page 26: ACL (listas de control de acceso)

Una vez creada, una ACL debe asociarse a una interfaz de la siguiente manera:

ACL entrante: Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de filtrado, será procesado para su enrutamiento (evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado).

ACL saliente: Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.

Page 27: ACL (listas de control de acceso)

Cómo funcionan las ACL (entrada)

Page 28: ACL (listas de control de acceso)

ACL de entrada: Si coinciden un encabezado de paquete y una sentencia de ACL, se omite el resto de las sentencias de la lista y el paquete tiene permitido pasar o no, según la sentencia coincidente. Si el encabezado del paquete no coincide con una sentencia de ACL, el paquete se prueba según la siguiente sentencia de la lista. Este proceso de coincidencia continúa hasta el final de la lista.

Page 29: ACL (listas de control de acceso)

sentencia implícita final: cubre todos los paquetes para los cuales las condiciones no resultan verdaderas. Esta última prueba coincide con todos los demás paquetes y produce una "denegación" del paquete. En lugar de salir o entrar a una interfaz, el router descarta todos los paquetes restantes. La última sentencia generalmente se denomina "implicit deny any statement" (denegar implícitamente una sentencia) o "deny all traffic" (denegar todo el tráfico). Debido a esta sentencia, una ACL debe contar con, al menos, una sentencia de permiso; de lo contrario, la ACL bloquea todo el tráfico.

Page 30: ACL (listas de control de acceso)

Cómo funcionan las ACL (salida)

Page 31: ACL (listas de control de acceso)

ACL DE SALIDA: Antes de reenviar un paquete a una interfaz de salida, el router verifica la tabla de enrutamiento para ver si el paquete es enrutable. Si no lo es, se descarta. A continuación, el router verifica si la interfaz de salida se agrupa a una ACL. Si la interfaz de salida no se agrupa a una ACL, el paquete puede enviarse al búfer de salida.

Page 32: ACL (listas de control de acceso)

Para las listas salientes un permit significa enviar al búfer de salida, mientras que deny se traduce en descartar el paquete.

Para las listas entrantes un permit significa continuar el procesamiento del paquete tras su recepción en una interfaz, mientras que deny significa descartar el paquete.

Cuando se descarta un paquete IP, ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable.

Page 33: ACL (listas de control de acceso)

Numeración y denominación de las ACL

Utilizar ACL numeradas es un método eficaz para determinar el tipo de ACL en redes más pequeñas con más tráfico definido de manera homogénea. Sin embargo, un número no le informa el propósito de la ACL. Por ello, si se parte del IOS de Cisco Versión 11.2, puede utilizar un nombre para identificar una ACL de Cisco.

Page 34: ACL (listas de control de acceso)
Page 35: ACL (listas de control de acceso)

Con listas de acceso IP numeradas, para modificar una lista tendría que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. En una lista de acceso numerada no es posible borrar instrucciones individuales.

Las listas de acceso IP con nombre permiten eliminar entradas individuales de una lista específica. El borrado de entradas individuales permite modificar las listas de acceso sin tener que eliminarlas y volver a configurarlas desde el principio.

Page 36: ACL (listas de control de acceso)

Donde ubicar las ACL

Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son:

Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del destino posible.

Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red.

Page 37: ACL (listas de control de acceso)

El tráfico que se Origina en la red 192.168.10.0/24 no debe ingresar a la red 192.168.30.0/24. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar tráfico a otros lugares. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.168.10.0/24. Una ACL estándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen.

Page 38: ACL (listas de control de acceso)

El administrador de las redes 192.168.10.0/24 y 192.168.11.0/24 desea denegar el tráfico Telnet y FTP desde Once a la red treinta. Al mismo tiempo, se debe permitir todo el tráfico restante desde Diez.

Page 39: ACL (listas de control de acceso)

La mejor solución es acercarse al origen y colocar una ACL extendida en la interfaz de entrada Fa0/2 de R1. Esto garantiza que los paquetes desde once no ingresen a R1 y que luego no puedan atravesar hacia diez ni incluso ingresar a R2 o R3. Aún se permite el tráfico con otras direcciones y puertos de destino hacia R1.

Page 40: ACL (listas de control de acceso)

CREACIÓN ACL Estándar

RECUERDE QUE

Page 41: ACL (listas de control de acceso)

Creación de ACLs Estándar (2)

Page 42: ACL (listas de control de acceso)

Máscara Wilcard.

Page 43: ACL (listas de control de acceso)
Page 44: ACL (listas de control de acceso)

Para los casos más frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas.

Host = mascara comodín 0.0.0.0, utilizada para un host especifico

Any = 0.0.0.0 255.255.255.255, utilizado para definir a cualquier host, red o subred

Page 45: ACL (listas de control de acceso)

En el caso de permitir o denegar redes o subredes enteras se deben ignorar todos los host pertenecientes a dicha dirección de red o subred. Cualquier dirección de host será leída como dirección de red o subred.

Page 46: ACL (listas de control de acceso)
Page 47: ACL (listas de control de acceso)

Creación de ACLs Estándar (3)

Page 48: ACL (listas de control de acceso)

Creación de ACLs Estándar (4)

Page 49: ACL (listas de control de acceso)
Page 50: ACL (listas de control de acceso)
Page 51: ACL (listas de control de acceso)

Creación de ACLs EXTENDIDAS (1)

Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL estándar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la sintaxis y los parámetros del comando tienen más complejidades para admitir las funciones adicionales de las ACL extendidas.

Page 52: ACL (listas de control de acceso)

Creación de ACLs EXTENDIDAS (2)

Page 53: ACL (listas de control de acceso)
Page 54: ACL (listas de control de acceso)
Page 55: ACL (listas de control de acceso)

Creación de ACLs EXTENDIDAS (3)

Page 56: ACL (listas de control de acceso)
Page 57: ACL (listas de control de acceso)