Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Listas de Control de Acceso "Acl": Redes de Area Ampliada WAN
Listas de Control de Acceso "Acl": Redes de Area Ampliada WAN
Cisco Public
INTRODUCCION
Una ACL es una lista secuencial de sentencias que permiten o niegan el flujo de trfico
Direcciones IP Puertos de las aplicaciones
Dependiendo del tipo de control que se requiera realizar existen dos tipos
Estndar.- IP origen
Cisco Public
CONVERSACION TCP
Cisco Public
NUMERO DE PUERTOS
Cisco Public
NUMERO DE PUERTOS
Cisco Public
FILTRADO DE PAQUETES
Controla la entrada y salida de paquetes, permitiendo o negndolo de acuerdo a las condiciones de la ACL El router es un dispositivo de capa 3, por lo que los controles o filtrado lo realiza utilizando cierta informacin de la cabecera del paquete IP
IP Origen IP Destino
ICMP
Una ACL tambin puede extraer informacin de las capas superiores y realizar controles en base
Puerto Origen (TCP/UDP) Puerto Destino (TCP/UDP)
ITE PC v4.0 Chapter 1
Cisco Public
FILTRADO DE PAQUETES
Cisco Public
Un router por defecto no tiene configuradas ACLs, por lo que todo el trafico entrante es enrutado en funcin de la tabla de enrutamiento sin condiciones
ITE PC v4.0 Chapter 1
Cisco Public
ACL para cada protocolo de red configurado en las interfaces del router de borde.
Puede configurar las ACL en una interfaz para filtrar el trfico entrante, saliente o ambos.
Cisco Public
ACL por interfaz: controlan el trfico para una interfaz, por ejemplo, Fast Ethernet 0/0.
Cisco Public
10
Cisco Public
11
12
La ltima sentencia generalmente se denomina "implicit deny any statement" (denegar implcitamente una sentencia) o "deny all traffic" (denegar todo el trfico)
ITE PC v4.0 Chapter 1
Slo puede haber una ACL por protocolo, por direccin y por interfaz.
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
13
TIPOS DE ACL
ACL estndar
Permiten o niegan el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados.
ACL extendidas
Filtran los paquetes IP en funcin de varios atributos: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor capacidad de control.
Cisco Public
14
Cisco Public
15
IOS de Cisco Versin 11.2 se puede utilizar un nombre para identificar una ACL de Cisco.
En cuanto a las ACL, si se pregunta por qu se saltan los nmeros del 200 al 1299, la respuesta es porque esos nmeros son utilizados por otros protocolos.
Los nmeros del 600 al 699 son utilizados por AppleTalk y los nmeros del 800 al 899 por IPX.
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
16
Cisco Public
17
MEJORES PRACTICAS
Cisco Public
18
Al menos debe tener una sentencia de permitir el trfico.- La ltima condicin es NEGAR TODO
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
19
Si se les niega el permiso los descarta en la interfaz de entrada, es decir no se los procesa (enruta)
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
20
Cisco Public
21
Para borrar una condicin intermedia o inicial se debe borrar toda la lista
Cisco Public
22
WILDCARD
En ocasiones el WILDCARD es el inverso de la mscara 0 indica verificar 1 indica no interesa o bit no verificable
Cisco Public
23
WILDCARD
Cisco Public
24
WILDCARD
Cisco Public
25
WILDCARD
Cisco Public
26
Cisco Public
27
Cisco Public
28
Cisco Public
29
Cisco Public
30
Las listas de acceso extendidas y estndar se aplican a paquetes que viajan a travs de un router. No estn diseadas para bloquear paquetes que se originan dentro del router. Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas.
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
31
No puede insertar o borrar lneas de manera selectiva. Crear una ACL en un editor de texto, modificarla y luego pegarla en el router.
Cisco Public
32
Cisco Public
33
Cisco Public
34
MONITOREO Y VERIFICACION
Cisco Public
35
Cisco Public
36
ACL EXTENDIDAS
Cisco Public
37
ACL EXTENDIDAS
Control ms fino del trfico
ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles.
ACL extendidas tambin se les puede asignar un nombre.
Complemento a las polticas de seguridad Al configurar una ACL extendida existen dos parmetros que controlan los puertos
Operador igual (eq), desigual (neq), mayor que (gt) y menor que (lt). Operando
Identificador del puerto (nmero o simbologa)
ITE PC v4.0 Chapter 1
Cisco Public
38
Cisco Public
39
Cisco Public
40
Cisco Public
41
established
Este parmetro permite respuestas al trfico que se origina desde la red 192.168.10.0 /24 a la interfaz de entrada s0/0/0. Se produce una coincidencia si el datagrama TCP tiene ajustados los bits ACK o reset (RST) que indican que el paquete pertenece a una conexin existente. Sin el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un servidor Web, pero no lo reciben trfico de ese servidor.
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
42
Cisco Public
43
EJEMPLOS DE CONFIGURACION
Cisco Public
44
EJEMPLOS DE CONFIGURACION
Cisco Public
45
Cisco Public
46
ACL COMPLEJAS
Cisco Public
47
ACL DINAMICAS
Cisco Public
48
ACL DINAMICAS
La configuracin de las ACL dinmicas comienza con la aplicacin de una ACL extendida para bloquear trfico que atraviesa de router. Los usuarios que deseen atravesar el router son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. En ese momento, se interrumpe la conexin a Telnet, y se agrega una ACL dinmica de nica entrada a la ACL extendida existente.
Esta entrada permite el trfico por un perodo determinado; es posible que se produzcan errores por inactividad y superacin del tiempo de espera.
ITE PC v4.0 Chapter 1
Cisco Public
49
Cisco Public
50
PC1 debe obtener acceso peridico a la red (192.168.30.0 /24) a travs del router R3.
Una ACL dinmica en la interfaz serial S0/0/1 del router R3.
ITE PC v4.0 Chapter 1
Cisco Public
51
ACL REFLEXIVA
Cisco Public
52
ACL REFLEXIVA
Obligan al trfico de respuesta de un paquete saliente conocido, a dirigirse al origen de ese paquete.
Las ACL reflexivas permiten el trfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan fuera de la red. Estas ACL permiten que el router administre el trfico de sesin en forma dinmica.
El router examina el trfico saliente y, cuando ve una conexin, agrega una entrada a una ACL temporal para permitir la devolucin de respuestas.
Slo entradas temporales. Se crean automticamente cuando se inicia una nueva sesin IP y se eliminan automticamente cuando finaliza la sesin.
Cisco Public
53
ACL REFLEXIVA
Control ms eficaz que las ACL extendidas con el comando established
Son similares en cuanto al concepto del parmetro established, las ACL reflexivas tambin funcionan para UDP e ICMP, que no tienen bits ACK ni RST. established tampoco funciona con aplicaciones que alteran de forma dinmica el puerto de origen para el trfico de sesin.
La sentencia permit established slo verifica los bits ACK y RST, no la direccin de origen ni la de destino.
Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas.
Cisco Public
54
Las ACL reflexivas son mucho ms resistentes a los ataques de suplantacin de identidad porque deben coincidir ms criterios de filtro antes de dejar ingresar un paquete.
Por ejemplo, se verifican las direcciones de origen y de destino y los nmeros de puerto, no solamente los bits ACK y RST.
Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor control de los paquetes que ingresan a la red.
Cisco Public
55
Un administrador necesita una ACL reflexiva que permita trfico ICMP entrante y saliente, y que permita slo el trfico TCP que se inici desde el interior de la red.
ITE PC v4.0 Chapter 1
56
Cisco Public
57
Cisco Public
58
Cisco Public
59
Cisco Public
60
TFTP utiliza UDP. La sentencia 30 de la lista de acceso 120 permite el resto del trfico TCP.
La sentencia 30 debe ser ip any any.
ITE PC v4.0 Chapter 1
Cisco Public
61
Si desea denegar el trfico Telnet que ingresa a S0, debe denegar el nmero de puerto de destino igual al de Telnet, por ejemplo, deny tcp any any eq telnet.
ITE PC v4.0 Chapter 1
Cisco Public
62
Cisco Public
63
La sentencia 10 deniega la direccin de origen de 192.168.30.12, pero esa direccin slo sera el origen si el trfico fuera saliente y no entrante en la interfaz S0/0.
2007 Cisco Systems, Inc. All rights reserved. Cisco Public
64
Cisco Public
65