Está en la página 1de 72

Listas de Acceso

Accediendo la WAN Captulo 5

ITE I Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Objetivos
Explicar cmo se utilizan las ACL para proteger una red de sucursal de mediana empresa, incluido el concepto de filtrado de paquetes, el propsito de las ACL, cmo se utilizan para controlar el acceso y los tipos de ACL de Cisco.
Configurar las ACL estndar en una red de sucursal de mediana empresa, incluida la definicin de los criterios de filtrado, la configuracin de las ACL estndar para filtrar el trfico y su aplicacin a las interfaces del router. Configurar las ACL extendidas en una red de sucursal de mediana empresa, incluida la configuracin de las ACL extendidas y denominadas, la configuracin de filtros, la verificacin, la supervisin y la resolucin de problemas de las ACL extendidas. Describir las ACL complejas en una red de sucursal de mediana empresa, incluida la configuracin de ACL dinmicas, reflexivas y basadas en tiempo, la verificacin y resolucin de problemas de las ACL complejas y la explicacin de las claves relevantes.
2006 Cisco Systems, Inc. All rights reserved. Cisco Public

ITE 1 Chapter 6

5.1 Cmo utilizar las ACL para la proteccin de las redes

Accediendo la WAN Captulo 5

ITE I Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

Un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn: Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP Puerto TCP/UDP de origen Puerto TCP/UDP de destino Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos de capa superior.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

10

Cmo funcionan las ACL? Las ACL no actan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al trfico entrante o saliente. Las sentencias de la ACL operan en orden secuencial. Una sentencia implcita final cubre todos los paquetes para los cuales las condiciones no resultan verdaderas (implicit deny any statement/deny all traffic).

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

11

ACL de entrada

ACL de salida

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

12

Las ACL y el enrutamiento, y los procesos de las ACL en un router

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

13

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

14

Cmo funcionan las ACL Estndar?

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

15

A partir del IOS de Cisco Versin 11.2, puede utilizar un nombre para identificar una ACL de Cisco. Los nmeros de ACL del 200 al 1299 son utilizados por otros protocolos (AppleTalk e IPX)
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

16

Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son:
Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible. Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

17

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

18

5.2 Configuracin de las ACL Estndar

Accediendo la WAN Captulo 5

ITE I Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

19

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

20

access-list 2 deny 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

21

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

22

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

23

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

24

Mscaras wildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. La mscara determina qu parte de la direccin IP de origen y destino aplicar a la concordancia de direcciones. Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin. Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin. Las mscaras wildcard generalmente son denominadas mscaras inversas.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

25

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

26

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

27

Palabras clave de la mscara de bits wildcard


La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos los bits de direcciones IP deben coincidir o que slo un host coincide. La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta mscara indica que debe ignorarse toda la direccin IP o que deben aceptarse todas las direcciones.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

28

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

29

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

30

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

31

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

32

Si el router no admite SSH, puede mejorar parcialmente la seguridad de las lneas administrativas restringiendo el acceso VTY con listas de acceso. Las listas de acceso no estn diseadas para bloquear paquetes que se originan dentro del router. Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas.
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

33

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

34

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

35

Creacin de ACL Estndar Nombradas Asignar un nombre a una ACL facilita la comprensin de su funcin. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben comenzar con un nmero.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

36

Creacin de ACL Estndar Nombradas Asignar un nombre a una ACL facilita la comprensin de su funcin. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben comenzar con un nmero.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

37

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

38

Edicin de las ACL nombradas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

39

5.3 Configuracin de las ACL Extendidas

Accediendo la WAN Captulo 5

ITE I Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

40

ACL Extendidas Las ACL extendidas numeradas utilizan los identificadores que van del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. Las ACL extendidas verifican la direccin de origen del paquete, la direccin de destino, los protocolos y los nmeros de puerto (o servicios). Al igual que las ACL estndar las ACL contienen una denegacin implcita.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

41

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

42

Prueba de puertos y servicios Pueden utilizarse operaciones lgicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt).

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

43

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

44

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

45

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

46

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

47

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

48

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

49

5.3 Configuracin de ACL Complejas

Accediendo la WAN Captulo 5

ITE I Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

50

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

51

Beneficios Cuando utilizarlas? Uso de un mecanismo de desafo Cuando desea un usuario remoto para autenticar los usuarios o grupo de usuarios remotos individuales especfico para acceder al host Administracin simplificada en dentro de la red, conectndose internetworks ms grandes desde sus hosts remotos a travs En muchos casos, reduccin de la de Internet. cantidad de procesamiento de un Cuando desea que un router necesario para las ACL subconjunto de hosts de una red Reduccin de la oportunidad de local acceda a un host de una red intromisiones a la red por parte de remota protegida por un firewall. piratas informticos Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

52

ACL dinmicas El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza ACL dinmicas (disponible slo para trfico IP) Dependen de la conectividad Telnet, de la autenticacin (local o remota) y de las ACL extendidas. Permiten el trfico por un perodo determinado

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

53

Ejemplos de ACL dinmicas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

54

Ejemplos de ACL dinmicas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

55

Ejemplos de ACL dinmicas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

56

Ejemplos de ACL dinmicas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

57

ACL reflexivas
Obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Permiten el trfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan fuera de la red. Proporcionan una forma ms exacta de filtrado de sesin que una ACL extendida que utiliza el parmetro established Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas Beneficios Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall. Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de denegacin de servicios. Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor control de los paquetes que ingresan a la red.
ITE 1 Chapter 6 2006 Cisco Systems, Inc. All rights reserved. Cisco Public

58

Ejemplo de ACL reflexivas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

59

Ejemplo de ACL reflexivas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

60

Ejemplo de ACL reflexivas

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

61

ACL basadas en el tiempo Similar en funcin a la ACL extendida, pero admite control de acceso basado en el tiempo.

Beneficios.

Ofrecen al administrador de red ms control de los permisos y denegaciones de acceso a los recursos. Permiten a los administradores de red controlar los mensajes de registro. Las entradas de las ACL pueden registrar el trfico en determinados momentos del da, pero no de forma permanente. De esta manera, los administradores pueden simplemente denegar el acceso, sin tener que analizar los diferentes registros que se generan durante las horas pico.

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

62

Ejemplo de ACL basadas en tiempo

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

63

Ejemplo de ACL basadas en tiempo

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

64

Ejemplo de ACL basadas en tiempo

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

65

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

66

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

67

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

68

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

69

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

70

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

71

ITE 1 Chapter 6

2006 Cisco Systems, Inc. All rights reserved.

Cisco Public

72