Listas Listas de control de acceso o de control de acceso o ACL. · 2020. 6. 12. · Listas Listas...

Listas Listas de control de acceso o de control de acceso o ACL. ACL.

Listas Listas de control de acceso o ACL. de control de acceso o ACL.

� Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

� La ACL puede extraer la siguiente información del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso según los siguientes criterios:◦ Dirección IP de origen◦ Dirección IP de origen

◦ Dirección IP de destino

◦ Tipo de mensaje ICMP

� La ACL también puede extraer información de las capas superiores y probarla respecto de las reglas. La información de las capas superiores incluye:◦ Puerto TCP/UDP de origen

◦ Puerto TCP/UDP de destino

ACLACL

ACLACL

� La ACL se revisa de arriba a abajo, una línea a la vez, y se busca un patrón que coincida con el paquete entrante.

Las tres PLas tres P

� Puede configurar una ACL por protocolo, por dirección y por interfaz.

◦ Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. para cada protocolo habilitado en la interfaz. ◦ Una ACL por dirección: las ACL controlan el

tráfico en una dirección a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el tráfico entrante y saliente. ◦ Una ACL por interfaz: las ACL controlan el tráfico

para una interfaz, por ejemplo, Fast Ethernet 0/0.

ACL, tareasACL, tareas� Las ACL realizan las siguientes tareas:

◦ Limitar el tráfico de red para mejorar el rendimiento de ésta.

◦ Brindar control de flujo de tráfico.

◦ Proporcionar un nivel básico de seguridad para el acceso a la red.

◦ Se debe decidir qué tipos de tráfico enviar o bloquear en las interfaces del router. del router.

◦ Controlar las áreas de la red a las que puede acceder un cliente.

◦ Analizar los hosts para permitir o denegar su acceso a los servicios de red.

Las ACL inspeccionan los paquetes de la red según un criterio, como dirección de origen, de destino, protocolos y números de puerto.

Además de permitir o denegar el tráfico, una ACL puede clasificar el tráfico para darle prioridad en la línea.

Cómo funcionan las ACLCómo funcionan las ACL� Las listas de acceso definen el conjunto de reglas que

proporcionan control adicional para los paquetes que ingresan a las interfaces de entrada, paquetes que pasan a través del router y paquetes que salen de las interfaces de salida del router.

� Las ACL no actúan sobre paquetes que se originan en el mismo router. mismo router.

� Las ACL se configuran para ser aplicadas al tráfico entrante o saliente.◦ ACL de entrada: los paquetes entrantes se procesan antes de ser

enrutados a la interfaz de salida.

◦ ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a través de la ACL de salida.

ACL de entradaACL de entrada

ACL de salidaACL de salida

ACL Cisco: estándar y extendidas.ACL Cisco: estándar y extendidas.

� Hay dos tipos de ACL Cisco: estándar y extendidas.

� ACL estándar◦ Las ACL estándar le permiten autorizar o denegar el

tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. destino del paquete ni los puertos involucrados.

� ACL extendidas◦ Las ACL extendidas filtran los paquetes IP en función de

varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad de control.

Tipos de ACLTipos de ACL

Numeración de las ACLNumeración de las ACL

Ubicación Ubicación adecuada de las ACLadecuada de las ACL

� ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red.atravesar la infraestructura de red.

� ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del destino posible.

ACL ACL EstandarEstandar = Destino= Destino

ACL Extendida = OrigenACL Extendida = Origen

Mejores prácticas de las ACLMejores prácticas de las ACL

Configuración de las ACL estándarConfiguración de las ACL estándar

� Para configurar las ACL estándar numeradas en un router Cisco, primero debe crear la ACL estándar y, luego, activarla en una interfaz.

� El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99. El software IOS de Cisco Versión 12.0.1 extendió el rango y permite desde 1300 a 1999. Estos números adicionales son denominados ACL IP expandidos.Estos números adicionales son denominados ACL IP expandidos.

� Para crear una ACL numerada nombrada 10 que permita la red 192.168.10.0 /24, debe ingresar:

◦ R1(config)# access-list 10 permit 192.168.10.0

� Para eliminar la ACL, se utiliza el comando de configuración global no access-list .

� show access-list

Configuración de las ACL estándarConfiguración de las ACL estándar

Máscaras Máscaras wildcardwildcard

� Una máscara wildcard es una secuencia de dígitos binarios que le indican al router qué partes del número de subred observar.

� Las máscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros reglas para hacer coincidir sus unos y ceros binarios.

◦ Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección

◦ Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección

Máscaras Máscaras wildcardwildcard

Palabras clave de la máscara de bits Palabras clave de la máscara de bits wildcardwildcard

� La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IP deben coincidir o que sólo un host coincide.

� La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara indica que debe ignorarse toda la dirección IP o que deben aceptarse todas las direcciones.

Palabras clave de la máscara de bits Palabras clave de la máscara de bits wildcardwildcard

Procedimientos de configuración de las ACL estándarProcedimientos de configuración de las ACL estándar

ACL para controlar el acceso VTYACL para controlar el acceso VTY

� Cisco recomienda utilizar SSH para conexiones administrativas a routers y switches. Si la imagen del software IOS de Cisco en su router no admite SSH, puede mejorar parcialmente la seguridad de las líneas administrativas restringiendo el acceso VTY.

� El comando access-class para filtrar sesiones de Telnet entrantes y salientes mediante direcciones de origen y para aplicar filtros a las líneas VTY, puede utilizar las sentencias de ACL estándar para controlar el acceso VTY.el acceso VTY.

� La sintaxis del comando access-class es:◦ access-classaccess-list-number {in [vrf-also] | out}

� El parámetro in restringe las conexiones entrantes entre un dispositivo Cisco particular y las direcciones de la lista de acceso, mientras que el parámetro out restringe las conexiones salientes entre un dispositivo Cisco particular y las direcciones de la lista de acceso.

ACL para controlar el acceso VTYACL para controlar el acceso VTY

� Cuando configure las listas de acceso en las VTY, tenga en consideración lo siguiente:

◦ Sólo se pueden aplicar listas de acceso numeradas a las VTY.

◦ Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas. ellas.

Edición de las ACL numeradasEdición de las ACL numeradas

Comentarios en las ACLComentarios en las ACL

ACL estándar nombradaACL estándar nombrada

Visualizar Visualizar los contenidos de los contenidos de las las ACLACL

Edición de ACL Edición de ACL nombradasnombradas

� Las ACL nombradas son más fáciles de editar. � A partir del software IOS de Cisco versión 12.3,

las ACL IP nombradas permiten borrar entradas individuales en una ACL específica.

� Puede usar secuencias de números para insertar sentencias en cualquier parte de la ACL sentencias en cualquier parte de la ACL nombrada.

� Si utiliza una versión anterior del software IOS, puede agregar sentencias sólo al final de la ACL nombrada.

� Como puede borrar entradas individuales, puede modificar su ACL sin necesidad de borrar y luego reconfigurar toda la ACL.

Edición de ACL nombradasEdición de ACL nombradas

ACL extendidasACL extendidas

� ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, ofrecen un total de 799 ACL extendidas posibles.

� A las ACL extendidas también se les � A las ACL extendidas también se les puede asignar un nombre.

� Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque proporcionan un mayor control.

ACL extendidasACL extendidas

Configuración de ACL extendidas Configuración de ACL extendidas

Sin el parámetro established en la sentencia de ACL, los clientes pueden enviar tráfico a un servidor Web, pero no lo reciben de ese servidor.

Cómo aplicar una ACL a una interfazCómo aplicar una ACL a una interfaz

Tipos de ACL complejasTipos de ACL complejas

ACL dinámicasACL dinámicas

� Las ACL dinámicas comienza con la aplicación de una ACL extendida para bloquear tráfico que atraviesa de router.

� Los usuarios que deseen atravesar el router son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. En ese momento, se interrumpe la conexión a Telnet, � En ese momento, se interrumpe la conexión a Telnet, y se agrega una ACL dinámica de única entrada a la ACL extendida existente.

� Esta entrada permite el tráfico por un período determinado; es posible que se produzcan errores por inactividad y superación del tiempo de espera.

ACL dinámicasACL dinámicas

ACL reflexivasACL reflexivas

� Los administradores de red utilizan las ACL reflexivas para permitir el tráfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el tráfico IP en sesiones que se originan fuera de la red.

� Estas ACL permiten que el router administre el � Estas ACL permiten que el router administre el tráfico de sesión en forma dinámica.

� El router examina el tráfico saliente y, cuando ve una conexión, agrega una entrada a una ACL temporal para permitir la devolución de respuestas.

� Las ACL reflexivas contienen sólo entradas temporales.


� Las ACL reflexivas proporcionan una forma más exacta de filtrado de sesión que una ACL extendida que utiliza el parámetro established presentado anteriormente.

� Si bien son similares en cuanto al concepto del parámetro established, las ACL reflexivas también funcionan para UDP e ICMP, que no tienen bits ACK funcionan para UDP e ICMP, que no tienen bits ACK ni RST.

� Las ACL reflexivas sólo pueden definirse con ACL IP extendidas nombradas. No pueden definirse con ACL numeradas ni estándar nombradas ni con otras ACL protocolo.

� Las ACL reflexivas pueden utilizarse con otras ACL estándar y extendidas estáticas.

Beneficios de las ACL reflexivasBeneficios de las ACL reflexivas

� Ayudan a proteger la red de piratas informáticos y pueden incluirse en un firewall.

� Proporcionan un nivel de seguridad contra ataques de suplantación de identidad y de denegación de servicios.

� Las ACL reflexivas son mucho más resistentes a los ataques de suplantación de identidad porque deben

� Las ACL reflexivas son mucho más resistentes a los ataques de suplantación de identidad porque deben coincidir más criterios de filtro antes de dejar ingresar un paquete. Por ejemplo, se verifican las direcciones de origen y de destino y los números de puerto, no solamente los bits ACK y RST.

� Son fáciles de utilizar y, comparadas con las ACL básicas, proporcionan un mayor control de los paquetes que ingresan a la red.

ACL basadas en el tiempoACL basadas en el tiempo

� La ACL basada en el tiempo es similar en función a la ACL extendida, pero admite control de acceso basado en el tiempo.

� Para implementar las ACL basadas en el tiempo, debe crear un rango horario que defina la hora específica del día y la semana.día y la semana.

� Debe identificar el rango de tiempo con un nombre y, luego, remitirse a él mediante una función.

� Las restricciones temporales son impuestas en la misma función.


� Paso 1. Defina el rango de tiempo para implementar la ACL y darle el nombre EVERYOTHERDAY, en este caso.EVERYOTHERDAY, en este caso.

� Paso 2. Aplique el rango de tiempo a la ACL.


� Paso 3. Aplique la ACL a la interfaz.

Listas Listas de control de acceso o de control de acceso o ACL. · 2020. 6. 12. · Listas Listas...

Documents

Transcript of Listas Listas de control de acceso o de control de acceso o ACL. · 2020. 6. 12. · Listas Listas...