Listas de Control de Acceso "Acl": Redes de Area Ampliada WAN

LISTAS DE CONTROL DE ACCESO ACL
REDES DE AREA AMPLIADA

WAN
CAPITULO 5
ITE PC v4.0 Chapter 1
2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
INTRODUCCION
Una ACL es una lista secuencial de sentencias que permiten o niegan el flujo de trfico
Direcciones IP Puertos de las aplicaciones
Dependiendo del tipo de control que se requiera realizar existen dos tipos
Estndar.- IP origen
Extendida.- IP origen y destino, puerto origen y destino
Las ACL brindan seguridad a la red y se aplican al trfico entrante o saliente

Cisco Public
CONVERSACION TCP
TCP es orientado a conexin

Control de flujo
Limitar la cantidad de datos para el envo
Con el nmero de puerto se determina el aplicativo de capa superior

Cisco Public
NUMERO DE PUERTOS
Cisco Public
NUMERO DE PUERTOS
Cisco Public
FILTRADO DE PAQUETES
Controla la entrada y salida de paquetes, permitiendo o negndolo de acuerdo a las condiciones de la ACL El router es un dispositivo de capa 3, por lo que los controles o filtrado lo realiza utilizando cierta informacin de la cabecera del paquete IP
IP Origen IP Destino
ICMP
Una ACL tambin puede extraer informacin de las capas superiores y realizar controles en base
Puerto Origen (TCP/UDP) Puerto Destino (TCP/UDP)
Cisco Public
FILTRADO DE PAQUETES
Cisco Public
QUE ES UNA ACL
Un router por defecto no tiene configuradas ACLs, por lo que todo el trafico entrante es enrutado en funcin de la tabla de enrutamiento sin condiciones
Cisco Public
QUE ES UNA ACL

ACL en routers entre una red interna y una externa.
ACL en un router situado entre dos partes de la red a fin de controlar el trfico que entra o sale de una parte especfica de su red interna.
ACL para cada protocolo de red configurado en las interfaces del router de borde.
Puede configurar las ACL en una interfaz para filtrar el trfico entrante, saliente o ambos.
Cisco Public
QUE ES UNA ACL

Las tres P
ACL por protocolo: para controlar el flujo de trfico de una interfaz. ACL por direccin: controlan el trfico en una direccin a la vez de una interfaz.
Dos ACL por separado para controlar el trfico entrante y saliente.
ACL por interfaz: controlan el trfico para una interfaz, por ejemplo, Fast Ethernet 0/0.
Cisco Public
10
QUE ES UNA ACL

Limitar el trfico que circula por la red para mejorar el rendimiento de sta.
Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las actualizaciones de enrutamiento en casos de redes estables.
Controlar las reas de la red a las que puede acceder un cliente.
Cisco Public
11
COMO FUNCIONA UNA ACL
Las ACL no actan sobre paquetes que se originan en el mismo router.

Las sentencias de la ACL operan en orden secuencial.

2007 Cisco Systems, Inc. All rights reserved. Cisco Public
12
COMO FUNCIONA UNA ACL
La ltima sentencia generalmente se denomina "implicit deny any statement" (denegar implcitamente una sentencia) o "deny all traffic" (denegar todo el trfico)
Slo puede haber una ACL por protocolo, por direccin y por interfaz.
13
TIPOS DE ACL
ACL estndar
Permiten o niegan el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados.
Las ACL estndar se crean en el modo de configuracin global.
ACL extendidas
Filtran los paquetes IP en funcin de varios atributos: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor capacidad de control.
Las ACL extendidas se crean en el modo de configuracin global.

Cisco Public
14
COMO FUNCIONA UNA ACL ESTANDAR
Paso 1. Crear una lista de acceso
Paso 2. Aplicar la ACL a las interfaces o lneas de terminal.

Cisco Public
15
NUMERACION Y DENOMINACION DE LAS ACLS
IOS de Cisco Versin 11.2 se puede utilizar un nombre para identificar una ACL de Cisco.
En cuanto a las ACL, si se pregunta por qu se saltan los nmeros del 200 al 1299, la respuesta es porque esos nmeros son utilizados por otros protocolos.
Los nmeros del 600 al 699 son utilizados por AppleTalk y los nmeros del 800 al 899 por IPX.
16
DONDE UBICAR LAS ACLs
ACL extendidas ms cercanas al origen del trfico denegado.

Se filtra sin atravesar la infraestructura de red.
ACL estndar ms cercanas al destino

Cisco Public
17
MEJORES PRACTICAS
Cisco Public
18
CONFIGURACION: ACL ESTANDAR
El orden de las sentencias de una ACL es importante

El router comprueba la coincidencia de la condicin en el orden que fueron ingresadas
Colocar al inicio las condiciones ms especficas
Al menos debe tener una sentencia de permitir el trfico.- La ltima condicin es NEGAR TODO
19
LOGICA DE UNA ACL
Si los paquetes tienen permiso, se enrutan

Si se les niega el permiso los descarta en la interfaz de entrada, es decir no se los procesa (enruta)
20
CONFIGURACION: ACL ESTANDAR NUMERADA

Router(config)#access-list nmero-de-lista-de-acceso {deny | permit | remark} IP origen [wildcard origen] [log]
Cisco Public
21
ELIMINAR UNA ACL
Para borrar una ACL se utiliza el comando NO seguido del nmero.
Para borrar una condicin intermedia o inicial se debe borrar toda la lista
Cisco Public
22
WILDCARD
En ocasiones el WILDCARD es el inverso de la mscara 0 indica verificar 1 indica no interesa o bit no verificable
Cisco Public
23
WILDCARD
Cisco Public
24
WILDCARD
Cisco Public
25
WILDCARD
Cisco Public
26
PROCEDIMIENTO PARA LA CONFIGURACION
Cisco Public
27
Cisco Public
28
Cisco Public
29
Cisco Public
30
ACL SOBRE TERMINALES VIRTUALES
Las listas de acceso extendidas y estndar se aplican a paquetes que viajan a travs de un router. No estn diseadas para bloquear paquetes que se originan dentro del router. Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas.
31
EDICION DE ACLS NUMERADAS
No puede insertar o borrar lneas de manera selectiva. Crear una ACL en un editor de texto, modificarla y luego pegarla en el router.
Cisco Public
32
COMENTARIOS EN LAS ACL NUMERADAS
Cada lnea de observacin est limitada a 100 caracteres.

La observacin puede ir antes o despus de una sentencia permit o deny.
Cisco Public
33
ACL ESTANDAR NOMBRADA
Cisco Public
34
MONITOREO Y VERIFICACION
Cisco Public
35
EDICION DE ACL NOMBRADAS

En el primer resultado del comando show, la ACL WEBSERVER tiene tres lneas numeradas que indican las reglas de acceso para el servidor Web. Para otorgar acceso a otra estacin de trabajo de la lista slo debe ingresar una lnea numerada. En el ejemplo, se agrega la estacin de trabajo con la direccin IP 192.168.10.15.
El ltimo resultado del comando show verifica que la nueva estacin de trabajo tenga acceso.
Cisco Public
36
ACL EXTENDIDAS
Cisco Public
37
ACL EXTENDIDAS
Control ms fino del trfico
ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles.
ACL extendidas tambin se les puede asignar un nombre.
Complemento a las polticas de seguridad Al configurar una ACL extendida existen dos parmetros que controlan los puertos
Operador igual (eq), desigual (neq), mayor que (gt) y menor que (lt). Operando
Identificador del puerto (nmero o simbologa)
Cisco Public
38
ACL EXTENDIDAS: Ejemplos
Cisco Public
39
CONFIGURACION: ACL EXTENDIDAS
Cisco Public
40
Se requiere restringir el acceso a Internet para permitir slo la navegacin Web.

La ACL 103 se aplica al trfico que sale de la red 192.168.10.0, y la ACL 104 al trfico que ingresa a la red.
Cisco Public
41

La ACL 103: Permite el trfico que ingresa de cualquier direccin en la red 192.168.10.0, pero nicamente de los puertos 80 (HTTP) y 443 (HTTPS).
HTTP requiere que el trfico regrese a la red, as que es necesario controlar el trfico entrante a la red interna
La ACL 104 lo hace bloqueando el trfico entrante, a excepcin de las conexiones establecidas. HTTP establece conexiones a partir de la solicitud original y luego mediante el intercambio de mensajes ACK, FIN y SYN.
established
Este parmetro permite respuestas al trfico que se origina desde la red 192.168.10.0 /24 a la interfaz de entrada s0/0/0. Se produce una coincidencia si el datagrama TCP tiene ajustados los bits ACK o reset (RST) que indican que el paquete pertenece a una conexin existente. Sin el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un servidor Web, pero no lo reciben trfico de ese servidor.
42
COMO APLICAR LAS ACL EXTENDIDAS A LAS INTERFACES
Cisco Public
43
EJEMPLOS DE CONFIGURACION
Cisco Public
44
EJEMPLOS DE CONFIGURACION
Cisco Public
45
ACL EXTENDIDAS NOMBRADAS
Las 2 ACLs en la prctica hacen la misma accin.

Permiten la navegacin desde la red interna y restringe las respuestas de los servidores WEB
Cisco Public
46
ACL COMPLEJAS
Cisco Public
47
ACL DINAMICAS
El bloqueo es una caracterstica de seguridad de las ACL dinmicas

Denominadas ACL de bloqueo. Slo para trfico IP. Las ACL dinmicas dependen de la conectividad Telnet, de la autenticacin (local o remota) y de las ACL extendidas.
Cisco Public
48
ACL DINAMICAS
La configuracin de las ACL dinmicas comienza con la aplicacin de una ACL extendida para bloquear trfico que atraviesa de router. Los usuarios que deseen atravesar el router son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. En ese momento, se interrumpe la conexin a Telnet, y se agrega una ACL dinmica de nica entrada a la ACL extendida existente.
Esta entrada permite el trfico por un perodo determinado; es posible que se produzcan errores por inactividad y superacin del tiempo de espera.
Cisco Public
49
BENEFICIOS DE LAS ACL DINAMICAS

Uso de un mecanismo de desafo para autenticar los usuarios individuales Administracin simplificada en internetworks ms grandes En muchos casos, reduccin de la cantidad de procesamiento de un router necesario para las ACL
Reduccin de la oportunidad de intromisiones a la red por parte de piratas informticos

Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas
En la figura, el usuario de PC1 es un administrador que requiere acceso de puerta trasera a la red 192.168.30.0 /24 ubicada en el router R3. Se configur una ACL dinmica para permitir el acceso FTP y HTTP al router R3 slo por tiempo limitado.
Cisco Public
50
EJEMPLOS DE ACL DINAMICAS
PC1 debe obtener acceso peridico a la red (192.168.30.0 /24) a travs del router R3.
Una ACL dinmica en la interfaz serial S0/0/1 del router R3.
Cisco Public
51
ACL REFLEXIVA
Cisco Public
52
ACL REFLEXIVA
Obligan al trfico de respuesta de un paquete saliente conocido, a dirigirse al origen de ese paquete.
Las ACL reflexivas permiten el trfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan fuera de la red. Estas ACL permiten que el router administre el trfico de sesin en forma dinmica.
El router examina el trfico saliente y, cuando ve una conexin, agrega una entrada a una ACL temporal para permitir la devolucin de respuestas.
Slo entradas temporales. Se crean automticamente cuando se inicia una nueva sesin IP y se eliminan automticamente cuando finaliza la sesin.
Cisco Public
53
ACL REFLEXIVA
Control ms eficaz que las ACL extendidas con el comando established
Son similares en cuanto al concepto del parmetro established, las ACL reflexivas tambin funcionan para UDP e ICMP, que no tienen bits ACK ni RST. established tampoco funciona con aplicaciones que alteran de forma dinmica el puerto de origen para el trfico de sesin.
La sentencia permit established slo verifica los bits ACK y RST, no la direccin de origen ni la de destino.
Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas.
Cisco Public
54
ACL REFLEXIVA: BENEFICIOS

Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall.
Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de denegacin de servicios.
Las ACL reflexivas son mucho ms resistentes a los ataques de suplantacin de identidad porque deben coincidir ms criterios de filtro antes de dejar ingresar un paquete.
Por ejemplo, se verifican las direcciones de origen y de destino y los nmeros de puerto, no solamente los bits ACK y RST.
Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor control de los paquetes que ingresan a la red.
Cisco Public
55
ACL REFLEXIVA: BENEFICIOS
Un administrador necesita una ACL reflexiva que permita trfico ICMP entrante y saliente, y que permita slo el trfico TCP que se inici desde el interior de la red.
La ACL reflexiva se aplica a la interfaz de salida de R2.

56
ACL BASADAS EN TIEMPO
Similar a la ACL extendida, pero admite control de acceso basado en el tiempo.

Crear un rango horario que define el horario de activacin. Debe identificar el rango de tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las restricciones temporales son impuestas en la misma funcin.
Cisco Public
57
ACL BASADAS EN TIEMPO: BENEFICIOS
Incrementa el control sobre el trfico de la red

Las entradas de las ACL pueden registrar el trfico en determinados momentos del da, pero no de forma permanente.
Cisco Public
58
ACL BASADAS EN TIEMPO

1. Definir el rango de tiempo para implementar la ACL y darle el nombre EVERYOTHERDAY.
2. Aplique el rango de tiempo a la ACL.
3. Aplique la ACL a la interfaz.
Cisco Public
59
ERRORES COMUNES EN LAS ACLS
La sentencia 10 deniega el host 192.168.10.10 y la sentencia 20 no llega a procesarse.

Cisco Public
60
TFTP utiliza UDP. La sentencia 30 de la lista de acceso 120 permite el resto del trfico TCP.
La sentencia 30 debe ser ip any any.
Cisco Public
61
Si desea denegar el trfico Telnet que ingresa a S0, debe denegar el nmero de puerto de destino igual al de Telnet, por ejemplo, deny tcp any any eq telnet.
Cisco Public
62
La ACL debe aplicarse a Fa0/0 de R1 en direccin entrante.

Cisco Public
63
La sentencia 10 deniega la direccin de origen de 192.168.30.12, pero esa direccin slo sera el origen si el trfico fuera saliente y no entrante en la interfaz S0/0.
64
Cisco Public
65

Listas de Control de Acceso "Acl": Redes de Area Ampliada WAN

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Listas de Control de Acceso "Acl": Redes de Area Ampliada WAN

Cargado por

Copyright:

Formatos disponibles

LISTAS DE CONTROL DE ACCESO ACL

REDES DE AREA AMPLIADA

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

Extendida.- IP origen y destino, puerto origen y destino

Las ACL brindan seguridad a la red y se aplican al trfico entrante o saliente

2007 Cisco Systems, Inc. All rights reserved.

TCP es orientado a conexin

Con el nmero de puerto se determina el aplicativo de capa superior

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

QUE ES UNA ACL

2007 Cisco Systems, Inc. All rights reserved.

QUE ES UNA ACL

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

QUE ES UNA ACL

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

QUE ES UNA ACL

Controlar las reas de la red a las que puede acceder un cliente.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

COMO FUNCIONA UNA ACL

Las ACL no actan sobre paquetes que se originan en el mismo router.

Las sentencias de la ACL operan en orden secuencial.

COMO FUNCIONA UNA ACL

Las ACL estndar se crean en el modo de configuracin global.

Las ACL extendidas se crean en el modo de configuracin global.

2007 Cisco Systems, Inc. All rights reserved.

COMO FUNCIONA UNA ACL ESTANDAR

Paso 1. Crear una lista de acceso

Paso 2. Aplicar la ACL a las interfaces o lneas de terminal.

2007 Cisco Systems, Inc. All rights reserved.

NUMERACION Y DENOMINACION DE LAS ACLS

ITE PC v4.0 Chapter 1

DONDE UBICAR LAS ACLs

ACL extendidas ms cercanas al origen del trfico denegado.

ACL estndar ms cercanas al destino

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

CONFIGURACION: ACL ESTANDAR

El orden de las sentencias de una ACL es importante

LOGICA DE UNA ACL

Si los paquetes tienen permiso, se enrutan

CONFIGURACION: ACL ESTANDAR NUMERADA

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ELIMINAR UNA ACL

Para borrar una ACL se utiliza el comando NO seguido del nmero.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1

2007 Cisco Systems, Inc. All rights reserved.

ITE PC v4.0 Chapter 1