Tutorial de Configuracion de Una Conexion VPN en Microsoft Windows 7
Tutorial de Listas de Control de Acceso Configuracion
-
Upload
carlos-galviz-sanchez -
Category
Documents
-
view
220 -
download
0
Transcript of Tutorial de Listas de Control de Acceso Configuracion
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 1/20
http://www.cisco.com/cisco/web/support/LA/7/75/75923_confaccesslists.html
Conceptos de ACL
Esta sección describe los conceptos de ACL.
Máscaras
Las máscaras se usan con direcciones IP en ACL IP para especificar qué debe permitirse y qué debe
denegarse. Las máscaras para configurar direcciones IP en interfaces empiean por !"" y tienen los
#alores más altos a la iquierda $por e%emplo& dirección IP !'(.)*".!'!.)!( con una máscara de
!"".!"".!"".!!+,. Las máscaras para las ACL IP son lo opuesto- por e%emplo- máscara '.'.'.!"". Esto a
#eces se denomina una máscara in#ersa o una máscara comodn. Cuando el #alor de la máscara se
subdi#ide en binario $' y ),- el resultado determina qué bits de dirección se considerarán en el
procesamiento del tráfico. La presencia de un ' indica que deben tenerse en cuenta los bits de la
dirección $coincidencia e/acta,0 un ) en la máscara indica que no es rele#ante. En esta tabla se ampla el
concepto.
Ejemplo de máscara
direcciónde red$tráfico quese #a aprocesar,
10.1.1.0
máscara 0.0.0.255
direcciónde red$binaria,
00001010.00000001.00000001.00000000
máscara$binaria,
00000000.00000000.00000000.11111111
1asándose en la máscara binaria- puede #er que los primeros tres grupos $octetos, deben coincidir
e/actamente con la dirección de red binaria dada $'''')')'.''''''').'''''''),. Los 2ltimos con%untos
de n2meros no son rele#antes $.)))))))),. Por lo tanto- todo el tráfico que empiece por )'.).). coincidira-
puesto que el 2ltimo octeto no es rele#ante. Por consiguiente- con esta máscara- se procesarán las
direcciones desde la )'.).).) 3asta la )'.).).!"" $)'.).)./,.
4este la máscara normal de !"".!"".!"".!"" para determinar la máscara in#ersa de la ACL. En estee%emplo- la máscara in#ersa está determinada para la dirección de red )5!.)*.).' con una máscara
normal de !"".!"".!"".'.
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 2/20
• !"".!"".!"".!"" 6 !"".!"".!"".' $máscara normal, 7 '.'.'.!"" $máscara in#ersa,
8enga en cuenta estos equi#alentes de ACL.
• El #alor source9source6:ildcard de '.'.'.'9!"".!"".!"".!"" significa cualquiera.
• El #alor source9:ildcard de )'.).).!9'.'.'.' es el mismo que 3ost )'.).).!.
4esumen de ACL
Nota: las máscaras de subred también pueden representarse como anotaciones de longitud fi%a. Por
e%emplo- )(!.)*;.)'.'9!+ representa )(!.)*;.)'.' !"".!"".!"".'.
En esta lista se describe cómo resumir un rango de redes en una sola red para la optimiación de ACL.
8enemos estas redes.
192.168.32.0/24
192.168.33.0/24192.168.34.0/24192.168.35.0/24192.168.36.0/24192.168.37.0/24192.168.38.0/24192.168.39.0/24
Los primeros dos octetos y el 2ltimo octeto son iguales para cada red. En esta tabla se e/plica cómo
resumirlas en una sola.
El tercer octeto de las redes anteriores se puede escribir como se indica en esta tabla- seg2n la posición
del bit del octeto y el #alor de dirección de cada bit.
<ecimal )!; *+ =! )* ; + ! )
=! ' ' ) ' ' ' ' '
== ' ' ) ' ' ' ' )
=+ ' ' ) ' ' ' ) '
=" ' ' ) ' ' ' ) )
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 3/20
=* ' ' ) ' ' ) ' '
=5 ' ' ) ' ' ) ' )
=; ' ' ) ' ' ) ) '
=( ' ' ) ' ' ) ) )
M M M M M < < <
Como los cinco primeros bits coinciden- las oc3o redes anteriores se pueden resumir en una red
$)(!.)*;.=!.'9!) o )(!.)*;.=!.' !"".!"".!+;.',. Las oc3o combinaciones posibles de los tres bits de
orden ba%o son rele#antes para los rangos de red en cuestión. Este comando define una ACL que permite
esta red. >i resta !"".!"".!+;.' $máscaa normal, de !"".!"".!"".!""- el resultado es '.'.5.!"".
access-list acl_permit permit ip 192.168.32.0
0.0.7.255
8enga en cuenta este con%unto de redes para profundiar en el tema.
192.168.146.0/24192.168.147.0/24192.168.148.0/24192.168.149.0/24
Los primeros dos octetos y el 2ltimo octeto son iguales para cada red. En esta tabla se e/plica cómo
resumirlas.
El tercer octeto de las redes anteriores se puede escribir como se indica en esta tabla- seg2n la posición
del bit del octeto y el #alor de dirección de cada bit.
<ecimal )!; *+ =! )* ; + ! )
)+* ) ' ' ) ' ' ) '
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 4/20
)+5 ) ' ' ) ' ' ) )
)+; ) ' ' ) ' ) ' '
)+( ) ' ' ) ' ) ' )
M M M M M ? ? ?
A diferencia del e%emplo anterior- estas redes no se pueden resumir en una sola- se necesitan dos como
mnimo. Las redes anteriores pueden resumirse en estas dos redes&
• En el caso de las redes )(!.)*;.)+*./ y )(!.)*;.)+5./- coinciden todos los bits menos el 2ltimo-
que no es rele#ante. Esto puede escribirse como )(!.)*;.)+*.'9!= $o )(!.)*;.)+*.'
!"".!"".!"+.',.
• En el caso de las redes )(!.)*;.)+;./ y )(!.)*;.)+(./- también coinciden todos los bits menos
el 2ltimo- que nue#amente no es rele#ante. Esto puede escribirse como )(!.)*;.)+;.'9!= $o
)(!.)*;.)+;.' !"".!"".!"+.',.
El siguiente resultado define la ACL resumida de las redes anteriores.
access-list 10 permit ip 192.168.146.0 0.0.1.255access-list 10 permit ip 192.168.148.0 0.0.1.255
Procesamiento de ACL
El tráfico que entra en el router se compara con las entradas de ACL seg2n el orden de las entradas en el
router. >e agregan nue#as sentencias al final de la lista. El router sigue mirando 3asta que encuentra una
coincidencia. >i el router llega al final de la lista y no 3a encontrado ninguna coincidencia- el tráfico se
rec3aa. Por este moti#o- debe tener las entradas consultadas con frecuencia al principio de la lista. @ayun rec3ao implcito para el tráfico que no está permitido. na ACL de 2nica entrada con una sola entrada
BdenyB tiene el efecto de rec3aar todo el tráfico. >i no tiene como mnimo una sentencia BpermitB en una
ACL- se bloqueará todo el tráfico. Estas dos ACL $)') y )'!, tienen el mismo efecto.
access-list 101 permit ip 10.1.1.0 0.0.0.255172.16.1.0 0.0.0.255
access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.00.0.0.255access-list 102 deny ip any any
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 5/20
En este e%emplo- la 2ltima entrada es suficiente. o necesita las tres primeras entradas porque 8CP
incluye 8elnet e IP incluye 8CP- el Protocolo de datagrama de usuario $<P, y el Protocolo de mensa%es
de control de Internet $ICMP,.
access-list 101 permit tcp host 10.1.1.2 host172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1access-list 101 permit udp host 10.1.1.2 host 172.16.1.1access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.00.0.0.255
<efinición de puertos y tipos de mensa%es
Además de definir el origen y el destino de las ACL- es posible definir los puertos- los tipos de mensa%es
ICMP y otros parámetros. na buena fuente de información para los puertos conocidos es 4DC )5'' .
Los tipos de mensa%es ICMP se e/plican en 4DC 5(! .
El router puede mostrar te/tos descripti#os de algunos puertos conocidos. se un smbolo ? para obtener
ayuda.
access-list 102 permit tcp host 10.1.1.1 host172.16.1.1 eq bgp Border Gateway Protocol (179) carge! "aracter ge!erator (19) c#d $e#ote co##a!d% (rc#d& 514)
<urante la configuración- el router también con#ierte #alores numéricos en #alores más fáciles de utiliar.
En este e%emplo- al escribir el n2mero de tipo de mensa%e ICMP- el router con#ierte el n2mero en un
nombre.
access-list 102 permit icmp host 10.1.1.1 host172.16.1.1 14
se con#ierte en
access-list 102 permit icmp host 10.1.1.1 host172.16.1.1 timestamp-reply
Aplicación de ACL
Es posible definir las ACL sin aplicarlas. o obstante- las ACL no surten efecto 3asta que se aplican a la
interfa del router. Por tanto- se recomienda aplicar la ACL en la interfa más pró/ima al origen del tráfico.
Como se muestra en este e%emplo- cuando intente bloquear el tráfico del origen al destino- puede aplicar
una ACL entrante a E' en el router A en #e de una lista saliente a E) en el router C.
<efinición de In- ut- >ource y <estination
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 6/20
El router utilia los términos BinB- BoutB- BsourceB y BdestinationB como referencias. >e podra comparar el
tráfico del router con el tráfico de una autopista. >i fuera un agente de polica de Lérida y quisiera parar un
camión que #a de 8arragona a 1arcelona- el origen del camión sera 8arragona y su destino 1arcelona. El
control de carretera se colocara en la frontera entre Lérida y 1arcelona $BoutB, o en la frontera entre
8arragona y Lérida $BinB,.
Aplicados a un router- dic3os términos tienen los siguientes significados.
• Out & el tráfico que ya 3a pasado por el router y está saliendo de la interfa. El origen es por
donde 3a pasado $en el otro e/tremo del router, y el destino es adonde #a.
• In& el tráfico que llega a la interfa y luego pasa por el router. El origen es por donde 3a pasado y
el destino es adonde #a $en el otro e/tremo del router,.
La ACL BinB tiene un origen en un segmento de la interfa al que se aplica y un destino fuera de cualquier
otra interfa. La ACL BoutB tiene un origen en un segmento de cualquier interfa distinta a la interfa a la
que se aplica y un destino fuera de la interfa a la que se aplica.
Edición de ACL
La modificación de una ACL requiere especial atención. Por e%emplo- si intenta eliminar una lnea concreta
de una ACL numerada como se muestra aqu- se eliminará toda la ACL.
ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/. ro'ter(co!*+g)access-list 101 deny icmp any any ro'ter(co!*+g)access-list 101 permit ip any any ro'ter(co!*+g)#$
ro'tersho% access-list te!ded P acce%% l+%t 101 de!y +c#p a!y a!y per#+t +p a!y a!y ro'ter ar 9 004312.784 5",:G; "o!*+g'red *ro# co!%oleby co!%ole
ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/. ro'ter(co!*+g)no access-list 101 deny icmp any any ro'ter(co!*+g)#$
ro'tersho% access-list ro'ter ar 9 004329.832 5",:G; "o!*+g'red *ro# co!%oleby co!%ole
Copie la configuración del router y péguela en un ser#idor 8D8P o en un editor de te/to como 1loc de
notas para modificar las ACL numeradas. <espués- realice los cambios deseados- copie la configuración y
péguela en el router.
8ambién puede 3acer lo siguiente.
ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e.
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 7/20
ro'ter(co!*+g)ip access-list e&tended test ro'ter(co!*+get!acl) permit ip host 2.2.2.2 host 3.3.3.3 ro'ter(co!*+get!acl) permit tcp host 1.1.1.1 host 5.5.5.5eq %%% ro'ter(co!*+get!acl) permit icmp any any ro'ter(co!*+get!acl) permit udp host 6.6.6.6 10.10.10.0
0.0.0.255 eq domain ro'ter(co!*+get!acl)#$ 1d00 5",:G; "o!*+g'red *ro# co!%ole by co!%ole%l
ro'tersho% access-list te!ded P acce%% l+%t te%t per#+t +p o%t 2.2.2.2 o%t 3.3.3.3 per#+t tcp o%t 1.1.1.1 o%t 5.5.5.5 e< www per#+t +c#p a!y a!y per#+t 'dp o%t 6.6.6.6 10.10.10.0 0.0.0.255 e< do#a+!
8odas las entradas eliminadas se borran de la ACL y todas las adiciones se agregan a su parte final.
ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/. ro'ter(co!*+g)ip access-list e&tended test
!--- Entrada de ACL eliminada
ro'ter(co!*+get!acl)no permit icmp any any
!--- Entrada de ACL agregada
ro'ter(co!*+get!acl) permit "re host 4.4.4.4 host 8.8.8.8
ro'ter(co!*+get!acl)#$ 1d00 5",:G; "o!*+g'red *ro# co!%ole by co!%ole%l
ro'tersho% access-list te!ded P acce%% l+%t te%t per#+t +p o%t 2.2.2.2 o%t 3.3.3.3 per#+t tcp o%t 1.1.1.1 o%t 5.5.5.5 e< www per#+t 'dp o%t 6.6.6.6 10.10.10.0 0.0.0.255 e< do#a+! per#+t gre o%t 4.4.4.4 o%t 8.8.8.8
8ambién puede agregar lneas de ACL a ACL numeradas estándar o ampliadas por n2mero de secuencia
en Cisco I>. Este es un e%emplo de la configuración&
Configure la ACL ampliada de esta manera&
$o'ter(co!*+g)access-list 101 permit tcp any any$o'ter(co!*+g)access-list 101 permit udp any any$o'ter(co!*+g)access-list 101 permit icmp any any$o'ter(co!*+g)e&it$o'ter
E%ecute el comando show access-list para #er las entradas de la ACL. Los n2meros de secuencia como)'- !' y =' también aparecen aqu.
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 8/20
$o'tersho% access-listte!ded P acce%% l+%t 101 10 per#+t tcp a!y a!y 20 per#+t 'dp a!y a!y 30 per#+t +c#p a!y a!y
Agregue la entrada para la lista de acceso )') con el n2mero de secuencia ".
Ejemplo 1:
$o'tercon!i"ure terminal!ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/.$o'ter(co!*+g)ip access-list e&tended 101$o'ter(co!*+get!acl)5 deny tcp any any eq telnet$o'ter(co!*+get!acl)e&it$o'ter(co!*+g)e&it$o'ter
En el resultado del comando show access-list- la ACL de n2mero de secuencia " se agrega como la
primera entrada a la lista de acceso )').
$o'tersho% access-listte!ded P acce%% l+%t 101 5 deny tcp any any eq telnet 10 per#+t tcp a!y a!y 20 per#+t 'dp a!y a!y 30 per#+t +c#p a!y a!y$o'ter
Ejemplo 2:
+!ter!etro'tersho% access-listste!ded P acce%% l+%t 101 10 per#+t tcp a!y a!y 15 per#+t tcp a!y o%t 172.162.2.9 20 per#+t 'dp o%t 172.16.1.21 a!y 30 per#+t 'dp o%t 172.16.1.22 a!y
+!ter!etro'tercon!i"ure terminal!ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/.+!ter!etro'ter(co!*+g)ip access-list e&tended 101
+!ter!etro'ter(co!*+get!acl)18 per tcp any host 172.162.2.11+!ter!etro'ter(co!*+get!acl)#$
+!ter!etro'tersho% access-listste!ded P acce%% l+%t 101 10 per#+t tcp a!y a!y 15 per#+t tcp a!y o%t 172.162.2.9 18 per#+t tcp a!y o%t 172.162.2.11 20 per#+t 'dp o%t 172.16.1.21 a!y 30 per#+t 'dp o%t 172.16.1.22 a!y+!ter!etro'ter
<e igual modo- puede configurar la lista de acceso estándar de esta forma&
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 9/20
+!ter!etro'ter(co!*+g)access-list 2 permit 172.16.1.2+!ter!etro'ter(co!*+g)access-list 2 permit 172.16.1.10+!ter!etro'ter(co!*+g)access-list 2 permit 172.16.1.11
+!ter!etro'tersho% access-liststa!dard P acce%% l+%t 2
30 per#+t 172.16.1.11 20 per#+t 172.16.1.10 10 per#+t 172.16.1.2
+!ter!etro'ter(co!*+g)ip access-list standard 2+!ter!etro'ter(co!*+g%td!acl)25 per 172.16.1.7+!ter!etro'ter(co!*+g%td!acl)15 per 172.16.1.16
+!ter!etro'tersho% access-liststa!dard P acce%% l+%t 2 15 permit 172.16.1.16 30 per#+t 172.16.1.11 20 per#+t 172.16.1.10 25 permit 172.16.1.7 10 per#+t 172.16.1.2
La principal diferencia en una lista de acceso estándar es que Cisco I> agrega una entrada por orden
descendente de dirección IP- no en un n2mero de secuencia.
Este e%emplo muestra las diferentes entradas- por e%emplo- cómo permitir una dirección IP
$)(!.)*;.)''.', o las redes $)'.)'.)'.',.
+!ter!etro'tersho% access-lists
ta!dard P acce%% l+%t 19 10 per#+t 192.168.100.0 15 per#+t 10.10.10.0& w+ldcard b+t% 0.0.0.255 19 per#+t 201.101.110.0& w+ldcard b+t% 0.0.0.255 25 de!y a!y
Agregue la entrada a la lista de acceso ! para permitir la dirección IP )5!.!!.).)&
+!ter!etro'ter(co!*+g)ip access-list standard 2+!ter!etro'ter(co!*+g%td!acl)18 permit 172.22.1.1
Esta entrada se agrega a la parte superior de la lista para dar prioridad a la dirección IP especfica enlugar de a la red.
+!ter!etro'tersho% access-liststa!dard P acce%% l+%t 19 10 per#+t 192.168.100.0 18 permit 172.22.1.1 15 per#+t 10.10.10.0& w+ldcard b+t% 0.0.0.255 19 per#+t 201.101.110.0& w+ldcard b+t% 0.0.0.255 25 de!y a!y
Nota: las ACL anteriores no se admiten en un dispositi#o de seguridad como A>A9PIF Dire:all.
4esolución de problemas
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 10/20
GCómo se elimina una ACL de una interfa?
Acceda al modo de configuración y escriba no delante del comando access-group- como se muestra en
este e%emplo- para quitar una ACL de una interfa.
inter!ace 'inter!ace( no ip access-"roup )in*out
GHué se puede 3acer cuando se rec3aa demasiado tráfico?
>i se rec3aa demasiado tráfico- e/amine la lógica de la lista o intente definir y aplicar una lista más
amplia. El comando show ip access-lists proporciona un recuento de paquetes en el que se indica qué
entrada de ACL se utilia.
La palabra cla#e log- al final de las entradas de ACL- indica el n2mero de listas y si el paquete se 3a
permitido o rec3aado- además de datos especficos del puerto.
Nota: la palabra cla#e log-input está presente en la #ersión )).! y posteriores del soft:are Cisco I>- as
como en cierto soft:are basado en la #ersión )).) de Cisco I> creado especficamente para el mercado
de pro#eedores de ser#icios. Este soft:are anterior no admite esta palabra cla#e. >u uso incluye la
interfa de entrada y la dirección MAC de origen all donde proceda.
GCómo se puede depurar en el ni#el de los paquetes con un router de Cisco?
En este procedimiento se e/plica el proceso de depuración. Antes de empear- compruebe que no se
3aya aplicado ninguna ACL en ese momento- que e/ista una ACL y que no esté in3abilitada la
conmutación rápida.
Nota: tenga muc3o cuidado al depurar un sistema con tráfico intenso. se una ACL para depurar un
tráfico especfico. o obstante- debe estar seguro del proceso y del flu%o de tráfico.
). E%ecute el comando access-list para capturar los datos deseados.
En este e%emplo- se 3a configurado la captura de datos de la dirección de destino )'.!.*.* o de la
dirección de origen )'.!.*.*.
access-list 101 permit ip any host10.2.6.6access-list 101 permit ip host 10.2.6.6 any
!. In3abilite la conmutación rápida en las interfaces in#olucradas. >ólo podrá #er el primer paquete
si está 3abilitada la conmutación rápida.
3. con!i" inter!ace4. no ip route-cache
". E%ecute el comando terminal monitor en modo 3abilitado para mostrar el resultado del
comando debug y mensa%es de error del sistema del terminal y la sesión actuales.
*. E%ecute el comando debug ip packet 11 o el comando debug ip packet 11 detail paraempear el proceso de depuración.
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 11/20
5. E%ecute el comando no debug all en modo 3abilitar y el comando inter!ace con!iguration para
detener el proceso de depuración.
;. uel#a a iniciar la memoria cac3é.
9. con!i" inter!ace10.ip route-cache
8ipos de ACL IP
Esta sección del documento describe los tipos de ACL.
<iagrama de la red
ACL estándar
Las ACL estándar son el tipo más antiguo de ACL. >u aparición se remonta a la #ersión ;.= del soft:are
Cisco I>. Las ACL estándar controlan el tráfico por medio de la comparación de la dirección de origen de
los paquetes IP con las direcciones configuradas en la ACL.
Este es el formato de la sinta/is de los comandos de una ACL estándar.
access-list access-list-number +permit*deny,+host|source source-wildcard *any,
En todas las #ersiones del soft:are- access-list-number puede ser cualquier n2mero del ) al ((. En la
#ersión )!.'.) del soft:are Cisco I>- las ACL estándar empiean a usar más n2meros $del )='' al
)(((,. Estos n2meros adicionales se denominan ACL IP ampliadas. En la #ersión )).! del soft:are Cisco
I> se aJadió la posibilidad de utiliar un #alor name de l ista en las ACL estándar.
na configuración source/source-wildcard de '.'.'.'9!"".!"".!"".!"" puede especificarse como an". El
comodn puede omitirse si está formado sólo por ceros. Por consiguiente- el 3ost )'.).).! '.'.'.' es igual
al 3ost )'.).).!.
<espués de definir la ACL- se debe aplicar a la interfa $entrante y saliente,. En #ersiones anteriores del
soft:are- BoutB era el #alor predeterminado cuando la palabra cla#e BoutB o BinB no se 3aba especificado.
En las #ersiones posteriores del soft:are- se debe especificar la dirección.
inter!ace 'inter!ace( ip access-"roup number {in|out}
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 12/20
Este es un e%emplo del uso de una ACL estándar para bloquear todo el tráfico e/cepto el procedente del
origen )'.).)./.
inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup 1 inaccess-list 1 permit 10.1.1.0 0.0.0.255
ACL ampliadas
Las ACL ampliadas se introdu%eron en la #ersión ;.= del soft:are Cisco I>. Controlan el tráfico por medio
de la comparación de las direcciones de origen y destino de los paquetes IP con las direcciones
configuradas en la ACL.
Este es el formato de la sinta/is de los comandos de las ACL ampliadas. >e 3an aJadido saltos de lnea
por cuestiones de espacio.
IP
access-list access-list-number =dynamic dynamic-name =timeout minutes>>?de!y @ per#+tA protocol source source-wildcard destinationdestination-wildcard =precede!ce precedence>=to% tos> =log @ log+!p't> =t+#era!ge time-range-name>
ICMP
access-list access-list-number =dynamic dynamic-name =timeout minutes>>?de!y @ per#+tA icmp source source-wildcard destination destination-
wildcard
=icmp-type @ ==icmp-type icmp-code> @ =icmp-message>>= precedence precede!ce> =tos to%> =log @ log+!p't>=t+#era!ge time-range-name>
8CP
access-list access-list-number =dynamic dynamic-name =timeout minutes>>?de!y @ per#+tA tcp source source-wildcard =operator = port>>destination destination-wildcard =operator = port>> =esta/lished >= precedence precede!ce> =tos to%> =log @ log+!p't>=t+#era!ge time-range-name>
<P
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 13/20
access-list access-list-number =dynamic dynamic-name =timeout #+!'te%>>?de!y @ per#+tA udp source source-wildcard =operator = port>>destination destination-wildcard =operator = port>>
= precedence precede!ce> =tos to%> =log @ log+!p't>=t+#era!ge time-range-name>
En todas las #ersiones del soft:are- access-list-number puede ser del )') al )((. En la #ersión )!.'.) del
soft:are Cisco I>- las ACL ampliadas empiean a usar más n2meros $del !''' al !*((,. Estos n2meros
adicionales se denominan ACL IP ampliadas. En la #ersión )).! del soft:are Cisco I> se aJadió la
posibilidad de utiliar un #alor name de lista en las ACL ampliadas.
El #alor de '.'.'.'9!"".!"".!"".!"" se puede especificar como an". <espués de definir la ACL- se debe
aplicar a la interfa $entrante y saliente,. En #ersiones anteriores del soft:are- BoutB era el #alor
predeterminado cuando la palabra cla#e BoutB o BinB no se 3aba especificado. En las #ersiones
posteriores del soft:are- se debe especificar la dirección.
inter!ace 'inter!ace( ip access-"roup +number|name, +in|out,
Esta ACL ampliada sir#e para permitir el tráfico en la red )'.).)./ $interna, y para recibir respuestas de
ping de fuera a la #e que impide los pings no solicitados de usuarios e/ternos $aunque permite el resto
del tráfico,.
inter!ace thernet01ip address 172.16.1.2 255.255.255.0ip access-"roup 101 inaccess-list 101 deny icmp any 10.1.1.0 0.0.0.255 echoaccess-list 101 permit ip any 10.1.1.0 0.0.0.255
Nota: algunas aplicaciones- por e%emplo- la administración de red- necesitan pings para una función de
seJal de mantenimiento. >i éste fuera el caso- sera me%or que limitara los pings de bloqueo entrantes o
que fuera más detallado en relación con los IP permitidos9denegados.
LocK6and6ey $ACL dinámicas,
La función LocK6and6ey $también conocida como ACL dinámicas, apareció en la #ersión )).) del
soft:are Cisco I>. Esta función depende de 8elnet- de la autenticación $local o remota, y de las ACL
ampliadas.
La configuración de LocK6and6ey comiena con la aplicación de una ACL ampliada para bloquear el
tráfico que pasa por el router. La ACL ampliada bloquea a los usuarios que desean pasar por el router
3asta que establecen una cone/ión desde 8elnet al router y son autenticados. Luego- se pierde la
cone/ión 8elnet y se agrega una ACL dinámica de una 2nica entrada a la ACL ampliada e/istente. <e esta
forma- se permite el tráfico durante un tiempo concreto0 se admiten tiempos de espera absolutos e
inacti#os.
Este es el formato de la sinta/is de los comandos para la configuración de LocK6and6ey con
autenticación local.
username username pass%ord password inter!ace 'inter!ace(
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 14/20
ip access-"roup +number|name, +in|out,
<espués de la autenticación- se agrega dinámicamente la ACL de una 2nica entrada a la ACL e/istente.
access-list access-list-number dynamic name+permit*deny, protocol+source source-wildcard *any, +destination destination-wildcard *any,precedence precedencetos tosesta/lished lo"*lo"-inputoperator destination-port|destination port
line ty line_range
lo"in local
A continuación se muestra un e%emplo básico de LocK6and6ey.
username test pass%ord 0 test
!--- Diez (minutos) es el tiempo de espera
inactivo.
username test autocommand access-ena/le host timeout10
inter!ace thernet00 ip address 10.1.1.1 255.255.255.0 ip access-"roup 101 in
access-list 101 permit tcp any host 10.1.1.1 eq telnet
!--- (minutos) es el tiempo de espera
absoluto.
access-list 101 dynamic testlist timeout 15 permitip 10.1.1.0 0.0.0.255172.16.1.0 0.0.0.255
line ty 0 4lo"in local
Cuando el usuario de )'.).).! se conecta con 8elnet a )'.).).)- se aplica la ACL dinámica. Luego se
pierde la cone/ión y el usuario puede ir a la red )5!.)*.)./.
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 15/20
ACL con nombre IP
Las ACL con nombre IP aparecieron en la #ersión )).! del soft:are Cisco I>. As se permite que las ACL
estándar y ampliadas reciban nombres en #e de n2meros.
Este es el formato de la sinta/is de los comandos de las ACL con nombre IP.
ip access-list +e&tended*standard, name
A continuación se muestra un e%emplo de 8CP&
permit*deny tcp source source-%ildcard operatorportdestination destination-%ildcard operator port esta/lishedprecedence precedence tos tos lo" time-ran"e time-range-
name
En este e%emplo se ilustra el uso de una ACL con nombre para bloquear todo el tráfico e/cepto la
cone/ión 8elnet del 3ost )'.).).! al 3ost )5!.)*.).).
inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup in_to_out in
ip access-list e&tended in_to_out permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
ACL refle/i#as
Las ACL refle/i#as se introdu%eron en la #ersión )).= del soft:are Cisco I>. Permiten filtrar los paquetes
IP seg2n los datos de sesión de capa superior. >uelen utiliarse para permitir el tráfico saliente y para
limitar el tráfico entrante como respuesta a sesiones que se originan dentro del router.
Las ACL refle/i#as sólo pueden ser definidas %unto con las ACL con nombre IP ampliadas. o se pueden
definir con ACL con nombre IP numeradas o estándar- ni con ACL de otros protocolos. Las ACL refle/i#as
pueden utiliarse con%untamente con otras ACL ampliadas estándar y estáticas.
Esta es la sinta/is de los di#ersos comandos de las ACL refle/i#as.
inter!aceip access-"roup +number|name, +in*out,
ip access-list e&tended name permit protocol any any re!lect name timeoutsecondsip access-list e&tended name
ealuate name
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 16/20
En este e%emplo se ilustra cómo se permite el tráfico ICMP saliente y entrante- a la #e que sólo se
permite el tráfico 8CP iniciado desde dentro $el resto del tráfico se rec3aa,.
ip re!le&ie-list timeout 120
inter!ace thernet01 ip address 172.16.1.2 255.255.255.0 ip access-"roup in/ound!ilters in ip access-"roup out/ound!ilters out
ip access-list e&tended in/ound!ilters permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255ealuate tcptra!!ic
!--- As" se vincula la parte de la ACL re#le$iva
de la ACL de #iltros de salida (outbound#ilters)%
!--- llamada &tcptra##ic&% a la ACL de #iltros de entrada
(inbound#ilters).
ip access-list e&tended out/ound!ilters permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 re!lecttcptra!!ic
ACL basadas en tiempo que utilian inter#alos de tiempo
Las ACL basadas en tiempo se introdu%eron en la #ersión )!.'.).8 del soft:are Cisco I>. Aunque su
función es similar a la de las ACL ampliadas- permiten el control de acceso seg2n el tiempo. A fin de
implementar ACL basadas en tiempo- se crea un inter#alo de tiempo que define momentos especficos del
da y la semana. El inter#alo de tiempo se identifica con un nombre y se 3ace referencia a él a tra#és de
una función. Por lo tanto- las restricciones de tiempo #ienen impuestas por la propia función. El inter#alo
temporal depende del relo% del sistema del router. El relo% del router se puede utiliar- pero la caracterstica
funciona me%or con la sincroniación del Protocolo de tiempo de red $8P,.
Estos son comandos de las ACL basadas en tiempo.
!--- De#ine un intervalo de tiempo con nombre.
time-ran"e time-range-name
!--- De#ine los momentos peri'dicos.
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 17/20
!--- bien% de#ine los tiempos absolutos.
a/solute [start time date] [end time date]
!--- El intervalo de tiempo utilizado en la ACL
real.
ip access-list name|number<etended_definition! time-ran"ename_of_time-range
En este e%emplo- se permite una cone/ión 8elnet de la red interna a la e/terna los lunes- miércoles y
#iernes en 3orario laborable&
inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup 101 in
access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.00.0.0.255eq telnet time-ran"e :
time-ran"e : periodic ;onday <ednesday =riday 8>00 to 17>00
Entradas de ACL IP comentadas
Las entradas de ACL IP comentadas se presentaron en la #ersión )!.'.!.8 del soft:are Cisco I>. Los
comentarios facilitan la comprensión de las ACL y sir#en para las ACL IP estándar o ampliadas.
Esta es la sinta/is de los comandos de las ACL IP con nombre comentadas.
ip access-list +standard*e&tended, nameremar? remark
ésta la de los comandos de las ACL IP numeradas comentadas.
access-list access-list-number remar? remark
Aqu se ofrece un e%emplo de comentario de una ACL numerada.
inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup 101 in
access-list 101 remar? permit_telnet
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 18/20
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eqtelnet
Control de acceso basado en el conte/to
El control de acceso basado en el conte/to $C1AC, fue presentado en la #ersión )!.'.".8 del soft:are
Cisco I> y requiere del con%unto de funciones de fire:all de Cisco I>. C1AC inspecciona el tráfico que
discurre por el fire:all para descubrir y administrar datos de estado de las sesiones 8CP y <P. Estos
datos de estado sir#en para crear aperturas temporales en las listas de acceso del fire:all. Para ello-
configure las listas de ip inspect en la dirección del flu%o de inicio del tráfico para permitir el tráfico de
retorno y cone/iones de datos adicionales para sesiones aceptables $sesiones que se originaron dentro
de la red interna protegida,.
Esta es la sinta/is de C1AC.
ip inspect name inspection-name protocol timeoutseconds
En este e%emplo se ilustra el uso de C1AC para inspeccionar el tráfico saliente. La ACL ampliada )))
suele bloquear el tráfico de retorno $que no es ICMP, sin que C1AC abra agu%eros para dic3o tráfico.
ip inspect name my!% !tp timeout 3600ip inspect name my!% http timeout 3600ip inspect name my!% tcp timeout 3600ip inspect name my!% udp timeout 3600ip inspect name my!% t!tp timeout 3600inter!ace thernet01
ip address 172.16.1.2 255.255.255.0 ip access-"roup 111 in ip inspect my!% outaccess-list 111 deny icmp any 10.1.1.0 0.0.0.255 echoaccess-list 111 permit icmp any 10.1.1.0 0.0.0.255
Pro/y de autenticación
El pro/y de autenticación se introdu%o en la #ersión )!.'.".8 del soft:are Cisco I>. Es imprescindible
tener configurada la función de fire:all de Cisco I>. El pro/y de autenticación sir#e para autenticar
usuarios de entrada- de salida o ambos. Los usuarios que suele bloquear una ACL pueden abrir un
na#egador Neb para que atra#iese el fire:all y autenticarse en un ser#idor 8ACAC>O o 4A<I>. El
ser#idor en#a entradas de ACL adicionales al router para permitir el paso a los usuarios después de la
autenticación.
El pro/y de autenticación es similar a la función LocK6and6ey $ACL dinámicas,. Las diferencias entre
ambos son las siguientes&
• La cone/ión 8elnet al router acti#a la función LocK6and6ey. @88P acti#a el pro/y de
autenticación a tra#és del router.
• El pro/y de autenticación tiene que usar un ser#idor e/terno.
• El pro/y de autenticación puede gestionar la adición de #arias listas dinámicas. LocK6and6eysólo puede agregar una.
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 19/20
• El pro/y de autenticación tiene un tiempo de espera absoluto- pero ninguno inacti#o. LocK6and6
ey tiene los dos tiempos de espera.
Consulte Cisco >ecure Integrated >oft:are Configuration CooKbooK $Compendio de configuraciones de
soft:are de Cisco seguras e integradas, para #er e%emplos de pro/y de autenticación.
ACL turbo
Las ACL turbo aparecieron en la #ersión )!.).".8 del soft:are Cisco I> y sólo se encuentran en las
plataformas 5!''- 5"'' y en otras de capacidad alta. La caracterstica ACL turbo está diseJada para
procesar las ACL más eficamente con el fin de me%orar el rendimiento del router.
se el comando access-list compiled para las ACL turbo. Este es un e%emplo de una ACL compilada.
access-list 101 permit tcp host 10.1.1.2 host172.16.1.1 eq telnetaccess-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq !tp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eqsyslo"access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq t!tpaccess-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp
<espués de definir la ACL estándar o ampliada- use el comando global con!iguration para compilar.
!--- ndica al router *ue compile
access-list compiled
@nter!ace thernet01ip address 172.16.1.2 255.255.255.0
!--- +e aplica a la inter#az
ip access-"roup 101 in
El comando show access-list compiled muestra estadsticas sobre la ACL.
ACL basadas en tiempo distribuidas
Las ACL basadas en tiempo distribuidas aparecieron en la #ersión )!.!.!.8 del soft:are Cisco I> para
implementar las ACL basadas en tiempo en routers de la serie 5"'' preparados para P. Antes de la
aparición de la función de ACL basada en tiempo distribuida- las ACL basadas en tiempo no se admitan
en las tar%etas de lnea para los routers Cisco serie 5"''. >i se configuraban- funcionaban como ACL
normales. >i una interfa en una tar%eta de lnea se configuraba con ACL basadas en tiempo- los paquetes
conmutados en la interfa no se distribuan conmutados a tra#és de la tar%eta de lnea- pero se reen#iaban
al procesador de rutas para su procesamiento.
La sinta/is para las ACL distribuidas basadas en tiempo es la misma que la de las ACL basadas entiempo- con la adición de comandos sobre el estado de los mensa%es de comunicación entre
procesadores $IPC, entre el procesador de rutas y la tar%eta de lnea.
7/23/2019 Tutorial de Listas de Control de Acceso Configuracion
http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 20/20
de/u" time-ran"e ipcsho% time-ran"e ipcclear time-ran"e ipc
ACL de recepción
Las ACL de recepción sir#en para aumentar la seguridad en los routers Cisco )!''' mediante la
protección del procesador de rutas gigabit $4P, del router frente al tráfico innecesario y potencialmente
peligroso. Las ACL de recepción se aJadieron como una renuncia especial al acelerador de
mantenimiento de la #ersión )!.'.!)>! del soft:are Cisco I> y se integraron en la #ersión )!.'$!!,>.
Consulte >4& 4ecei#e Access Control Lists $>4& Listas de control de acceso de recepción, para
obtener más información.
ACL de protección de infraestructuras
Las ACL de infraestructuras sir#en para reducir al mnimo el riesgo y la eficacia de los ataques directos a
la infraestructura- permitiendo e/plcitamente que acceda a ella sólo el tráfico autoriado y el resto de
tráfico de tránsito. Consulte Protecting our Core& Infrastructure Protection Access Control
Lists $Protección del n2cleo& Listas de control de acceso de protección de infraestructuras, para obtener
más información.
ACL de tránsito
Las listas de control de acceso de tránsito sir#en para aumentar la seguridad de la red puesto que
permiten e/plcitamente sólo el tráfico requerido en ella. Consulte 8ransit Access Control Lists& Diltering at
our Edge $Listas de control de acceso de tránsito& Diltro por su lado, para obtener más información.