CCNA Disc 3 Cap Tulo 8 ACLs Routing Switching

2006 Cisco Systems, Inc. Todos los derechos reservados.
Informacin pblica de Cisco 1

Filtrado de trfico mediante
listas de control de acceso
Introduccin al enrutamiento y la conmutacin en la empresa
Captulo 8
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 2
Objetivos
Describir el filtrado de trfico y explicar cmo las
listas de control de acceso (ACL) pueden filtrar el
trfico en las interfaces del router.
Analizar el uso de las mscaras wildcard.
Configurar y aplicar las ACL.
Crear y aplicar las ACL para controlar los tipos de
trfico especfico.
Registrar la actividad de la ACL e integrar las mejores
prcticas de la ACL.

Descripcin del filtrado de trfico
Analizar el contenido de un paquete
Permitir o bloquear el paquete
Segn la IP de origen, IP de destino, direccin MAC,
protocolo y tipo de aplicacin

Dispositivos que proporcionan filtrado de trfico:
Firewalls incluidos en los routers integrados
Aplicaciones de seguridad dedicadas (firewalls
dedicados)
Servidores

Usos para las ACL:
Especificar hosts internos para NAT
Clasificar el trfico para el QoS
Restringir las actualizaciones de enrutamiento, limitar
los resultados de la depuracin, controlar el acceso a
terminal virtual de los enrutadores

Posibles problemas con las ACL:
Mayor carga en el router
Posible interrupcin de la red por ACLs mal diseadas
Consecuencias no esperadas a causa de una
incorrecta ubicacin,
como dejar pasar
trfico prohibido o
bloquear trfico
permitido
Las ACL estndar filtran segn la direccin IP de
origen (Nmero identificacin: [1 - 99] y [1300 a 1999]
Las ACL extendidas filtran en el origen y el destino as
como tambin en el nmero de puerto y protocolo
(Nmero identificacin: [100 a 199] y [2000 a 2699])
Las ACL nombradas pueden ser estndar o
extendidas

Las ACL estn compuestas de sentencias.
Al menos una sentencia debe ser una sentencia de
permiso, sino todo el trfico ser denegado.
La sentencia final es una denegacin implcita.
La ACL debe aplicarse a una interfaz para que
funcione .

La ACL se aplica en forma entrante (inbound) o
saliente (outbound).
La direccin se obtiene a partir de la perspectiva del
router.
Cada interfaz puede tener una ACL por direccin para
cada protocolo de red.
Anlisis del uso de las mscaras wildcard
La mscara wildcard puede bloquear un rango de
direcciones o una red entera con una sentencia
Los 0 indican qu parte de una direccin IP debe
coincidir con la ACL
Los 1 indican qu parte no tiene que coincidir en forma
especfica

Utilice el parmetro host en lugar de una wildcard 0.0.0.0
192.168.15.99 0.0.0.0 es lo mismo que host 192.168.15.99
Usar el parmetro any en lugar de la wildcard 255.255.255.255
0.0.0.0 255.255.255.255 es lo mismo que any

Ejemplo: 192.168.85.0/26
Qu subredes se obtienen?
192.168.85.0/26 192.168.85.64/26
192.168.85.128/26 192.168.85.192/26
Qu sentencias se utilizan para denegar el trfico
de las primeras dos redes?
access-list XX deny 192.168.85.0 0.0.0.63
access-list XX deny 192.168.85.64 0.0.0.63
Se pueden summarizar en una sola sentencia?
S: access-list XX deny 192.168.85.0 0.0.0.127
Configuracin e implementacin de las
listas de control de acceso
Pasos para determinar tipo y ubicacin de las ACLs:
Determinar los requisitos del filtrado de trfico
Decidir qu tipo de ACL utilizar (estndar o extendida)
Determinar el router y la interfaz a los cuales aplicar la ACL
Determinar en qu direccin filtrar el trfico
Procurar
que trfico
a bloquear
viaje lo menos
posible por
la red.

Estndar: cerca del
destino.
Extendida: cerca del
origen.

Configuracin e implementacin de las listas
de control de acceso
La configuracin de las ACLs involucra 2 pasos:
Creacin y Aplicacin
Creacin: crea la lista
Se usa la siguiente sintaxis:

access-list [access-list-number] [deny|permit] [source
address] [source-wildcard][log]

Para documentar la informacin:
access-list [list number] remark [text]

Para borrar una ACL:
no access-list [list number]
de control de acceso
Aplicacin: asocia la lista a una interfaz

Para asociar:
R2(config-if)#ip access-group access-list-number [in |
out]

Para desasociar:
no ip access-group interface

Si solo se usa trfico IP, solo pueden haber 2 ACLs por
interfaz: de entrada y salida de trfico.

Usar: show ip interface, access-lists access-list-number,
running-config
Configuracin e implementacin de las listas de
control de acceso: ACL estndar numerada
Utilice el comando access-list para ingresar las
sentencias
Rangos de nmeros: 1-99, 1300-1999
Aplicar lo ms cerca posible del destino

show ip interface
show access-lists
show running-config
Prctica de Laboratorio
Laboratorio 8.3.3.4
control de acceso: ACL extendida numerada
Utilice el comando access-list para ingresar las
sentencias
Rangos de nmeros: 100-199, 2000-2699
Especificar un protocolo para admitir o rechazar
Colquela lo ms cerca posible del origen

control de acceso: ACL extendida numerada
La sentencia bsica de configuracin est dada por:

R(config)#access-list [ACL-number] [permit | deny]

[protocol (eigrp, icmp, ip, ospf, tcp, udp, etc)] [source

IP] [destination IP] [matching condition (equal, greater,

lower)] [TCP Application (http, ftp, etc)]
Laboratorio 8.3.4.4
de control de acceso: ACL nombradas
El nombre descriptivo reemplaza el nmero de ACL
Utilice el comando ip access-list {standard |
extended} name para crear la lista
Comience las sentencias subsiguientes con permiso o
rechazo
Aplicar de la misma manera que la ACL estndar o
extendida
de control de acceso: ACL nombradas
Show access-lists muestra las lneas de la lista, cuyas filas
se numeran como 10, 20 , 30,
Para borrar una lnea de la ACL usar:
no [line number].
Para introducir una lnea hacerlo iniciando la sentencia con
el line number segn la posicin deseada.
Para colocar una sentencia en una posicin intermedia usar
un nmero intermedio.
Laboratorio 8.3.5.4
Configuracin e implementacin de las
listas de control de acceso: Acceso VTY
Utilizar el comando access-class para asociar la ACL
a la lnea VTY en configuracin.
Utilizar una ACL numerada por seguridad.
Aplicar restricciones idnticas a todas las lneas VTY.
Prctica de Laborarorio
Laboratorio 8.3.6.3
Creacin y aplicacin de las ACL para controlar
los tipos de trfico especfico
Utilizar una condicin especfica cuando se realice el
filtrado a los nmeros de puerto: eq, lt, gt, range

Rechazar todos los puertos correspondientes en el caso
de aplicaciones de varios puertos como el FTP
Es posible bloquear trfico originado externamente, pero
dejar pasar trfico externo de respuesta.
Ping: permitir respuestas de eco mientras se rechazan las
solicitudes de eco desde fuera de la red. (Ver Imagen)
Esto es una forma de Inspeccin de paquetes con estado
(SPI).
Cuando el paquete llega a la interfaz NAT el router:
Aplica la ACL IN.
Traduce la direccin exterior en interior.
Enruta el paquete.
Cuando el paquete sale de la interfaz NAT el ruoter:
Traduce la direccin interna en externa.
Aplica la ACL OUT.

Filtrar las direcciones pblicas
en una interfaz NAT exterior.

Filtrar las direcciones privadas
en una interfaz NAT interior.
Laboratorio 8.4.3.2
Inspeccionar cada ACL una lnea a la vez para evitar
consecuencias no previstas
Aplicar las ACL a las interfaces o subinterfaces VLAN
al igual que con las interfases fsicas
Registro de la actividad de la ACL y sus mejores
prcticas
El registro (logging) proporciona detalles adicionales
sobre los paquetes que se rechazan o se admiten.
Agregue la opcin registro al final de cada sentencia de
la ACL que se debe rastrear.

prcticas
Mensajes de Syslog:
Estado de las interfaces del router
Mensajes de la ACL (logging [ip_address])
Ancho de banda, protocolos en uso, eventos de
configuracin

Laboratorio 8.5.2.3
prcticas
Compruebe siempre la conectividad bsica antes de aplicar las ACL.
Agregue deny ip any al final de una ACL cuando realice el registro.
Utilice reload in 30 cuando pruebe las ACL en los routers remotos.
Resumen
Las ACL habilitan la administracin del trfico y
aseguran el acceso hacia la red y sus recursos y desde
estos
Aplicar una ACL para filtrar el trfico entrante o saliente
Las ACL pueden ser estndar, extendidas o
nombradas
El uso de una mscara wildcard otorga flexibilidad
Existe una sentencia de rechazo implcito al final de
una ACL
Fundamente NAT cuando cree y aplique las ACL
El registro proporciona detalles adicionales sobre el
trfico filtrado

CCNA Disc 3 Cap Tulo 8 ACLs Routing Switching

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNA Disc 3 Cap Tulo 8 ACLs Routing Switching

Transféré par

Droits d'auteur :

Formats disponibles

2006 Cisco Systems, Inc. Todos los derechos reservados.

Informacin pblica de Cisco 1

Vous aimerez peut-être aussi