17/06/2010

Listas de Control de Acceso (ACL)

Bibliografa
Access Control Lists: Overview and Guidlines Mscaras Wildcard y ACL: Material didctico complementario. Cisco System Networking Academy. CCNA 2: Mdulo 11 Redes Cisco: Gua de Estudio para g Certificacin CCNA. Autor: Ernesto Ariganello la

17/06/2010

Qu son las ACLs ?

Condiciones aplicadas al trfico que viaja a travs de la interfaz del router router. Indican al router qu paquetes aceptar rechazar basndose en condiciones especficas. o

Los criterios usados en las listas de acceso p g , , pueden ser: direccin origen, direccin destino, puerto, protocolo, entre otros. Las ACLs se aplican a una interfaz del router.

Razones para configurar ACLs

Limitar el trfico y mejorar el rendimiento de la red. Proveer control de flujo de trfico. Proporcionar un nivel bsico de seguridad para el acceso a la red. Si no se configuran ACLs todos los paquetes tendrn acceso a todas las partes de la red.

17/06/2010

Funcionamiento de las ACLs

Configuracin de las ACLs

Paso 1: Definir las sentencias que formarn la ACL. Cada una de ellas se define de la siguiente forma:
Router(config)#accesslist[Nlistaacceso] {permit|deny} {condiciones}

Paso 2: Aplicar dicha ACL sobre las interfaces en el sentido deseado con:
Router(configif)#{protocol}accessgroup[Nlista acceso]{in|out}

17/06/2010

Configuracin de las ACLs

Intervalo de nmeros vlidos de acuerdo al protocolo usado:

Mscara Wildcard
Es un conjunto de 32 bits dividido en 4 octetos Se compara contra una direccin IP IP. 1 y 0 identifican cmo tratar los bits de la direccin IP 0: Comprueba el valor del bit correspondiente 1: Ignora el valor del bit correspondiente 1s y 0s filtran direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos segn el valor de las mismas.

17/06/2010

Mscara Wildcard
Palabras claves especiales utilizadas en las ACL: Any: y Reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por 255.255.255.255. Esta opcin concuerda con cualquier direccin con la que se la compare. Host: Reemplaza la mscara 0.0.0.0. Esta opcin slo concuerda con una direccin.

Tipos de ACLs

ACL Estndar ACL Extendida

17/06/2010

ACL Estndar
Verifican slo la direccin origen de los paquetes que se deben enrutar. q No especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino. Sintaxis:
Router(config)#accesslist nmerolistaacceso{deny |permit} {condiciones}[log]

ACL Estndar
Asignar la lista a la interfaz apropiada: Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la ACL. Entrante: filtra el trfico que entra por una interfaz q p Saliente: filtra el trfico que sale por una interfaz

17/06/2010

ACL Extendida
Verifican: Direcciones origen y destino de t t l t paquetes, protocolos y nmeros d puerto. de Ms usadas que las ACL Estndar. Mayor flexibilidad para establecer qu verifica la ACL. Sintaxis es engorrosa. Se utilizan tambin las palabras any y host Regla General: Aplicarlas lo ms cerca posible al origen.

ACL Extendida
Sintaxis:
Router(config)#accesslist nmerolistaacceso{deny |permit} protocolo [iporigenwildcardorigen][ipdestinowildcard destino][operacinpuerto][established][log]

Protocolo: nombre o nmero de un protocolo de internet. Operacin: lt (less than) gt (grater than) eq than), than), (igual), neq (distinto) Established: permite que pase trfico ip si el paquete usa una conexin establecida (bit ACK activado)

17/06/2010

ACL Extendida

Verificacin de las ACL

show ip interface: Muestra informacin de la interfaz IP e indica si se ha establecido alguna ACL. a estab ec do a gu a C show access-lists: Muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o nmero ACL como opcin a este comando. show running-config: Muestra las listas de acceso en el router y la informacin de asignacin de interfaz.