• Condiciones aplicadas al trafico que viaja a través de la interfaz del
router. • Indica al router que tipo de paquete acepta o rechaza basándose en condiciones especificas. • Permite la administración del trafico y asegura el acceso hacia y desde una red. • Se puede crear en todos los protocolos de red enrutados: IP, IPX … • Se pueden configurar en el router para controlar el acceso a una red o subred.
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 2
Definición de ACLs
• Las ACL se definen según el protocolo, la dirección o el puerto.
• Para controlar el flujo de tráfico en una interfaz: • Se debe definir ACL para cada protocolo enrutado habilitado. • Se necesita crear ACLs por separado para cada dirección del tráfico, una para el trafico entrante y otra para el saliente.
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 3
Definición de ACLs
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 4
Definición de ACLs
• Estas listas le informan al router qué tipo de paquetes aceptar o
rechazar. La aceptación y rechazo se pueden basar en ciertas condiciones específicas. Las ACL permiten la administración del tráfico y aseguran el acceso hacia y desde una red. • Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. • Las ACL filtran el tráfico de red, controlando si los paquetes enrutados se envían o se bloquean en las interfaces del router.
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 5
Definición de ACLs • Una ACL es un grupo de sentencias que define cómo se procesan los paquetes: – Entran a las interfaces de entrada – Se reenvían a través del router – Salen de las interfaces de salida del router
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 6
Definición de ACLs • Razones para crear ACLs: - Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de video. - Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento. - Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área - Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. - Analizar ciertos hosts para permitir o denegar acceso a partes de una red. • Si las ACL no están configuradas en el router: - Todos los paquetes que pasen a través del router tendrán acceso a todas las partes de la red.
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 7
Definición de ACLs
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 8
Ejecución de las ACLs
• El orden de las sentencias de la ACL es importante
• Cuando el router está decidiendo si desea enviar o bloquear un paquete, el IOS prueba el paquete, verificando si cumple o no cada sentencia de condición, en el orden en que se crearon las sentencias • Una vez que se verifica que existe una coincidencia, no se siguen verificando otras sentencias de condición • Para añadir sentencias en una ACL hay que eliminar la ACL completa y volver a crearla con las nuevas sentencias de condiciones
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 9
Ejecución de las ACLs
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 10
Tipos de ACLs • ACL Estándar (1-99) • Permite autorizar o denegar el tráfico desde direcciones IP de origen. No importa el destino del paquete ni los puestos involucrados. access-list 10 permit 192.168.30.0 0.0.0.255 • Este ejemplo permite todo el trafico desde la red 192.168.30.0/24. Todo el otro trafico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global. • ACL extendidas (100-199) • Filtran los paquetes en función de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puerto TCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad de control access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80 • La ACL permite el tráfico que se origina desde cualquier dirección en la red 192.168.30.0/24 hacia cualquier puerto 80 de host destino (HTTP). Las ACL extendidas se crean en el modo de configuración global
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 11
Creación de las ACLs • Desde el modo de configuración global: (config)# • 2 tipos de ACL: − ACL estándar → ACL del 1 al 99 − ACL extendida → ACL del 100 al 199 • Es importante seleccionar y ordenar lógicamente las ACL de forma cuidadosa • Se deben seleccionar los protocolos IP que se deben verificar; todos los demás protocolos no se verifican • Aplicar ACL a interfaces oportunos (tráfico entrante y saliente) → se prefiere ACL para saliente (+ eficiente) • Hay que asignar un número exclusivo para cada ACL:
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 12
Creación de las ACLs
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 13
ACLs estándar
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 14
Creación de ACLs Estándar
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 15
Creación de ACLs Estándar
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 16
Creación de ACLs Estándar
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 17
Creación de ACLs Estándar
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 18
Creación de ACLs Estándar
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 19
Bits de la máscara de wildcard
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 20
ACLs estándar. Ejemplos
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 21
ACLs estándar. Ejemplos (II)
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 22
ACLs extendidas • Ofrecen una mayor cantidad de opciones de control que las ACLs estándares, son más versátiles • Verifican direcciones origen y destino de los paquetes, protocolos, números de puerto y otros parámetros específicos • Las ACLs extendidas usan un número dentro del intervalo del 100 al 199 • Al final de la sentencia de la ACL extendida, se puede especificar opcionalmente el número de puerto de protocolo TCP o UDP para el que se aplica la sentencia: - 20 y 21: datos y programa FTP - 23: Telnet - 25: SMTP - 53: DNS - 69: TFTP
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 23
ACLs extendidas
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 24
ACLs extendidas. Ejemplos
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 25
ACLs extendidas. Ejemplos (II)
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 26
ACLs nombradas
• Permiten que las ACL IP estándar y extendidas se identifiquen con
una cadena alfanumérica (nombre) en lugar de la representación numérica actual (1 a 199) • Se usan si: – Se desea identificar intuitivamente las ACL utilizando un nombre alfanumérico – Existen más de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado • Tener en cuenta que: - No son compatibles con versiones < 11.2 del IOS - No se puede usar el mismo nombre en varias ACLs
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 27
ACLs nombradas
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 28
ACLs y protocolos • ACLs pueden controlar la mayoría de los protocolos en un router Cisco • El protocolo al que tiene que aplicarse la ACL se indica como un número en el intervalo de números de protocolo • Sólo se puede especificar una ACL por protocolo y por trafico en interfaz • Para algunos protocolos, se pueden agrupar hasta 2 ACL a una interfaz (entrante y saliente). Con otros protocolos, se agrupa sólo 1 ACL • Si ACL es entrante, se comprueba al recibir el paquete • Si ACL es saliente, se comprueba después de recibir y enrutar un paquete a la interfaz saliente • Nombrar o numerar un protocolo IP: – usando las palabras reservadas: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp, o udp, o bien – con un nº entero (0 a 255) , que representa un nº de protocolo IP – la palabra reservada ip indica cualquier protocolo Internet – los protocolos y sus números correspondientes se enumeran en RFC 1700, juntoOct2015-Feb2016 Semestre con los números de puerto Ing Carlos Vásquez 29 Ubicación de las ACLs
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 30
Verificación de las ACLs. Comandos
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 31
Acceso a Terminales Virtuales
• ACLs extendidas y estándar se aplican a paquetes que viajan a través
de un router. • No diseñadas para bloquear paquetes que se originan dentro del router. • Una lista de acceso extendida Telnet saliente, por defecto no impide las sesiones Telnet iniciadas por el router.
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 32
Acceso a Terminales Virtuales
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 33
Ejercicios • Escriba los comandos que aplican la ACL del diagrama
Router2(config)# interface ethernet 0
Router2(config-if)# ip access-group 10 out
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 34
Ejercicios
Qué hace la siguiente lista de acceso?.
access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21 access-list 111 permit tcp any any
¿Escriba los comandos que colocan esta ACL en la ubicación correcta?
Router2(config)# interface fa0/0 Router2(config-if)# ip access-group 111 in
Semestre Oct2015-Feb2016 Ing Carlos Vásquez 35
Ejercicios
Cree una lista de acceso para permitir todo el tráfico de la red
192.168.14.0 a la red 192.168.17.0 Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255 Router1(config)# interface FastEthernet0 Router1(config-if)# ip access-group 101 in Semestre Oct2015-Feb2016 Ing Carlos Vásquez 36 Ejercicios Cree una lista de acceso para denegar sólo el tráfico de correo electrónico, ping y TFTP que vaya de la red 192.168.16.0 al host 192.168.17.5