Documentos de Académico
Documentos de Profesional
Documentos de Cultura
siguiente
Tipos de ACLs
Tipos de ACLs
ACL Estndar
Verifican direccin origen de los paquetes IP. Permiten o rechazan el acceso a todo un conjunto de protocolos, segn las direcciones de red, subred o host origen Las ACL estndar no especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino.
Mscara Wilcard.
Cantidad de 32-bits: cuatro octetos de 1s y 0s. Se compara contra una direccin IP. 1 y 0 identifican cmo tratar los bits de la direccin IP
0: Comprueba el valor del bit correspondiente 1: Ignora ignora el valor del bit correspondiente
1s y 0s filtran direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos segn el valor de las mismas. Ejemplo:
Mscara Wilcard.
128 64 32 16 8 0 0 0 1 1 0 0 0 1 1 0 1 0 1 1 0 1 0 1 1 0 1 1 1 1 4 0 1 1 1 1 2 0 1 1 0 1 1
Valor de direccin y posicin en el octeto de cada bit Ejemplos
0 = 1 = 1 = 0 = 1 =
Comprobar todos los bits de direccin Ignorar los ltimos 6 bits de direccin Ignorar los ltimos 4 bits de direccin Comprobar los ltimos 2 bits de direccin No Comprobar la direccin (ignorar los bits del octeto
Mscara Wilcard.
Access-list 1 permit 172.16.0.0 0.0.255.255
1 01 011 00 0 00 100 00 0 00 000 00 0 00 000 00 0 00 000 00 0 00 000 00 1 11 111 11 1 11 111 11 1 01 011 00 0 00 100 00
Paquete descartado
Mscara Wilcard.
Palabras claves especiales utilizadas en las ACL: Any:
Reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por 255.255.255.255. Esta opcin concuerda con cualquier direccin con la que se la compare.
Host:
Reemplaza la mscara 0.0.0.0. Esta mscara necesita todos los bits de la direccin ACL y la concordancia de direccin del paquete. Esta opcin slo concuerda con una direccin.
Recordar:
Sentencias se procesan de forma secuencial hasta que se encuentre una concordancia. Si no hay concordancia, se rechaza el paquete. Hay un deny any (denegar cualquiera) implcito al final de todas las ACLs.
Primero se examina la condicin de concordancia. El permiso o rechazo se examina SLO si la concordancia es cierta. Nunca trabaje con una ACL que se utiliza de forma activa. Siempre, las lneas nuevas se agregan al final de la lista de acceso.
ACL Estndar
Eliminar ACL estndar: Router(config)#no access-list nmero-lista-acceso
ACL Extendida
Utilizadas con ms frecuencia que las estndar porque ofrecen un mayor control. Verifican: Direcciones origen y destino de paquetes, protocolos y nmeros de puerto. Mayor flexibilidad para establecer qu verifica la ACL. Sintaxis es engorrosa. Se utilizan tambin las palabras any y host Regla General: Aplicarlas lo ms cerca posible al origen.
ACL Extendida
access-list nmero-lista-acceso {deny | permit} protocolo ip-origen wildcard-origen ip-destino wildcard-destino operador puerto-o-nombre-de-aplicacin
Protocolo:
Nombre o nmero de un protocolo de Internet: eigrp, icmp, igrp, ip, tcp, udp, ... Para referirse a cualquier protocolo de Internet utiliza palabra clave ip
ACL Extendida
ACL Extendida
Algunos nmeros TCP/UDP reservados
Nmero Puerto 20 21 23 25 69 80
Regla:
Colocar ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino.
show access-lists:
Muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o nmero ACL como opcin a este comando.
show running-config
Muestra las listas de acceso en el router y la informacin de asignacin de interfaz.
Ejercicios
Crear ACL estndar que deniegue el trfico desde el host 192.5.5.25 a la red 210.93.105.0 pero permita el trfico desde todos los dems hosts. Escrbala de 3 formas. Dnde se debe aplicar?
Ejercicios
Ejercicios
Crear una lista de acceso que impida que el host 192.5.5.148 acceda a un sitio web ubicado en 210.93.105.50. Dnde se debe ubicar esta ACL?
Ejercicios
access-list 100 deny tcp 192.5.5.148 0.0.0.0 210.93.105.50 0.0.0.0 eq 80 access-list 100 permit tcp any any
Ejercicios
Qu hace la anterior ACL? Escriba los comandos que aplican la ACL del diagrama
Ejercicios
Ejercicios
Ejercicios
Ejercicios
Se introdujeron los siguientes comandos en un router: Router(config)# access-list 2 deny 172.16.5.24 Router(config)# access-list 2 permit any Qu se puede concluir acerca de este conjunto de comandos? Las sentencias de la lista de acceso estn mal configuradas Se denegar acceso a todos los nodos en 172.16.0.0 cuando se apliquen estas sentencias. Se asume la mscara wildcard por defecto, 0.0.0.0. Se asume la mscara wildcard por defecto, 255.255.255.255
Ejercicios
Suponiendo que la ACL se aplica correctamente a una interfaz, qu efecto tiene la ACL en el trfico de red? Se deniega el acceso ftp del host 192.168.15.4 a cualquier destino, pero se permite todo el acceso restante Todo el trfico ftp al host 192.168.15.4 se denegar Todo el trfico desde esa interfaz se denegar No se denegar ningn trfico porque no existe una sentencia de "permit" en esta ACL
Ejercicios
Suponiendo que la ACL se aplica correctamente a una interfaz, qu efecto tiene la ACL en el trfico de red? Todo el trfico a la red 172.16.0.0 se denegar Se permitir todo el trfico TCP hacia y desde la red 172.16.0.0 Se denegar todo el trfico telnet desde la red 172.16.0.0 a cualquier destino Todo el trfico de puerto 23 a la red 172.16.0.0 se denegar Todo el trfico desde la red 172.16.0.0 se denegar a cualquier otra red
ACL Nombradas
Introducidas en el Cisco IOS Versin 11.2 Permiten que ACL extendidas y estndar tengan nombres en lugar de nmeros. Ventajas de ACLs nombradas:
Identifica ACL usando un nombre alfanumrico. No limita nmero de ACL nombradas configuradas. Tienen la capacidad de modificar las ACL sin tener que eliminarlas y luego reconfigurarlas. Permiten eliminar sentencias pero slo permiten que las sentencias se agreguen al final de la lista.
ACL Nombradas
Tener en cuenta:
ACL nombradas no son compatibles con versiones de Cisco IOS anteriores a la versin 11.2. No se puede utilizar el mismo nombre para varias ACL. Se crean con el comando ip access-list.