Semana 14 - Listas de Control de Acceso

Semana 14 : Listas de
control de acceso
Routing y switching
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 1
Captulo 9
9.1 Funcionamiento de ACL de IP
9.2 ACL de IPv4 estndar
9.3 ACL de IPv4 extendidas
9.4 Unidad contextual: debug con ACL
9.5 Resolucin de problemas de ACL
9.6 Unidad contextual: ACL de IPv6
9.7 Resumen
Captulo 9: Objetivos
Explicar la forma en que se utilizan las ACL para filtrar el
trfico.
Comparar las ACL de IPv4 estndar y extendidas.
Explicar la forma en que las ACL utilizan mscaras wildcard.
Explicar las pautas para la creacin de ACL.
Explicar las pautas para la colocacin de ACL.
Configurar ACL de IPv4 estndar para filtrar el trfico segn
los requisitos de red.
Modificar una ACL de IPv4 estndar mediante los nmeros de
secuencia.
Configurar una ACL estndar para proteger el acceso a VTY.
Captulo 9: Objetivos (continuacin)
Explicar la estructura de una entrada de control de acceso
(ACE) extendida.
Configurar ACL de IPv4 extendidas para filtrar el trfico segn
los requisitos de red.
Configurar una ACL para que limite el resultado de debug.
Explicar la forma en que procesa los paquetes un router
cuando se aplica una ACL.
Resolver problemas comunes de ACL con los comandos de
CLI.
Comparar la creacin de ACL de IPv4 y ACL de IPv6.
Configurar ACL de IPv6 para filtrar el trfico segn los
requisitos de red.
Propsito de las ACL
Qu es una ACL?
Propsito de las ACL
Una conversacin TCP
Propsito de las ACL
Filtrado de paquetes
El filtrado de paquetes, a veces denominado filtrado de
paquetes esttico, controla el acceso a una red mediante
el anlisis de los paquetes entrantes y salientes y la
transferencia o el descarte de estos segn determinados
criterios, como la direccin IP de origen, la direccin IP de
destino y el protocolo incluido en el paquete.
Cuando reenva o deniega los paquetes segn las reglas
de filtrado, un router funciona como filtro de paquetes.
Una ACL es una lista secuencial de instrucciones permit
(permitir) o deny (denegar), conocidas como entradas de
control de acceso (ACE).
Propsito de las ACL
Filtrado de paquetes (cont.)
Propsito de las ACL
Funcionamiento de ACL
La ltima sentencia de una ACL es siempre una

denegacin implcita. Esta sentencia se inserta
automticamente al final de cada ACL, aunque no est
presente fsicamente. La denegacin implcita bloquea todo
el trfico. Debido a esta denegacin implcita, una ACL que
no tiene, por lo menos, una instruccin permit bloquear
todo el trfico.
Comparacin entre ACL de IPv4 estndar y extendidas
Tipos de ACL de IPv4 de Cisco
ACL estndar
ACL extendidas
Comparacin entre las ACL de IPv4 estndar y extendidas
Asignacin de nmeros y nombres a ACL
Mscaras wildcard en las ACL
Introduccin a las mscaras wildcard en ACL
Las mscaras wildcard y las mscaras de subred se diferencian en
la forma en que establecen la coincidencia entre los unos y ceros
binarios. Las mscaras wildcard utilizan las siguientes reglas para
establecer la coincidencia entre los unos y ceros binarios:
Bit 0 de mscara wildcard: se establece la coincidencia con el
valor del bit correspondiente en la direccin.
Bit 1 de mscara wildcard: se omite el valor del bit
correspondiente en la direccin.
A las mscaras wildcard a menudo se las denomina mscaras

inversas. La razn es que, a diferencia de una mscara de subred
en la que el 1 binario equivale a una coincidencia y el 0 binario no
es una coincidencia, en las mscaras wildcard es al revs.
Mscaras wildcard en ACL
Ejemplos de mscaras wildcard: hosts y subredes
Ejemplos de mscaras wildcard: coincidencias
con rangos
Clculo de la mscara wildcard
El clculo de mscaras wildcard puede ser difcil. Un
mtodo abreviado es restar la mscara de subred a
255.255.255.255.
Palabras clave de mscaras wildcard
Ejemplos de palabras clave de mscaras wildcard
Pautas para la creacin de ACL
Pautas generales para la creacin de ACL
Utilice las ACL en los routers de firewall ubicados entre
su red interna y una red externa, como Internet.
Utilice las ACL en un router ubicado entre dos partes
de la red para controlar el trfico que entra a una parte
especfica de su red interna o que sale de esta.
Configure las ACL en los routers de frontera, es decir,
los routers ubicados en los lmites de las redes.
Configure las ACL para cada protocolo de red
configurado en las interfaces del router de frontera.
Pautas generales para la creacin de ACL
Las tres P
Una ACL por protocolo: para controlar el flujo de trfico
en una interfaz, se debe definir una ACL para cada
protocolo habilitado en la interfaz.
Una ACL por sentido: las ACL controlan el trfico en
una interfaz de a un sentido por vez. Se deben crear
dos ACL diferentes para controlar el trfico entrante y
saliente.
Una ACL por interfaz: las ACL controlan el trfico para
una interfaz, por ejemplo, GigabitEthernet 0/0.
Prcticas recomendadas para ACL
Pautas para la colocacin de ACL
Colocacin de ACL
Cada ACL se debe colocar donde tenga ms impacto en
la eficiencia. Las reglas bsicas son las siguientes:
ACL extendidas: coloque las ACL extendidas lo ms
cerca posible del origen del trfico que se filtrar.
ACL estndar: debido a que en las ACL estndar no se
especifican las direcciones de destino, colquelas tan
cerca del destino como sea posible.
La colocacin de la ACL y, por lo tanto, el tipo de ACL
que se utiliza tambin pueden depender del alcance del
control del administrador de red, del ancho de banda de
las redes que intervienen y de la facilidad de
configuracin.
Colocacin de ACL estndar
Colocacin de ACL extendidas
Configuracin de ACL de IPv4 estndar
Introduccin de instrucciones de criterios
Configuracin de una ACL estndar
Ejemplo de ACL
access-list 2 deny host 192.168.10.10
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
Configuracin de una ACL estndar (cont.)
La sintaxis completa del comando de ACL estndar es la
siguiente:
Router(config)# access-list nmero-lista-acceso
deny permit remark origen [ wildcard-origen ] [
log ]
Para eliminar la ACL, se utiliza el comando de

configuracin global no access-list.
La palabra clave remark se utiliza en los documentos y

hace que sea mucho ms fcil comprender las listas de
acceso.
Lgica interna
El IOS de Cisco aplica una lgica interna al aceptar y
procesar las listas de acceso estndar. Como se
mencion anteriormente, las instrucciones de las listas
de acceso se procesan de manera secuencial, por lo
que el orden en que se introducen es importante.
Aplicacin de ACL estndar a las interfaces
Despus de que se configura una ACL estndar, se vincula

a una interfaz mediante el comando ip access-group
en el modo de configuracin de interfaz:
Router(config-if)# ip access-group {
nmero-lista-acceso | nombre-lista-acceso }
{ in | out }
Para eliminar una ACL de una interfaz, primero introduzca

el comando no ip access-group en la interfaz y, a
continuacin, introduzca el comando global no access-
list para eliminar la ACL completa.
Aplicacin de ACL estndar a las interfaces (cont.)
Creacin de ACL estndar con nombre
Introduccin de comentarios en ACL
Modificacin de ACL de IPv4
Edicin de ACL estndar numeradas
Edicin de ACL estndar numeradas (cont.)
Edicin de ACL estndar con nombre
Verificacin de ACL
Estadsticas de ACL
Nmeros de secuencia de ACL estndar
Otra parte de la lgica interna del IOS es responsable
de la secuenciacin interna de las instrucciones de las
ACL estndar. Las instrucciones de rango que
deniegan tres redes se configuran primero, y despus
se configuran cinco instrucciones de host. Las
instrucciones de host son todas instrucciones vlidas,
porque sus direcciones IP host no forman parte de las
instrucciones de rango introducidas previamente.
Las instrucciones de host se enumeran primero con el
comando show, pero no necesariamente en el orden
en que se introdujeron. El IOS ordena las instrucciones
de host mediante una funcin de hash especial. El
orden resultante optimiza la bsqueda de una entrada
de ACL de host.
Proteccin de puertos VTY con una ACL de IPv4 estndar
Configuracin de una ACL estndar para proteger
un puerto VTY
Por lo general, se considera que el filtrado del trfico de
Telnet o SSH es una funcin de una ACL de IP
extendida, porque filtra un protocolo de nivel superior.
Sin embargo, debido a que se utiliza el comando
access-class para filtrar sesiones Telnet/SSH
entrantes o salientes por direccin de origen, se puede
utilizar una ACL estndar.
Router(config-line)# access-class nmero-
lista-acceso { in [ vrf-also ] | out }
Proteccin de puertos VTY con una ACL de IPv4 estndar
Verificacin de una ACL estndar utilizada para
proteger un puerto VTY
Estructura de una ACL de IPv4 extendida
ACL extendidas
Estructura de una ACL de IPv4 extendida
ACL extendidas (cont.)
Configuracin de ACL de IPv4 extendidas
Configuracin de ACL extendidas
Los pasos del procedimiento para configurar ACL
extendidas son los mismos que para las ACL estndar.
Primero se configura la ACL extendida y, a continuacin,
se activa en una interfaz. Sin embargo, la sintaxis de los
comandos y los parmetros son ms complejos, a fin de
admitir las funciones adicionales proporcionadas por las
ACL extendidas.
Aplicacin de ACL extendidas a las interfaces
Filtrado de trfico con ACL extendidas
Creacin de ACL extendidas con nombre
Verificacin de ACL extendidas
Edicin de ACL extendidas
La edicin de una ACL extendida se puede lograr
mediante el mismo proceso que se aplica para la edicin
de una ACL estndar. Las ACL extendidas se pueden
modificar mediante los mtodos siguientes:
Mtodo 1: editor de texto
Mtodo 2: nmeros de secuencia
Limitacin del resultado de debug
Propsito de la limitacin del resultado de
debug con ACL
Los comandos debug son herramientas que se utilizan
para ayudar a verificar y resolver problemas de
operaciones de red.
Al utilizar algunas opciones de debug, el resultado puede
mostrar mucha ms informacin que la que se necesita o
se puede ver fcilmente.
En una red de produccin, la cantidad de informacin
provista por los comandos debug puede saturar la red y
causar interrupciones en esta.
Algunos comandos debug se pueden combinar con una
lista de acceso para limitar el resultado de modo que solo
se muestre la informacin necesaria para la verificacin o
la resolucin de un problema especfico.
Configuracin de ACL para limitar el resultado
de debug
El administrador del R2 desea verificar si el trfico se
enruta correctamente con debug ip packet. Para limitar
el resultado de debug para que incluya solamente el trfico
ICMP entre el R1 y el R3, se aplica la ACL 101.
Verificacin de ACL que limitan el resultado de
debug
Procesamiento de paquetes con ACL
Lgica de ACL de entrada
Los paquetes se prueban en relacin con una ACL de
entrada, si existiera una, antes de enrutarlos.
Si un paquete entrante coincide con una instruccin de
ACL con un permiso, se enva para enrutarlo.
Si un paquete entrante coincide con una instruccin de
ACL con una denegacin, se descarta y no se enruta.
Si un paquete entrante no coincide con ninguna
instruccin de ACL, se deniega implcitamente y se
descarta sin enrutarlo.
Lgica de ACL de salida
Antes de enviar los paquetes a una interfaz de salida,
se comprueba que tengan una ruta. Si no hay ruta, los
paquetes se descartan.
Si una interfaz de salida no tiene ninguna ACL, los
paquetes se envan directamente a esa interfaz.
Si hay una ACL en la interfaz de salida, se la verifica
antes de que los paquetes se enven a esa interfaz.
Si un paquete saliente coincide con una instruccin de
ACL con un permiso, se lo enva a la interfaz.
Lgica de ACL de salida (continuacin)
Si un paquete saliente coincide con una instruccin de
ACL con una denegacin, se descarta.
Si un paquete saliente no coincide con ninguna
instruccin de ACL, se deniega implcitamente y se
descarta.
Operaciones lgicas de ACL
Cuando un paquete llega a una interfaz del router, el
proceso del router es el mismo, ya sea si se utilizan
ACL o no. Cuando una trama ingresa a una interfaz, el
router revisa si la direccin de capa 2 de destino
coincide con la direccin de capa 2 de la interfaz, o si
dicha trama es una trama de difusin.
Si se acepta la direccin de la trama, se desmonta la
informacin de la trama y el router revisa si hay una
ACL en la interfaz de entrada. Si existe una ACL, el
paquete se prueba en relacin con las instrucciones de
la lista.
Operaciones lgicas de ACL (continuacin)
Si se acepta el paquete, se compara con las entradas
en la tabla de routing para determinar la interfaz de
destino. Si existe una entrada para el destino en la
tabla de routing, el paquete se conmuta a la interfaz de
salida. De lo contrario, se descarta.
A continuacin, el router revisa si la interfaz de salida
tiene una ACL. Si existe una ACL, el paquete se
prueba en relacin con las instrucciones de la lista.
Si no hay una ACL o si se permite el paquete, este se
encapsula en el nuevo protocolo de capa 2 y se
reenva por la interfaz al siguiente dispositivo.
Proceso de decisin de ACL estndar
Las ACL estndar solo examinan la direccin IPv4 de
origen. El destino del paquete y los puertos
involucrados no se tienen en cuenta.
El software IOS de Cisco prueba las direcciones en
relacin con cada una de las condiciones de la ACL. La
primera coincidencia determina si el software acepta o
rechaza la direccin. Dado que el software deja de
probar las condiciones despus de la primera
coincidencia, el orden de las condiciones es
fundamental. Si no coincide ninguna condicin, la
direccin se rechaza.
Proceso de decisin de ACL extendida
La ACL primero filtra por la direccin de origen y, a
continuacin, por el puerto y el protocolo de origen.
Luego, filtra por la direccin de destino y despus por
el puerto y el protocolo de destino, y toma la decisin
final de permiso o denegacin.
Errores comunes de ACL
Resolucin de errores comunes de ACL, ejemplo 1
El host 192.168.10.10 no tiene conectividad con
192.168.30.12.
La red 192.168.10.0 /24 no puede utilizar TFTP para
conectarse a la red 192.168.30.0 /24.
La red 192.168.11.0 /24 puede utilizar Telnet para
conectarse a 192.168.30.0 /24, pero segn la poltica de
la empresa, esta conexin no debera permitirse.
El host 192.168.30.12 puede conectarse a 192.168.31.12
mediante Telnet, pero la poltica de la empresa establece
que esta conexin no debe permitirse.
El host 192.168.30.12 puede utilizar Telnet para
conectarse a 192.168.31.12, pero segn la poltica de
seguridad, esta conexin no debe permitirse.
Creacin de ACL de IPv6
Tipos de ACL de IPv6
Creacin de ACL de IPv6
Comparacin entre ACL de IPv4 y de IPv6
Aunque las ACL de IPv4 y de IPv6 son muy similares,
hay tres diferencias fundamentales entre ellas.
Aplicacin de una ACL de IPv6
IPv6 utiliza el comando ipv6 traffic-filter para realizar la
misma funcin para las interfaces IPv6.
Ausencia de mscaras wildcard

Se utiliza la longitud de prefijo para indicar cunto de una
direccin IPv6 de origen o destino debe coincidir.
Instrucciones predeterminadas adicionales

permit icmp any any nd-na
permit icmp any any nd-ns
Configuracin de ACL de IPv6
Configuracin de topologa IPv6
Hay tres pasos bsicos para configurar una ACL de IPv6:
En el modo de configuracin global, utilice el comando
ipv6 access-listnombre para crear una ACL de
IPv6.
En el modo de configuracin de ACL con nombre, utilice
las instrucciones permit o deny para especificar una o
ms condiciones para determinar si un paquete se debe
reenviar o descartar.
Regrese al modo EXEC privilegiado con el comando
end.
Aplicacin de una ACL de IPv6 a una interfaz
Ejemplos de ACL de IPv6
Denegar FTP
Restriccin del acceso
Verificacin de ACL IPv6
Captulo 9: Resumen
Los routers no filtran trfico de manera predeterminada. El
trfico que ingresa al router se enruta solamente en funcin
de la informacin de la tabla de routing.
El filtrado de paquetes controla el acceso a una red
mediante el anlisis de los paquetes entrantes y salientes y
la transferencia o el descarte de estos segn criterios como
la direccin IP de origen, la direccin IP de destino y el
protocolo incluido en el paquete.
Un router que filtra paquetes utiliza reglas para determinar
si permite o deniega el trfico. Un router tambin puede
realizar el filtrado de paquetes en la capa 4, la capa de
transporte.
Una ACL es una lista secuencial de instrucciones permit o
deny.
Captulo 9: Resumen (continuacin)
La ltima instruccin de una ACL siempre es una
instruccin deny implcita que bloquea todo el trfico.
Para evitar que la instruccin deny any implcita al final
de la ACL bloquee todo el trfico, es posible agregar la
instruccin permit ip any any.
Cuando el trfico de la red atraviesa una interfaz
configurada con una ACL, el router compara la
informacin dentro del paquete con cada entrada, en
orden secuencial, para determinar si el paquete coincide
con una de las instrucciones. Si se encuentra una
coincidencia, el paquete se procesa segn corresponda.
Las ACL se configuran para aplicarse al trfico entrante o
al trfico saliente.
Las ACL estndar se pueden utilizar para permitir o
denegar el trfico de direcciones IPv4 de origen
nicamente. El destino del paquete y los puertos
involucrados no se evalan. La regla bsica para la
colocacin de una ACL estndar es colocarla cerca del
destino.
Las ACL extendidas filtran paquetes segn varios
atributos: el tipo de protocolo, la direccin IPv4 de origen
o de destino y los puertos de origen o de destino. La
regla bsica para la colocacin de una ACL extendida es
colocarla lo ms cerca posible del origen.
El comando de configuracin global access-list
define una ACL estndar con un nmero en el intervalo
de 1 a 99 o una ACL extendida con un nmero en el
intervalo de 100 a 199 y de 2000 a 2699. Tanto las ACL
estndar como las extendidas pueden tener un nombre.
El comando ip access-list standard nombre se
utiliza para crear una ACL estndar con nombre,
mientras que el comando ip access-list extended
nombre se utiliza para una lista de acceso extendida.
Las instrucciones de ACL de IPv4 incluyen el uso de
mscaras wildcard.
Despus de que se configura una ACL, se vincula a una
interfaz mediante el comando ip access-group del
modo de configuracin de interfaz.
Recuerde la regla de las tres P: una ACL por protocolo,
por sentido y por interfaz.
Para eliminar una ACL de una interfaz, primero
introduzca el comando no ip access-group en la
interfaz y, a continuacin, introduzca el comando global
no access-list para eliminar la ACL completa.
Los comandos show running-config y show
access-lists se utilizan para verificar la
configuracin de la ACL. El comando show ip
interface se utiliza para verificar la ACL en la interfaz
y el sentido en el que se aplic.
El comando access-class configurado en el modo de
configuracin de lnea restringe las conexiones de entrada y
salida entre una VTY determinada y las direcciones en una
lista de acceso.
Al igual que los nombres de las ACL de IPv4, los nombres en
IPv6 son alfanumricos, distinguen entre maysculas y
minsculas, y deben ser nicos. A diferencia de IPv4, no hay
necesidad de una opcin estndar o extendida.
En el modo de configuracin global, utilice el comando ipv6
access-list nombre para crear una ACL de IPv6. Se
utiliza la longitud de prefijo para indicar cunto de una
direccin IPv6 de origen o destino debe coincidir.
Despus de que se configura una ACL de IPv6, se la vincula a
una interfaz mediante el comando ipv6 traffic-filter.

Semana 14 - Listas de Control de Acceso

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Semana 14 - Listas de Control de Acceso

Transféré par

Droits d'auteur :

Formats disponibles

Semana 14 : Listas de

La ltima sentencia de una ACL es siempre una

A las mscaras wildcard a menudo se las denomina mscaras

Para eliminar la ACL, se utiliza el comando de

La palabra clave remark se utiliza en los documentos y

Despus de que se configura una ACL estndar, se vincula

Para eliminar una ACL de una interfaz, primero introduzca

Ausencia de mscaras wildcard

Instrucciones predeterminadas adicionales

Restriccin del acceso

Vous aimerez peut-être aussi