Unidad 4 Redes IV ACL

8/18/2019 Unidad 4 Redes IV ACL

1/39


2/39

Listas de control de acceso o filtro a lospaquetes en los routers de Cisco, para actuarcomo cortafuegos

• Pueden actuar a nivel de direcciones,

protocolos y puertos: capas 3 y 4

• Se puede definir diferentes ACLs y luego

instalarlas sobre los interfaces del routersegún convenga al administrador de la red


3/39

Cada ACL es un conjunto de sentencias quefiltran a cada paquete en la interfaz instalada

Cada ACLs sobre cada interfaz, actúa en unsentido , distinguiendo tanto sentido deentrada como de salida


4/39

Cada ACL es un conjunto de sentencias quefiltran a cada paquete en la interfaz instalada

Cada ACLs sobre cada interfaz, actúa en unsentido , distinguiendo tanto sentido deentrada como de salida


5/39

Las listas son secuencias de sentencias depermiso (permit) o denegación (deny) y quese aplican a los paquetes que atraviesandicha interfaz, en el sentido indicado (in/out),

con riguroso orden según hayan sidodeclaradas.

Cualquier tráfico que pasa por la interfazdebe cumplir ciertas condiciones que formanparte de la ACL.


6/39

Las ACL filtran el tráfico de red controlando silos paquetes enrutados se envían o sebloquean en las interfaces del router. Elrouter examina cada paquete para determinar

si se debe enviar o descartar, según lascondiciones especificadas en la ACL. Entre lascondiciones de las ACL se pueden incluir ladirección origen o destino del tráfico, elprotocolo de capa superior, u otrainformación.


7/39

Pueden ser utilizadas para priorizar tráfico,para mejorar el rendimiento de una red,restringir acceso de tráfico no deseado,aumentar la seguridad, introducir control

administrativo o de protocolos como e-mail,...


8/39

Limitar el tráfico de red y mejorar el

rendimiento de la red Por ejemplo, las ACLpueden designar ciertos paquetes para que unrouter los procese antes de procesar otro tipode tráfico, según el protocolo.

Brindar control de flujo de tráfico Por ejemplo,

las ACL pueden restringir o reducir el contenidode las actualizaciones de enrutamiento.

Proporcionar un nivel básico de seguridad para

el acceso a la red Por ejemplo, las ACL puedenpermitir que un host acceda a una parte de lared y evitar que otro acceda a la misma área.

Se debe decidir qué tipos de tráfico se envían o

bloquean en las interfaces del router Porejemplo, se puede permitir que s enrute eltráfico de correo electrónico, pero bloquear almismo tiempo todo el tráfico de telnet.


9/39

Después de que unasentencia de ACL verifica unpaquete para ver si existecoincidencia, al paquete se lepuede denegar o permitir el

uso de una interfaz en elgrupo deacceso. Las ACL deCisco IOS verifican losencabezados de

paquete y de capasuperior.


10/39

Las ACL estándar le permiten autorizar odenegar el tráfico desde las direcciones IP deorigen. No importan el destino del paquete nilos puertos involucrados. El ejemplo permite

todo el tráfico desde la red 192.168.30.0/24.Debido a la sentencia implícita "deny any"(denegar todo) al final, todo el otro tráfico sebloquea con esta ACL.


11/39

Las ACL extendidas filtran los paquetes IP enfunción de varios atributos, por ejemplo: tipode protocolo, direcciones IP de origen,direcciones IP de destino, puertos TCP o UDP

de origen, puertos TCP o UDP de destino einformación opcional de tipo de protocolopara una mejor disparidad de control.


12/39


13/39

Todas las ACL deben ubicarse donde másrepercutan sobre la eficacia. Las reglasbásicas son:

◦ Ubicar las ACL extendidas lo más cerca posible delorigen del tráfico denegado. De esta manera, eltráfico no deseado se filtra sin atravesar lainfraestructura de red.

◦ Como las ACL estándar no especifican lasdirecciones de destino, colóquelas lo más cerca deldestino posible.


14/39


15/39


16/39

La sintaxis completa del comando ACLestándar es:

Router(config)#access-list número-de-lista-de-acceso deny permit remark origen[wildcard origen] [log]

La forma no de este comando elimina la ACL

estándar. En la figura, el resultado delcomando show access-list muestra las ACLactuales configuradas.


17/39


18/39


19/39


20/39


21/39


22/39


23/39


24/39


25/39


26/39


27/39


28/39


29/39

Para lograr un control más preciso del filtrado deltráfico, puede usar ACL extendidas numeradas del 100al 199 y del 2000 al 2699, lo que ofrece un total de 799ACL extendidas posibles. A las ACL extendidas tambiénse les puede asignar un nombre.


30/39

5.3.2


31/39


32/39


33/39


34/39


35/39

as ACL estándar y extendidas pueden ser labase de las ACL complejas que brindan mayorfuncionalidad. La tabla de la figura resume lastres categorías de ACL complejas.


36/39

Las ACL dinámicas tienen los siguientes beneficios de seguridad comparadas conlas ACL estándar y estáticas extendidas:

Uso de un mecanismo de desafío para autenticar los usuarios individuales Administración simplificada en internetworks más grandes En muchos casos, reducción de la cantidad de procesamiento de un router

necesario para las ACL Reducción de la oportunidad de intromisiones a la red por parte de piratas

informáticos Creación de acceso dinámico al usuario a través de un firewall, sin comprometer

otras restricciones de seguridad configuradas

En la figura, el usuario de PC1 es un administrador que requiere acceso de puerta

trasera a la red 192.168.30.0 /24 ubicada en el router R3. Se configuró una ACLdinámica para permitir el acceso FTP y HTTP al router R3 sólo por tiempo limitado.


37/39


38/39

Estas ACL permiten que elrouter administre el tráfico desesión en forma dinámica. Elrouter examina el tráficosaliente y, cuando ve unaconexión, agrega una entradaa una ACL temporal para

permitir la devolución derespuestas. Las ACL reflexivascontienen sólo entradastemporales. Estas entradas secrean automáticamentecuando se inicia una nuevasesión IP (con un paquete

saliente, por ejemplo) y lasentradas se eliminanautomáticamente cuandofinaliza la sesión.


39/39

Permiten el control de acceso según la hora y el día dela semana

Unidad 4 Redes IV ACL

Documents

Transcript of Unidad 4 Redes IV ACL