Access Control List

Modulo 11, Semestre 2 CCNA.

Introducción

Las listas de control de Acceso (ACLs) son un conjunto de condiciones que se aplican al tráfico que viaja a traves de la interfaz de un enrutador.

Las ACLs le dicen al entutador que tipos de paquetes aceptar o negar.

Con estas listas podemos habilitar el manejo del tráfico y accesos seguros desde y hacia una red ya sea interna o externa.

Búsqueda secuencial.

Rango de ACLs según el protocolo.

Basic Rules. Una lista de acceso por protocolo por dirección.

Las ACLs estándares deben aplicarse lo mas cerca al destino.

Las ACLs extendidas deben aplicarse lo mas cerca a la fuente.

Para saber si la aplicación de la lista sera de entrada o de salida tenemos que visualizar como el router ve el tráfico.

Los enunciados son procesados de forma secuencial desde el inicio hasta que el tráfico coincide con alguno. Si no coincide con ningún enunciado entonces el paquete es negado.

Existe un “implicit deny” al final de todas las ACLs.

Los enunciados de las ACLs deben escribirse de lo especifico a lo general (hosts especificos deben negarse primero y grupos o filtros mas generales después).

Rules. Primero se evalua si el tráfico coincide con alguna regla, si

coincide con alguna, entonces se realiza la función de permitir o negar.

Nunca trabajar con una ACL que se encuentra aplicada y funcionando en una interfaz.

Se recomienda utilizar un editor de texto para crear comentarios sobre las condiciones que se estan evaluando para corrobar que es la lógica correcta.

Al añadir nuevas lineas a una ACL, se agregarán al final de la lista. El comando no access-list x removerá toda la lista, no se pueden seleccionar únicamente líneas para borrar.

Una IP ACL enviará un “ICMP host unreachable message” a quien envía un paquete que fue rechazado y descartará el paquete.

Hay que tener cuidado al remover una ACL. Si esta se encuentra aplicada a una interfaz en producción y es removida puede que el IOS (varia segun la version) niegue todo el tráfico.

Wildcard y palabras especiales.

Wildcard mask es una cantidad de 32 bits dividida en 4 octetos.

Los 0s y los 1s se utilizan para identificar como se deben tratar los bits correspondientes de la IP.

Existen algunas palabras con las que se pueden sustituir las wildcard masks. La palabra host sustituye a la wildcard mask 0.0.0.0 y any sustituye a 255.255.255.255.

Verificando ACLs

Comandos show que nos permiten verificar la creación y aplicación de nuestras ACLs:

– show ip interface

– show access-lists

– show running-config

Standard ACLs.

Extended ACLs.

Extended ACLs.

Named ACLs

IP named ACLs se introdujeron a partir de los Cisco IOS 11.2, permitiendo las ACLs standard y extended pudieran definirse con nombres en lugar de números.

Ventajas:

– Es mas fácil identificar a una ACL por un nombre. – Elimina las reestricciones de la numeración por tipo de ACL.– Provee la habilidad de modificar las ACLs sin borrarlas. Se

pueden añadir líneas al final de las ya creadas.

Named ACLs

Placing ACLs.

Recordar: Un administrador sólo puede colocar una ACL en un router sobre el cual tenga control, por lo tanto el lugar donde se coloca debe ser determinado por el contexto en el que nos encontramos.

Firewalls. Recordando:

– Un firewall es una estructura que existe entre el usuario y el mundo exterior para proteger nuestra red interna de intrusos. Las ACLs pueden funcionar como Firewalls.

Restricting VTYs

Para aplicar una ACL a una interfaz utilizamos el comando ip access-group, para aplicarla a una terminal virtual utilizamos el comando access-class.

Consideraciones al configurar lineas VTY:

– Solo pueden ser aplicadas “numbered ACLs”.

– Se tienen que establecer reestricciones idénticas en todas las terminales virtuales, ya que un intruso puede tratar de conectarse a cualquiera de ellas.

Restricting VTYs

TAREA

Leer:– Modulo 11, CCNA Semestre 2.