LISTAS DE CONTROL DE ACCESO (ACL). ¿ QUE SON LAS ACL ? Listas de instrucciones que se aplican a una...
31
LISTAS DE CONTROL DE ACCESO LISTAS DE CONTROL DE ACCESO (ACL) (ACL)
-
Upload
melania-veliz -
Category
Documents
-
view
236 -
download
0
Transcript of LISTAS DE CONTROL DE ACCESO (ACL). ¿ QUE SON LAS ACL ? Listas de instrucciones que se aplican a una...
LISTAS DE CONTROL DE LISTAS DE CONTROL DE ACCESOACCESO
(ACL)(ACL)
¿ QUE SON LAS ACL ? ¿ QUE SON LAS ACL ?
• Listas de instrucciones que se aplican a una interfaz del router.Listas de instrucciones que se aplican a una interfaz del router.
• Indican que tipos de paquetes se deben aceptar y qué tipos de paquetes se deben denegar. Indican que tipos de paquetes se deben aceptar y qué tipos de paquetes se deben denegar.
• Permiten administrar el tráfico y examinar paquetes específicos. Permiten administrar el tráfico y examinar paquetes específicos.
• Se pueden crear para todos los protocolos enrutados de red (IP, IPX). Se pueden crear para todos los protocolos enrutados de red (IP, IPX).
• Se pueden configurar en el router para Se pueden configurar en el router para controlar el acceso a una red o subred. controlar el acceso a una red o subred.
• Entre las condiciones de las ACL se pueden Entre las condiciones de las ACL se pueden incluir la dirección de origen o destino del incluir la dirección de origen o destino del tráfico, el protocolo de capa superior. tráfico, el protocolo de capa superior.
• Es necesario definir una ACL por cada Es necesario definir una ACL por cada protocolo habilitado en una interfaz. protocolo habilitado en una interfaz.
RAZONES PARA EL USO DE ACL RAZONES PARA EL USO DE ACL • Limitar el tráfico de red y mejorar el rendimiento de la red. Limitar el tráfico de red y mejorar el rendimiento de la red.
• Brindar control de flujo de tráfico. Brindar control de flujo de tráfico.
• Proporcionar un nivel básico de seguridad para el acceso a la red. Proporcionar un nivel básico de seguridad para el acceso a la red.
• Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router.
PRUEBA DE PAQUETES CON ACLPRUEBA DE PAQUETES CON ACL
• El orden en el que se ubican las sentencias de la ACL es importante. El orden en el que se ubican las sentencias de la ACL es importante.
• Si se crea una sentencia de condición que permita todo el tráfico, no se Si se crea una sentencia de condición que permita todo el tráfico, no se verificará ninguna sentencia agregada más adelante. verificará ninguna sentencia agregada más adelante.
• Si necesita sentencias adicionales, en una ACL estándar o extendida se debe eliminar la ACL Si necesita sentencias adicionales, en una ACL estándar o extendida se debe eliminar la ACL y volver a crearla con las nuevas sentencias de condiciones.y volver a crearla con las nuevas sentencias de condiciones. • Puede crear una ACL para cada protocolo que desea Puede crear una ACL para cada protocolo que desea filtrar para cada interfaz de router. Para algunos filtrar para cada interfaz de router. Para algunos protocolos, se crea una ACL para filtrar el tráfico protocolos, se crea una ACL para filtrar el tráfico entrante, y otra para filtrar el tráfico saliente. entrante, y otra para filtrar el tráfico saliente.
FUNCIONAMIENTO DE LAS ACLFUNCIONAMIENTO DE LAS ACL
Las sentencias de la ACL operan en orden secuencial lógico. Si se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si las sentencias de la ACL no se verifican, se impone una sentencia implícita de "denegar cualquiera". Esto significa que, aunque la sentencia "denegar cualquiera" no se vea explícitamente en la última línea de una ACL, está allí.
FUNCIONAMIENTO DE LAS ACLFUNCIONAMIENTO DE LAS ACL
Las ACL le permiten controlar lo que los clientes Las ACL le permiten controlar lo que los clientes pueden acceder en la red. Las condiciones en un pueden acceder en la red. Las condiciones en un archivo de ACL pueden: archivo de ACL pueden:
• Excluir ciertos hosts para permitir o denegar Excluir ciertos hosts para permitir o denegar acceso a parte de su red. acceso a parte de su red.
• Otorgar o denegar permiso a los usuarios para Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como acceder a ciertos tipos de archivos, tales como FTP o HTTP. FTP o HTTP.
TAREAS DE CONFIGURACIÓN DE TAREAS DE CONFIGURACIÓN DE LAS ACLLAS ACL
PROTOCOLOS CON ACL PROTOCOLOS CON ACL ESPECIFICADAS POR NUMEROSESPECIFICADAS POR NUMEROS
BITS DE MÁSCARA WILDCARD BITS DE MÁSCARA WILDCARD
BITS DE MÁSCARA WILDCARD BITS DE MÁSCARA WILDCARD
ANY WILCARDANY WILCARD
Para indicar cualquier dirección IP, se debe introducir 0.0.0.0; luego, se debe indicar que la ACL Para indicar cualquier dirección IP, se debe introducir 0.0.0.0; luego, se debe indicar que la ACL debe ignorar (es decir, permitir sin verificar) cualquier valor, la máscara wildcard correspondiente debe ignorar (es decir, permitir sin verificar) cualquier valor, la máscara wildcard correspondiente para esta dirección debe ser de todos unos (es decir, 255.255.255.255). Se puede usar la para esta dirección debe ser de todos unos (es decir, 255.255.255.255). Se puede usar la abreviatura abreviatura anyany para comunicar la misma condición de prueba al software de ACL Cisco IOS. para comunicar la misma condición de prueba al software de ACL Cisco IOS.
COMANDO HOST COMANDO HOST
Ejemplo: 172.30.16.29 0.0.0.0 verificar todos los bits de la dirección.Ejemplo: 172.30.16.29 0.0.0.0 verificar todos los bits de la dirección.
Se abrevia la wildcard utilizando la palabra clave host, y a continuación la dirección IP Se abrevia la wildcard utilizando la palabra clave host, y a continuación la dirección IP Ejemplo: host 172.30.16.29Ejemplo: host 172.30.16.29
ACL ESTÁNDARACL ESTÁNDAR
Se deben usar las ACL estándar cuando se desea bloquear todo el tráfico de una red, permitir Se deben usar las ACL estándar cuando se desea bloquear todo el tráfico de una red, permitir todo el tráfico desde una red específica o denegar conjuntos de protocolo. Las ACL estándar todo el tráfico desde una red específica o denegar conjuntos de protocolo. Las ACL estándar verifican la dirección origen de los paquetes que se deben enrutar. El resultado permite o verifican la dirección origen de los paquetes que se deben enrutar. El resultado permite o deniega el resultado para todo un conjunto de protocolos, según las direcciones de red, subred deniega el resultado para todo un conjunto de protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen de E0 para establecer la dirección y host. Por ejemplo, se verifican los paquetes que vienen de E0 para establecer la dirección origen y protocolo. Si se permiten, los paquetes salen a través de S0, que se agrupa en la ACL. origen y protocolo. Si se permiten, los paquetes salen a través de S0, que se agrupa en la ACL. Si no se permite, se descarta. Si no se permite, se descarta.
EJEMPLOS DE LA ACL ESTÁNDAREJEMPLOS DE LA ACL ESTÁNDAR
EJEMPLOS DE LA ACL ESTÁNDAREJEMPLOS DE LA ACL ESTÁNDAR
EJEMPLO 1 DE LA ACL ESTÁNDAREJEMPLO 1 DE LA ACL ESTÁNDAR
Autorización del tráfico Autorización del tráfico desde una red origendesde una red origen
EJEMPLO 2 DE LA ACL ESTÁNDAREJEMPLO 2 DE LA ACL ESTÁNDAR
Denegar un host específicoDenegar un host específico
EJEMPLO 3 DE LA ACL ESTÁNDAREJEMPLO 3 DE LA ACL ESTÁNDAR
Denegar una subred Denegar una subred específicaespecífica
ACL EXTENDIDASACL EXTENDIDAS
Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estándar. mayor cantidad de opciones de control que las ACL estándar.
Las ACL extendidas verifican las direcciones origen y destino de los paquetes. También pueden Las ACL extendidas verifican las direcciones origen y destino de los paquetes. También pueden verificar protocolos, números de puerto y otros parámetros específicos.verificar protocolos, números de puerto y otros parámetros específicos.
Para una sola ACL, se pueden definir múltiples sentencias. Cada una de estas sentencias debe Para una sola ACL, se pueden definir múltiples sentencias. Cada una de estas sentencias debe hacer referencia al mismo nombre o número identificatorio, para relacionar las sentencias a la hacer referencia al mismo nombre o número identificatorio, para relacionar las sentencias a la misma ACL. misma ACL.
Las sentencias de las ACL extendidas verifican la dirección origen y destino. Además, al final de Las sentencias de las ACL extendidas verifican la dirección origen y destino. Además, al final de la sentencia de la ACL extendida, se obtiene precisión adicional con un campo que especifica el la sentencia de la ACL extendida, se obtiene precisión adicional con un campo que especifica el número de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). número de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). Estos pueden ser números de puerto conocidos para TCP/IP. Estos pueden ser números de puerto conocidos para TCP/IP.
Las ACL extendidas usan un número dentro del intervalo del 100 al 199.Las ACL extendidas usan un número dentro del intervalo del 100 al 199.
NÚMEROS DE PUERTOS NÚMEROS DE PUERTOS COMUNESCOMUNES
PARÁMETROS ACL EXTENDIDOSPARÁMETROS ACL EXTENDIDOS
NÚMEROS DE PUERTO NÚMEROS DE PUERTO RESERVADOSRESERVADOS
EJEMPLO 1 DE LA ACL EJEMPLO 1 DE LA ACL EXTENDIDAEXTENDIDA
Denegar FTP para E0
EJEMPLO 2 DE LA ACL EJEMPLO 2 DE LA ACL EXTENDIDAEXTENDIDA
Denegar TELNET y permitir tráfico
CONFIGURACIÓN DE LAS ACL CONFIGURACIÓN DE LAS ACL NOMBRADASNOMBRADAS
Permiten que las ACL IP estándar y extendidas se identifiquen con una cadena alfanumérica Permiten que las ACL IP estándar y extendidas se identifiquen con una cadena alfanumérica (nombre) en lugar de la representación numérica actual (1 a 199). (nombre) en lugar de la representación numérica actual (1 a 199).
Se pueden usar para eliminar entradas individuales de una ACL específica. Esto permite modificar Se pueden usar para eliminar entradas individuales de una ACL específica. Esto permite modificar sus ACL sin eliminarlas y luego reconfigurarlas. sus ACL sin eliminarlas y luego reconfigurarlas.
Se usan las ACL nombradas cuando: Se usan las ACL nombradas cuando:
• Se desea identificar intuitivamente las ACL utilizando un nombre alfanumérico. Se desea identificar intuitivamente las ACL utilizando un nombre alfanumérico.
• Existen más de 99 ACL simples y 100 extendidas que se deben configurar en un router para un Existen más de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado. protocolo determinado.
CONFIGURACIÓN DE LAS ACL CONFIGURACIÓN DE LAS ACL NOMBRADASNOMBRADAS
COMANDO DENY COMANDO DENY
Se utiliza el comando de configuración de ACL Se utiliza el comando de configuración de ACL deny deny para establecer condiciones para una ACL para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es: nombrada. La sintaxis completa del comando es:
denydeny {source [source-wildcard] | {source [source-wildcard] | anyany}}
Se usa la forma Se usa la forma nono de este comando para eliminar una condición de denegar, utilizando la de este comando para eliminar una condición de denegar, utilizando la siguiente sintaxis:siguiente sintaxis:
no no denydeny { {sourcesource [source-wildcard] | [source-wildcard] | anyany}}
COMANDO PERMITCOMANDO PERMIT
Se utiliza el comando de configuración de lista de acceso Se utiliza el comando de configuración de lista de acceso permitpermit para establecer condiciones para establecer condiciones para una ACL nombrada estándar. La sintaxis completa del comando es:para una ACL nombrada estándar. La sintaxis completa del comando es:
permitpermit {source [source-wildcard] | {source [source-wildcard] | anyany}[}[loglog]]
Se usa la forma Se usa la forma nono de este comando para eliminar una condición de una ACL, utilizando la de este comando para eliminar una condición de una ACL, utilizando la siguiente sintaxis:siguiente sintaxis:
nono permitpermit {source [source-wildcard]| {source [source-wildcard]| anyany}}
Se usa este comando en el modo de configuración de lista de acceso, después del comando Se usa este comando en el modo de configuración de lista de acceso, después del comando ip access-listip access-list, para definir las condiciones bajo las cuales un paquete pasa por la ACL., para definir las condiciones bajo las cuales un paquete pasa por la ACL.
COMANDO PERMITCOMANDO PERMIT
UBICACIÓN DE LAS ACL UBICACIÓN DE LAS ACL
• Según el lugar donde se ubique una sentencia de ACL, se puede reducir el tráfico innecesario.Según el lugar donde se ubique una sentencia de ACL, se puede reducir el tráfico innecesario. El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.camino hacia ese destino.
• La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. • Las ACL estándar no especifican direcciones destino, de manera que se debe colocar la ACL Las ACL estándar no especifican direcciones destino, de manera que se debe colocar la ACL estándar lo más cerca posible del destino.estándar lo más cerca posible del destino.
VERIFICACIÓN DE LAS ACL VERIFICACIÓN DE LAS ACL
El comando El comando show ip interface show ip interface muestra información de interfaz IP e indica si se ha establecido muestra información de interfaz IP e indica si se ha establecido alguna ACL. El comando alguna ACL. El comando show access-listsshow access-lists muestra el contenido de todas las ACL. Cuando se muestra el contenido de todas las ACL. Cuando seintroduce el nombre o número de una ACL como una opción para este comando, aparece una introduce el nombre o número de una ACL como una opción para este comando, aparece una lista específica.lista específica.
