Tecnologas

WAN
Profesor: Hctor Macas Figueroa
Alumno
LUIS RICARDO QUEZADA GARCIA
14/03/15

Trabajo:
Ensayo Capitulo 5
ACLs

Las ACL permiten controlar el trfico de E/S de la red. Su control puede ser tan
simple como permitir o denegar los hosts o direcciones de red. Las ACL
tambin pueden configurarse para controlar el trfico de red segn el puerto
TCP que se utiliza.
Qu es una ACL?
La ACL es una configuracin de router que controla si un router permite o
deniega paquetes segn el criterio encontrado en el encabezado del paquete.
Las ACL son unos de los objetos ms comnmente utilizados en el software IOS
de Cisco. Las ACL tambin se utilizan para seleccionar los tipos de trfico por
analizar, reenviar o procesar de otras maneras.
Las tres P
Puede recordar una regla general para aplicar las ACL en un router mediante
las tres P. Puede configurar una ACL por protocolo, por direccin y por interfaz.
-

Una ACL por protocolo: para controlar el flujo de trfico de una interfaz,
se debe definir una ACL para cada protocolo habilitado en la interfaz.
Una ACL por direccin: las ACL controlan el trfico en una direccin a la
vez de una interfaz. Deben crearse dos ACL por separado para controlar
el trfico entrante y saliente.
Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por
ejemplo, Fast Ethernet 0/0.

Cmo funcionan las ACL

Las ACL definen el conjunto de reglas que proporcionan control adicional para
los paquetes que ingresan a las interfaces de entrada, paquetes que pasan a
travs del router y paquetes que salen de las interfaces de salida del router.
Las ACL no actan sobre paquetes que se originan en el mismo router.
Las ACL se configuran para ser aplicadas al trfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a
la interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de
bsquedas de enrutamiento si el paquete se descarta.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego
son procesados a travs de la ACL de salida.Las sentencias de la ACL operan en
orden secuencial.
La sentencia de criterios implcita "Deny All Traffic" (Denegar todo el trfico)
Al final de cada lista de acceso, se encuentra la sentencia de criterios implcita
"deny all traffic". Algunas veces se denomina "implicit deny any" (denegar
implcitamente todo el trfico)y no puede modificarse . Por lo tanto, si un
paquete no coincide con ninguna de las entradas de la ACL, se bloquea
automticamente.
ACL estndar: Permiten autorizar o denegar el trfico desde las direcciones IP
de origen. No importan el destino del paquete ni los puertos involucrados

ACL extendidas: Filtran los paquetes IP en funcin de varios atributos, por

ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino,
puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin
opcional de tipo de protocolo para una mejor disparidad de control.
Dnde ubicar las ACL: Todas las ACL deben ubicarse donde ms repercutan
sobre la eficacia. Las reglas bsicas son:
-

Ubicar las ACL extendidas lo ms cerca posible del origen del trfico
denegado.

Como las ACL estndar no especifican las direcciones de destino,

colquelas lo ms cerca del destino posible.

Consideremos un ejemplo de dnde colocar las ACL en nuestra red. La

ubicacin de la interfaz y la red depende de lo que desee que realice la ACL.
Qu son las ACL dinmicas?
La configuracin de las ACL dinmicas comienza con la aplicacin de una ACL
extendida para bloquear trfico que atraviesa de router. Los usuarios que
deseen atravesar el router son bloqueados por la ACL extendida hasta que
utilizan Telnet para conectarse al router y ser autenticados.
Beneficios de las ACL dinmicas:
- Uso de un mecanismo de desafo para autenticar los usuarios
individuales
- Administracin simplificada en internetworks ms grandes
- Reduccin de la cantidad de procesamiento de un router para las ACL
- Reduccin de intromisiones a la red por parte de piratas informticos
- Creacin de acceso dinmico al usuario a travs de un firewall
Qu son las ACL reflexivas?
Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente
paquete saliente conocido, a dirigirse al origen de ese paquete saliente,
tambin proporcionan una forma ms exacta de filtrado de sesin que una ACL
extendida que utiliza el parmetro established presentado anteriormente.
A todo esto las ACL reflexivas no se aplican directamente a una interfaz, estn
"anidadas" dentro de una ACL IP extendida nombrada que se aplica a la
interfaz y slo pueden definirse con ACL IP extendidas nombradas. No pueden
definirse con ACL numeradas ni estndar nombradas ni con otras ACL protocolo
Las ACL reflexivas tienen los siguientes beneficios:
- Ayudan a proteger la red de piratas informticos y pueden incluirse en
un firewall.
- Proporcionan un nivel de seguridad contra ataques de suplantacin de
identidad y de denegacin de servicios.
- Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan
un mayor control de los paquetes que ingresan a la red.

Qu son las ACL basadas en el tiempo?

La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero
admite control de acceso basado en el tiempo.
Para implementar las ACL basadas en el tiempo, se debe crear un rango horario
que defina la hora especfica del da y la semana.
Las ACL basadas en el tiempo tienen muchos beneficios.
- Ofrecen al administrador de red ms control de los permisos y
denegaciones de acceso a los recursos.
- Permiten a los administradores de red controlar los mensajes de registro.
Las entradas de las ACL pueden registrar el trfico en determinados
momentos del da, pero no de forma permanente. De esta manera, los
administradores pueden