acl standar y extend
TRANSCRIPT
-
8/7/2019 ACL STANDAR y extend
1/42
Listas de Control de
Acceso(ACL)
-
8/7/2019 ACL STANDAR y extend
2/42
Qu son las ACL
ACLs: Condiciones aplicadas al trfico que viaja a travs
de la interfaz del router.
Indican al router qu tipo de paquetes aceptar o
rechazar basndose en condiciones especficas. Permiten la administracin del trfico y aseguran el
acceso hacia y desde una red.
Se puede crear en todos los protocolos de redenrutados: IP, IPX ...
Se pueden configurar en el router para controlar elacceso a una red o subred.
-
8/7/2019 ACL STANDAR y extend
3/42
Qu son las ACL
Las ACL se definen segn el protocolo, la
direccin o el puerto.
Para controlar el flujo de trfico en una interfaz: Se debe definir ACL para cada protocolo enrutado
habilitado
Se necesita crear ACLs por separado para cada
direccin del trfico, una para el trfico entrante yotra para el saliente.
-
8/7/2019 ACL STANDAR y extend
4/42
Qu son las ACL
Razones para crear ACLs: Limitar el trfico de red y mejorar el rendimiento de la
red: Por ejemplo, restriccin de video
Brindar control de flujo de trfico. P.e: restringir el envode actualizaciones de enrutamiento.
Proporcionar nivel bsico de seguridad para el acceso ala red.
Si ACL no estn configuradas en el router: Todos los paquetes tendrn acceso a todas las partes de
la red.
-
8/7/2019 ACL STANDAR y extend
5/42
Funcionamiento de las ACL
siguiente
-
8/7/2019 ACL STANDAR y extend
6/42
Tipos de ACLs
-
8/7/2019 ACL STANDAR y extend
7/42
Tipos de ACLs
-
8/7/2019 ACL STANDAR y extend
8/42
ACL Estndar Verifican direccin origen de los paquetes IP.
Permiten o rechazan el acceso a todo un conjuntode protocolos, segn las direcciones de red, subred ohost origen
Las ACL estndar no especifican las direccionesdestino, de modo que se deben colocar lo ms cercaposible del destino.
-
8/7/2019 ACL STANDAR y extend
9/42
Creacin de ACLs Estndar
1. Ingresar al modo de configuracin global.
Router(config)#
2. Decidir nmero de la ACL que identifique que esestndar (1-99 o 1300-1999)
3. Ingresar sentencias de ACL utilizando comandoaccess-list, con los parmetros necesarios.
Router(config)#access-list nmero-lista {deny | permit |remark} direccin-origen [wildcard ] [log]
-
8/7/2019 ACL STANDAR y extend
10/42
Mscara Wilcard.
Cantidad de 32-bits: cuatro octetos de 1s y 0s. Se compara contra una direccin IP. 1 y 0 identifican cmo tratar los bits de la
direccin IP 0: Comprueba el valor del bit correspondiente
1: Ignora ignora el valor del bit correspondiente
1s y 0s filtran direcciones IP individuales o en
grupos, permitiendo o rechazando el acceso arecursos segn el valor de las mismas. Ejemplo:
-
8/7/2019 ACL STANDAR y extend
11/42
Mscara Wilcard.
128 64 32 16 8 4 2 1
0 0 0 0 0 0 0 0 =
0 0 1 1 1 1 1 1 =
0 0 0 0 1 1 1 1 =
1 1 1 1 1 1 0 0 =
1 1 1 1 1 1 1 1 =
Comprobar todos los bitsde direccin
Ignorar los ltimos 6 bitsde direccin
Ignorar los ltimos 4 bitsde direccin
Comprobar los ltimos 2bits de direccin
No Comprobar ladireccin (ignorar los bits
del octeto
Valor de direccin y posicin
en el octeto de cada bit
Ejemplos
-
8/7/2019 ACL STANDAR y extend
12/42
Mscara Wilcard.
Access-list 1 permit 172.16.0.0 0.0.255.25500110101 00001000 00000000 00000000
00000000 00000000 11111111 11111111
00110101 00001000
Paquete entrante: 172.18.4.2
00110101 01001000 00100000 01000000
00110101 01001000
Paquete descartado
-
8/7/2019 ACL STANDAR y extend
13/42
Mscara Wilcard.
Palabras claves especiales utilizadas en las ACL:
Any: Reemplaza la direccin IP con 0.0.0.0 y la mscara
wildcard por 255.255.255.255.
Esta opcin concuerda con cualquier direccin con laque se la compare.
Host: Reemplaza la mscara 0.0.0.0.
Esta mscara necesita todos los bits de la direccin ACLy la concordancia de direccin del paquete.
Esta opcin slo concuerda con una direccin.
-
8/7/2019 ACL STANDAR y extend
14/42
Creacin de ACLs Estndar
Remark: Similar a un comentario Facilita entendimiento de la ACL. Limitado a 100 caracteres.
access-list 1 remark Permit only Jones workstation
access-list 1 permit 171.69.2.88
-
8/7/2019 ACL STANDAR y extend
15/42
Creacin de ACLs Estndar
4. Asignar la lista a la interfaz apropiada: Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la
ACL Entrante: filtra el trfico que entra por una interfaz Saliente: filtra el trfico que sale por una interfaz
Para decidir si ACL es entrante o saliente, mire lasinterfaces como si se observara desde dentro delrouter
-
8/7/2019 ACL STANDAR y extend
16/42
Creacin de ACLs Estndar
Router(config)#ip access-group {nmero-lista-acceso | nombre-lista-acceso} {in | out}
Recordar: Sentencias se procesan de forma secuencial
hasta que se encuentre una concordancia.
Si no hay concordancia, se rechaza el paquete. Hay un deny any (denegar cualquiera) implcito
al final de todas las ACLs.
-
8/7/2019 ACL STANDAR y extend
17/42
Creacin de ACLs Estndar
Reglas bsicas a la hora de crear ACLs Deben filtrar desde lo particular a lo general:
Primero filtrar hosts especficos
Luego grupos (filtros generales).
Primero se examina la condicin de concordancia.El permiso o rechazo se examina SLO si laconcordancia es cierta.
Nunca trabaje con una ACL que se utiliza de forma
activa. Siempre, las lneas nuevas se agregan al final de la
lista de acceso.
-
8/7/2019 ACL STANDAR y extend
18/42
Creacin de ACLs Estndar
Reglas bsicas a la hora de crear ACLs (2) El comando no access-list x elimina la lista X. No es posible agregar y quitar lneas de manera
selectiva en las ACL numeradas.
Los filtros salientes no afectan al trfico que seorigina en el router local.
-
8/7/2019 ACL STANDAR y extend
19/42
ACL Estndar
Eliminar ACL estndar:
Router(config)#no access-list nmero-lista-acceso
-
8/7/2019 ACL STANDAR y extend
20/42
ACL Extendida
Utilizadas con ms frecuencia que las estndarporque ofrecen un mayor control.
Verifican: Direcciones origen y destino depaquetes, protocolos y nmeros de puerto.
Mayor flexibilidad para establecer qu verifica laACL. Sintaxis es engorrosa.
Se utilizan tambin las palabras any y host
Regla General: Aplicarlas lo ms cerca posible al
origen.
-
8/7/2019 ACL STANDAR y extend
21/42
ACL Extendida
Protocolo: Nombre o nmero de un protocolo de Internet: eigrp, icmp,
igrp, ip, tcp, udp, ... Para referirse a cualquier protocolo de Internet utiliza palabra
clave ip
access-list nmero-lista-acceso {deny | permit} protocoloip-origenwildcard-origenip-destinowildcard-destinooperadorpuerto-o-nombre-de-aplicacin
-
8/7/2019 ACL STANDAR y extend
22/42
ACL Extendida
Operadores lgicos: eq, neq, gt, lt
-
8/7/2019 ACL STANDAR y extend
23/42
ACL Extendida
http80
Tftp69Smtp25
telnet23
ftp21
ftp-data20
DescripcinNmero Puerto
Algunos nmeros TCP/UDP reservados
-
8/7/2019 ACL STANDAR y extend
24/42
Ubicacin de las ACL
Importante Si las ACL se colocan en el lugar correcto:
Filtran el trfico
Toda la red se hace ms eficiente.
Regla: Colocar ACL extendidas lo ms cerca posible del
origen del trfico denegado.
Las ACL estndar no especifican las direccionesdestino, de modo que se deben colocar lo ms cercaposible del destino.
-
8/7/2019 ACL STANDAR y extend
25/42
Creacin de ACLs Extendidas
1. Ingresar al modo de configuracin global.Router(config)#
2. Decidir nmero de la ACL que identifiqueque es estndar (100-199 o 2000-2699)
3. Ingresar sentencias de ACL utilizandocomando access-list, con los parmetrosnecesarios.
-
8/7/2019 ACL STANDAR y extend
26/42
Creacin de ACLs Extendidas
4. Asignar la lista a la interfaz apropiada: Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la
ACL Entrante: filtra el trfico que entra por una interfaz Saliente: filtra el trfico que sale por una interfaz
Para decidir si ACL es entrante o saliente, mire lasinterfaces como si se observara desde dentro delrouter
-
8/7/2019 ACL STANDAR y extend
27/42
Verificacin de las ACLs.
show ip interface: Muestra informacin de la interfaz IP e indica si se
ha establecido alguna ACL.
show access-lists:
Muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o
nmero ACL como opcin a este comando.
show running-config Muestra las listas de acceso en el router y la
informacin de asignacin de interfaz.
-
8/7/2019 ACL STANDAR y extend
28/42
Ejercicios
Crear ACL estndar que
deniegue el trfico desde elhost 192.5.5.25 a la red210.93.105.0 pero permitael trfico desde todos losdems hosts. Escrbala de
3 formas. Dnde se debeaplicar?
-
8/7/2019 ACL STANDAR y extend
29/42
Ejercicios
Router(config)# access-list 22 deny 192.5.5.25 0.0.0.0Router(config)# access-list 22 permit any
Router(config)# access-list 22 deny host 192.5.5.25Router(config)# access-list 22 permit any
-
8/7/2019 ACL STANDAR y extend
30/42
Ejercicios
Crear una lista de acceso que impida que el host 192.5.5.148 acceda aun sitio web ubicado en 210.93.105.50. Dnde se debe ubicar esta ACL?
-
8/7/2019 ACL STANDAR y extend
31/42
Ejercicios
access-list 100 deny tcp 192.5.5.148 0.0.0.0 210.93.105.50 0.0.0.0 eq 80access-list 100 permit tcp any any
-
8/7/2019 ACL STANDAR y extend
32/42
Ejercicios
Qu hace la anterior ACL?
Escriba los comandos que aplican la ACL del diagrama
-
8/7/2019 ACL STANDAR y extend
33/42
Ejercicios
Router2(config)# interface ethernet 0Router2(config-if)# ip access-group 10 out
-
8/7/2019 ACL STANDAR y extend
34/42
Ejercicios
Qu hace la siguiente lista de acceso?.
access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21access-list 111 permit tcp any any
Escriba los comandos que colocan esta ACL en la ubicacin correcta?
-
8/7/2019 ACL STANDAR y extend
35/42
Ejercicios
Router2(config)# interface fa0/0Router2(config-if)# ip access-group 111 in
-
8/7/2019 ACL STANDAR y extend
36/42
Ejercicios
Se introdujeron los siguientes comandos en un router:
Router(config)# access-list 2 deny 172.16.5.24Router(config)# access-list 2 permit any
Qu se puede concluir acerca de este conjunto de comandos?
Las sentencias de la lista de acceso estn mal configuradas
Se denegar acceso a todos los nodos en 172.16.0.0 cuando se
apliquen estas sentencias.
Se asume la mscara wildcard por defecto, 0.0.0.0.
Se asume la mscara wildcard por defecto, 255.255.255.255
-
8/7/2019 ACL STANDAR y extend
37/42
Ejercicios
Suponiendo que la ACL se aplica correctamente a una interfaz, qu efectotiene la ACL en el trfico de red?
Se deniega el acceso ftp del host 192.168.15.4 a cualquier destino, pero sepermite todo el acceso restante
Todo el trfico ftp al host 192.168.15.4 se denegar
Todo el trfico desde esa interfaz se denegar
No se denegar ningn trfico porque no existe una sentencia de "permit"en esta ACL
-
8/7/2019 ACL STANDAR y extend
38/42
Ejercicios
Suponiendo que la ACL se aplica correctamente a una interfaz, qu efectotiene la ACL en el trfico de red?
Todo el trfico a la red 172.16.0.0 se denegarSe permitir todo el trfico TCP hacia y desde la red 172.16.0.0Se denegar todo el trfico telnet desde la red 172.16.0.0 a cualquier
destinoTodo el trfico de puerto 23 a la red 172.16.0.0 se denegarTodo el trfico desde la red 172.16.0.0 se denegar a cualquier otra red
-
8/7/2019 ACL STANDAR y extend
39/42
ACL Nombradas
Introducidas en el Cisco IOS Versin 11.2
Permiten que ACL extendidas y estndar tengannombres en lugar de nmeros.
Ventajas de ACLs nombradas: Identifica ACL usando un nombre alfanumrico.
No limita nmero de ACL nombradas configuradas.
Tienen la capacidad de modificar las ACL sin tener que
eliminarlas y luego reconfigurarlas. Permiten eliminar sentencias pero slo permiten que las
sentencias se agreguen al final de la lista.
-
8/7/2019 ACL STANDAR y extend
40/42
ACL Nombradas
Tener en cuenta:
ACL nombradas no son compatibles con versionesde Cisco IOS anteriores a la versin 11.2.
No se puede utilizar el mismo nombre para variasACL.
Se crean con el comando ip access-list.
-
8/7/2019 ACL STANDAR y extend
41/42
Acceso a Terminales Virtuales
ACLs extendidas y estndar se aplican a paquetes queviajan a travs de un router.
No diseadas para bloquear paquetes que se originandentro del router.
Una lista de acceso extendida Telnet saliente, pordefecto no impide las sesiones Telnet iniciadas por elrouter.
-
8/7/2019 ACL STANDAR y extend
42/42
Acceso a Terminales Virtuales