Está en la página 1de 3

Universidad Tec Milenio: Profesional AR04002 Interconectividad

11/11/05

Listas de control de acceso (ACLs)


Tambin son conocidas como filtros pues indican al router que paquetes aceptar y cuales bloquear. Administran el trfico examinando paquetes de protocolos enrutados Poseen especificaciones para filtrar: direccin origen direccin destino protocolo nmero de puerto
1 2

AR04002 - Interconectividad

Sesin 20. Listas de acceso.

Listas de control de acceso (ACLs)


Razones para uso de ACLs Limitar trfico y mejorar rendimiento de la red Brindar control de flujo de trfico Proporcionar un nivel bsico de seguridad para el acceso a la red Una ACL es un grupo de sentencias que define cmo los paquetes: Entran a las interfaces Se reenvan a travs del router Salen de las interfaces
3

Operacin de ACLs
Se verifica cada sentencia de la ACL en orden secuencial hasta encontrar una coincidencia. Si no hay coincidencia, el paquete se bloquea y deshecha. Una ACL posee implcitamente una sentencia de denegar cualquiera en su final. Se recomienda crearlas en un editor de texto de la PC y despus copiarlas al router. Cada interfaz puede llevar una ACL por direccin (entrante/saliente) y por protocolo enrutado (IP, IPX, Appletalk).
4

Configuracin de ACLs
Para la implementacin de ACLs en routers Cisco se requieren dos pasos fundamentales: 1) Las ACL se crean utilizando el modo de configuracin global

Operacin de ACLs
Otras consideraciones: Se deben seleccionar y ordenar lgicamente (secuencial) A cada ACL se le asigna un nmero nico Para eliminar o desaplicar una ACL se utilizan los mismos comandos pero anteponiendo la palabra no Existen diversos tipos de ACLs:

2) Ya creada, se debe aplicar a una interfaz del router:

D.R. Universidad TecMilenio Lzaro Crdenas #2610 Col. Del Paseo Residencial Monterrey, N.L., 2005.

Universidad Tec Milenio: Profesional AR04002 Interconectividad

11/11/05

Configuracin de ACLs
Para configurar una ACL se requieren principalmente direcciones origen y/o destino, y cada direccin debe tener una mscara de wildcard. La direccin sirve para conocer que hosts, subredes o redes deben ser permitidas o bloqueadas. Una mscara wildcard es una cantidad de 32 bits que compara bit por bit la direccin de cada paquete a ser revisada contra la direccin especificada en la sentencia de una ACL.

Configuracin de ACLs
Los bits con valor en cero corresponden a los bits de la direccin de la sentencia de la ACL que deben ser verificados a coincidir con los del paquete a analizar. Los bits en uno corresponden a los bits a ignorar.

Configuracin de las ACLs


Ejemplo de uso de mscara wildcard:

Ejemplos de ACLs IP estndar


Usando any wildcard

Usando Host Wildcard

10

ACLs IP estndar y extendidas


Una ACL tipo IP estndar analiza un paquete nicamente a partir de: -El protocolo enrutado -Direccin origen del paquete Una ACL tipo IP extendida puede analizar: -Un protocolo especfico (capa3 y 4) -Direcciones origen y destino del paquete. -Aplicaciones por nmeros de puerto. Por regla una ACL estndar se coloca lo ms cercano al destino, una extendida lo ms cercano al origen. Una ACL extendida es ms eficiente y utilizada.
11

Ejemplo ACL extendida

Se debe bloquear la aplicacin telnet para cualquier host de la subred 172.16.4.0 hacia cualquier destino, pero permitir todo trfico adicional.

12

D.R. Universidad TecMilenio Lzaro Crdenas #2610 Col. Del Paseo Residencial Monterrey, N.L., 2005.

Universidad Tec Milenio: Profesional AR04002 Interconectividad

11/11/05

ACLs nombradas
Permiten utilizar nombres en vez de nmeros para identificar ACLs estndar o extendidas. No es posible repetir nombres, incluso entre diferentes tipos de ACL. Ejemplos: 1)Estndar 2)Extendida

Verificacin de ACLs
Comandos: Show ip interface Show access-lists

13

14

Bibliografa
Cisco Systems. Academia de Networking de Cisco Systems CCNA 1 Y 2. Mxico: Pearson Education, 2003. (ISBN: 8420540803); Captulo 20: Listas de Control de Acceso.

Crditos: Mtro. Fernando Gustavo Romero Nava

15

16

D.R. Universidad TecMilenio Lzaro Crdenas #2610 Col. Del Paseo Residencial Monterrey, N.L., 2005.