CCNA ACL.pdf

5/21/2018 CCNA ACL.pdf

1/58

ListasListas de control de acceso ode control de acceso oACL.ACL.


2/58

ListasListas de control de acceso o ACL.de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o

denegacin que se aplican a direcciones IP o protocolos de capasuperior.

La ACL puede extraer la siguiente informacin del encabezado delpaquete, probarla respecto de las reglas y decidir si "permitir" o"denegar" el ingreso segn los siguientes criterios:

Direccin IP de origen Direccin IP de destino

Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores

y probarla respecto de las reglas. La informacin de las capassuperiores incluye:

Puerto TCP/UDP de origen

Puerto TCP/UDP de destino


3/58

ACLACL


4/58

ACLACL La ACL se revisa de arriba a abajo, una

lnea a la vez, y se busca un patrn quecoincida con el paquete entrante.


5/58

Las tres PLas tres P Puede configurar una ACL por protocolo,

por direccin y por interfaz.

Una ACL por protocolo: para controlar el flujo detrfico de una interfaz, se debe definir una ACL

para ca a protoco o a ta o en a nter az. Una ACL por direccin: las ACL controlan el

trfico en una direccin a la vez de una interfaz.Deben crearse dos ACL por separado para

controlar el trfico entrante y saliente. Una ACL por interfaz: las ACL controlan el trfico

para una interfaz, por ejemplo, Fast Ethernet 0/0.


6/58

ACL, tareasACL, tareas Las ACL realizan las siguientes tareas:

Limitar el trfico de red para mejorar el rendimiento de sta. Brindar control de flujo de trfico.

Proporcionar un nivel bsico de seguridad para el acceso a la red.

Se debe decidir qu tipos de trfico enviar o bloquear en las interfacesdel router.

Controlar las reas de la red a las que puede acceder un cliente. Analizar los hosts para permitir o denegar su acceso a los servicios de

red.

Las ACL inspeccionan los paquetes de la red segn un criterio, como

direccin de origen, de destino, protocolos y nmeros de puerto.Adems de permitir o denegar el trfico, una ACL puede clasificar el trfico

para darle prioridad en la lnea.


7/58

Cmo funcionan las ACLCmo funcionan las ACL Las listas de acceso definen el conjunto de reglas que

proporcionan control adicional para los paquetes queingresan a las interfaces de entrada, paquetes que pasan atravs del router y paquetes que salen de las interfaces desalida del router.

Las ACL no actan sobre paquetes que se originan en elmismo router.

Las ACL se configuran para ser aplicadas al trfico entrante osaliente. ACL de entrada: los paquetes entrantes se procesan antes de ser

enrutados a la interfaz de salida.

ACL de salida: los paquetes entrantes se enrutan a la interfaz desalida y luego son procesados a travs de la ACL de salida.


8/58

ACL de entradaACL de entrada


9/58

ACL de salidaACL de salida


10/58

ACL Cisco: estndar y extendidas.ACL Cisco: estndar y extendidas. Hay dos tipos de ACL Cisco: estndar y extendidas.

ACL estndar Las ACL estndar le permiten autorizar o denegar el

trfico desde las direcciones IP de origen. No importan eldestino del a uete ni los uertos involucrados.

ACL extendidas Las ACL extendidas filtran los paquetes IP en funcin de

varios atributos, por ejemplo: tipo de protocolo,

direcciones IP de origen, direcciones IP de destino, puertosTCP o UDP de origen, puertos TCP o UDP de destino einformacin opcional de tipo de protocolo para una mejordisparidad de control.


11/58

Tipos de ACLTipos de ACL


12/58

Numeracin de las ACLNumeracin de las ACL


13/58

UbicacinUbicacin adecuada de las ACLadecuada de las ACL ACL extendidas lo ms cerca posible del

origen del trfico denegado. De estamanera, el trfico no deseado se filtra sin

atravesar la infraestructura de red.

ACL estndar no especifican lasdirecciones de destino, colquelas lo ms

cerca del destino posible.


14/58

ACLACL EstandarEstandar = Destino= Destino


15/58

ACL Extendida = OrigenACL Extendida = Origen


16/58

Mejores prcticas de las ACLMejores prcticas de las ACL


17/58

Configuracin de las ACL estndarConfiguracin de las ACL estndar Para configurar las ACL estndar numeradas en un router Cisco,

primero debe crear la ACL estndar y, luego, activarla en una

interfaz. El comando de configuracin global access-list define una ACL

estndar con un nmero entre 1 y 99. El software IOS de Cisco

Versin 12.0.1 extendi el rango y permite desde 1300 a 1999.

Estos nmeros adicionales son denominados ACL IP expandidos. Para crear una ACL numerada nombrada 10 que permita la red

192.168.10.0 /24, debe ingresar:

R1(config)# access-list 10 permit 192.168.10.0

Para eliminar la ACL, se utiliza el comando de configuracin globalno access-list .

show access-list


18/58

Configuracin de las ACL estndarConfiguracin de las ACL estndar


19/58

MscarasMscaras wildcardwildcard Una mscara wildcard es una secuencia de

dgitos binarios que le indican al router qupartes del nmero de subred observar.

Las mscaras wildcard utilizan las siguientes

reglas para hacer coincidir sus unos y cerosbinarios.

Bit 0 de mscara wildcard: hacer coincidirel

valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorarel valor de

bits correspondiente de la direccin


20/58

MscarasMscaras wildcardwildcard


21/58

Palabras clave de la mscara de bitsPalabras clave de la mscara de bits wildcardwildcard La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica

que todos los bits de direcciones IP deben coincidir o que slo un

host coincide. La opcin any reemplaza la direccin IP y la mscara

255.255.255.255. Esta mscara indica que debe ignorarse toda la

direccin IP o que deben aceptarse todas las direcciones.


22/58

Palabras clave de la mscara de bitsPalabras clave de la mscara de bits wildcardwildcard


23/58

Procedimientos de configuracin de las ACL estndarProcedimientos de configuracin de las ACL estndar


24/58


25/58


26/58


27/58

ACL para controlar el acceso VTYACL para controlar el acceso VTY Cisco recomienda utilizar SSH para conexiones administrativas a

routers y switches. Si la imagen del software IOS de Cisco en su routerno admite SSH, puede mejorar parcialmente la seguridad de las lneas

administrativas restringiendo el acceso VTY. El comando access-class para filtrar sesiones de Telnet entrantes y

salientes mediante direcciones de origen y para aplicar filtros a laslneas VTY, puede utilizar las sentencias de ACL estndar para controlarel acceso VTY.

La sintaxis del comando access-class es:

access-classaccess-list-number {in [vrf-also] | out}

El parmetro in restringe las conexiones entrantes entre un dispositivoCisco particular y las direcciones de la lista de acceso, mientras que elparmetro out restringe las conexiones salientes entre un dispositivoCisco particular y las direcciones de la lista de acceso.


28/58

ACL para controlar el acceso VTYACL para controlar el acceso VTY Cuando configure las listas de acceso en las VTY, tenga en

consideracin lo siguiente:

Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY

porque un usuario puede intentar conectarse a cualquiera de

ellas.


29/58


30/58

Edicin de las ACL numeradasEdicin de las ACL numeradas


31/58

Comentarios en las ACLComentarios en las ACL


32/58

ACL estndar nombradaACL estndar nombrada


33/58

VisualizarVisualizar los contenidos delos contenidos de laslas ACLACL


34/58

Edicin de ACLEdicin de ACL nombradasnombradas Las ACL nombradas son ms fciles de editar.

A partir del software IOS de Cisco versin 12.3,

las ACL IP nombradas permiten borrar entradasindividuales en una ACL especfica.

Puede usar secuencias de nmeros para insertar

nombrada. Si utiliza una versin anterior del software IOS,

puede agregar sentencias slo al final de la ACLnombrada.

Como puede borrar entradas individuales, puedemodificar su ACL sin necesidad de borrar y luegoreconfigurar toda la ACL.


35/58

Edicin de ACL nombradasEdicin de ACL nombradas


36/58

ACL extendidasACL extendidas ACL extendidas numeradas del 100 al 199

y del 2000 al 2699, ofrecen un total de799 ACL extendidas posibles.

A las ACL extendidas tambin se les

puede asignar un nombre. Las ACL extendidas se utilizan con ms

frecuencia que las ACL estndar porque

proporcionan un mayor control.


37/58

ACL extendidasACL extendidas


38/58

ACL extendidasACL extendidas


39/58

Configuracin de ACL extendidasConfiguracin de ACL extendidas

Sin el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un servidor Web,

pero no lo reciben de ese servidor.


40/58

Cmo aplicar una ACL a una interfazCmo aplicar una ACL a una interfaz


41/58


42/58


43/58


44/58

Tipos de ACL complejasTipos de ACL complejas


45/58

ACL dinmicasACL dinmicas Las ACL dinmicas comienza con la aplicacin de una

ACL extendida para bloquear trfico que atraviesa derouter.

Los usuarios que deseen atravesar el router sonbloqueados por la ACL extendida hasta que utilizanTelnet para conectarse al router y ser autenticados.

En ese momento, se interrumpe la conexin a Telnet,y se agrega una ACL dinmica de nica entrada a laACL extendida existente.

Esta entrada permite el trfico por un perododeterminado; es posible que se produzcan errorespor inactividad y superacin del tiempo de espera.


46/58

ACL dinmicasACL dinmicas


47/58



48/58



49/58

ACL reflexivasACL reflexivas Los administradores de red utilizan las ACL

reflexivas para permitir el trfico IP en sesiones

que se originan en su red y, al mismo tiempo,denegar el trfico IP en sesiones que se originanfuera de la red.

trfico de sesin en forma dinmica. El router examina el trfico saliente y, cuando ve

una conexin, agrega una entrada a una ACLtemporal para permitir la devolucin de

respuestas. Las ACL reflexivas contienen slo entradas

temporales.


50/58

ACL reflexivasACL reflexivas Las ACL reflexivas proporcionan una forma ms

exacta de filtrado de sesin que una ACL extendidaque utiliza el parmetro established presentadoanteriormente.

Si bien son similares en cuanto al concepto delparmetro established, las ACL reflexivas tambinuncionan para e , que no tienen its

ni RST. Las ACL reflexivas slo pueden definirse con ACL IP

extendidas nombradas. No pueden definirse con ACLnumeradas ni estndar nombradas ni con otras ACL

protocolo. Las ACL reflexivas pueden utilizarse con otras ACL

estndar y extendidas estticas.


51/58

Beneficios de las ACL reflexivasBeneficios de las ACL reflexivas Ayudan a proteger la red de piratas informticos y

pueden incluirse en un firewall.

Proporcionan un nivel de seguridad contra ataques desuplantacin de identidad y de denegacin deservicios.

Las ACL reflexivas son mucho ms resistentes a losataques de suplantacin de identidad porque debencoincidir ms criterios de filtro antes de dejaringresar un paquete. Por ejemplo, se verifican lasdirecciones de origen y de destino y los nmeros depuerto, no solamente los bits ACK y RST.

Son fciles de utilizar y, comparadas con las ACLbsicas, proporcionan un mayor control de lospaquetes que ingresan a la red.


52/58

ACL reflexivasACL reflexivas


53/58



54/58



55/58

ACL basadas en el tiempoACL basadas en el tiempo La ACL basada en el tiempo es similar en funcin a la

ACL extendida, pero admite control de acceso basado

en el tiempo. Para implementar las ACL basadas en el tiempo, debe

crear un rango horario que defina la hora especfica del

da y la semana.

Debe identificar el rango de tiempo con un nombre y,

luego, remitirse a l mediante una funcin.

Las restricciones temporales son impuestas en la misma

funcin.


56/58

ACL basadas en el tiempoACL basadas en el tiempo


57/58


Paso 1. Defina el rango de tiempo para implementar la ACL y darle el nombreEVERYOTHERDAY, en este caso.

Paso 2. Aplique el rango de tiempo a la ACL.


58/58


Paso 3. Aplique la ACL a la interfaz.

CCNA ACL.pdf

Documents

Transcript of CCNA ACL.pdf