Académique Documents
Professionnel Documents
Culture Documents
Acceso (ACL)
Estándar
Extendidas
Complejas
Introucción a las ACL,s
Puertos TCP:
Introucción a las ACL,s
Puertos UDP:
Introucción a las ACL,s
Puertos TCP/UDP:
Introucción a las ACL,s
Ejemplo:
R1(config)#access-list 1 remark Permitir el paso de la red 192.168.10.0
R1(config)#access-list 1 permit192.168.10.5
R1(config)#access-list 1 deny192.168.10.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#interface serial 0/0
R1(config-if)#ip access-group 1 out
Cómo aplicar ACL estándar a interfaces
Configuración de ACL estándar
Configuración de las ACL estándar
Configuración de una ACL estándar en un router Cisco.
Configuración de las ACL estándar
Eliminar la ACL.
Utilizando el comando no access-list
El comando show access-list muestra las ACL,s actuales configuradas.
Para eliminar una ACL de una interfaz ingrese el comando no ip access-group en
la interfaz.
Configuración de las ACL estándar
Observaciones
La palabra remark se utiliza para la documentación y facilita considerablemente la
comprensión de las ACL,s tanto estándar como extendidas.
Cada observación está limitada a 100 caracteres.
Máscara Wildcard de las ACL
Wildcard
La Wilcard es la secuencia de dígitos binarios que le indican al router qué partes
del número de subred observar.
Las máscaras Wildcard y máscaras de subred tienen una longitud de 32 bits y
utilizan unos (1) y ceros (0) binarios.
Las máscaras de subred utilizan unos y ceros binarios para identificar la red,
subred y porción de host de una dirección IP.
Las máscaras Wildcard utilizan unos y ceros binarios para filtrar direcciones IP
individuales o en grupo para permitir o denegar el acceso a recursos según la
dirección IP.
Al configurar cuidadosamente las máscaras Wildcard, puede permitir o denegar
una o varias direcciones IP.
Bit 0 de máscara Wildcard: hace coincidir el valor del bit correspondiente de la
dirección
Bit 1 de máscara Wildcard: ignora el valor del bit correspondiente de la dirección
Máscara Wildcard de las ACL
Wildcard
Puede obtener el mismo resultado con las siguientes dos sentencias:
R1(config)# access-list 10 permit 192.168.10.0
R1(config)# access-list 10 permit 192.168.11.0
Es más eficaz configurar la máscara wildcard de la siguiente manera:
R1(config)# access-list 10 permit 192.168.10.0 0.0.3.255
Máscara Wildcard de las ACL
Considere hacer coincidir la red 192.168.16.0 a 192.168.31.0 de la siguiente manera:
R1(config)# access-list 10 permit 192.168.16.0
R1(config)# access-list 10 permit 192.168.17.0
R1(config)# access-list 10 permit 192.168.18.0
R1(config)# access-list 10 permit 192.168.19.0
R1(config)# access-list 10 permit 192.168.20.0
R1(config)# access-list 10 permit 192.168.21.0
R1(config)# access-list 10 permit 192.168.22.0
R1(config)# access-list 10 permit 192.168.23.0
R1(config)# access-list 10 permit 192.168.24.0
R1(config)# access-list 10 permit 192.168.25.0
R1(config)# access-list 10 permit 192.168.26.0
R1(config)# access-list 10 permit 192.168.27.0
R1(config)# access-list 10 permit 192.168.28.0
R1(config)# access-list 10 permit 192.168.29.0
R1(config)# access-list 10 permit 192.168.30.0
R1(config)# access-list 10 permit 192.168.31.0
Puede ver que es más eficiente al configurar la siguiente máscara wildcard:
R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255
Máscara Wildcard de las ACL
Palabras clave de la máscara de bits wildcard
Las palabras clave host y any ayudan a identificar los usos más comunes de las
máscaras wildcard.
Con estas palabras clave no necesita ingresar las máscaras wildcard al identificar
un host o red específicos. También facilitan la lectura de una ACL al proporcionar
pistas visuales en cuanto al origen o destino del criterio.
• La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de
direcciones IP deben coincidir o que sólo un host coincide.
• La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara indica que
debe ignorarse toda la dirección IP o que deben aceptarse todas las direcciones.
Máscara Wildcard de las ACL
Palabras clave de la máscara de bits wildcard
Cómo aplicar ACL estándar a interfaces
Ejemplo 1
Cómo aplicar ACL estándar a interfaces
Ejemplo 2
Cómo aplicar ACL estándar a interfaces
Ejemplo 3
Cómo aplicar ACL estándar a interfaces
ACL para controlar en acceso VTY
La sintaxis es access-class nº acl [in | out]
El parámetro in restringe las conexiones entrantes entre un dispositivo Cisco particular y las direcciones de
la lista de acceso
El parámetro out restringe las conexiones salientes entre un dispositivo Cisco particular y las direcciones de
la lista de acceso.
Cuando se configure las listas de acceso en las VTY, hay que tener en cuenta lo siguiente:
Sólo se pueden aplicar listas de acceso numeradas a las VTY.
Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar
conectarse a cualquiera de ellas.
Cómo aplicar ACL estándar a interfaces
Edición de ACL numeradas (corrección de errores).
Al configurar una ACL, no hay una función de edición incorporada que permita
editar un cambio en la ACL. No se puede insertar o borrar líneas de manera
selectiva.
Es muy recomendable crear una ACL en un editor de texto, como el Bloc de
notas de Microsoft. Esto permite crear o editar una ACL y luego pegarla en el
router.
En el caso de una ACL existente, se puede usar el comando show running-config
para visualizar la ACL, copiarla y pegarla en el editor de texto, hacer los cambios
necesarios y volver a cargarla.
Cómo aplicar ACL estándar a interfaces
Ejemplo (corrección de errores).
Supongamos que la dirección IP del host de la figura fue ingresada incorrectamente. En
lugar del host 192.168.10.100, debería haberse ingresado 192.168.10.11.
Pasos a seguir para editar y corregir la ACL 20:
• Paso 1. Visualizar la ACL ingresando el comando show running-config.
• Paso 2. Copiar y pegar la sentencia en el Bloc de notas. Edita la lista.
• Paso 3. Deshabilitar la lista de acceso con el comando no access-list 20. De lo contrario, se agregan
las nuevas sentencias a la ACL actual. Pegar la nueva ACL en la configuración del router.
Creación de ACL estándar nombradas
Sintaxis
Ejemplo
Monitoreo y verificación de ACL
Verificación de ACL
Edición de las ACL nombradas
En el primer resultado del comando show, se puede ver que la ACL con el nombre
WEBSERVER tiene 3 líneas numeradas que indican las reglas de acceso para el servidor
Web.
Para otorgar acceso a otra estación de trabajo de la lista sólo debe ingresar una línea
numerada. En el ejemplo, se agrega la estación de trabajo con la dirección IP
192.168.10.15.
El último resultado del comando show verifica que la nueva estación de trabajo tenga
acceso.
Configuración de las ACL extendidas
ACL Extendidas Control más preciso del filtrado del tráfico que las estándar.
ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, (799 ACL extendidas
posibles). También se les puede asignar un nombre.
Las ACL extendidas Verifican la dirección de origen del paquete, pero también
verifican la dirección de destino, los protocolos y los números de puerto (o servicios).
• Por ejemplo, una ACL extendida puede permitir de manera simultánea el tráfico de correo
electrónico de una red a un destino específico y, a la vez, denegar la transferencia de
archivos y la navegación Web.
Configuración de las ACL extendidas
Generación de número de puertos
Configuración de las ACL extendidas
Sintaxis
Configuración de las ACL extendidas
Ejemplo el administrador de red debe restringir el acceso a Internet para permitir sólo la navegación Web.
La ACL 103 se aplica al tráfico que sale de la red 192.168.10.0, y la ACL 104 al tráfico que ingresa a la red.
La ACL 103 permite el tráfico que ingresa de cualquier dirección en la red 192.168.10.0 para dirigirse a cualquier destino,
sujeto a la limitación que el tráfico se dirige solo a los puertos 80 (HTTP) y 443 (HTTPS).
HTTP requiere que el tráfico regrese a la red, pero el administrador de red desea restringirlo a intercambios HTTP desde
los sitios Web solicitados.
Solución denegar cualquier otro tráfico que ingrese a la red. La ACL 104 lo hace bloqueando el tráfico entrante, a
excepción de las conexiones establecidas (established).
Established permite respuestas al tráfico que se origina desde la red 192.168.10.0 /24 a la interfaz de entrada s0/0/0.
Sin el parámetro Established en la sentencia de ACL 104, los clientes pueden enviar tráfico a un servidor Web, pero no lo
reciben de ese servidor.
Cómo aplicar ACL extendidas a interfaces
A partir del ejemplo anterior permitir a los usuarios navegar en sitios Web seguros y no seguros.
1. Considerar si el tráfico que deseamos filtrar es entrante o saliente.
2. Intentar acceder a sitos Web de Internet implica la salida de tráfico.
3. Recibir correos electrónicos de Internet implica la entrada de tráfico a la red.
Sin embargo, al considerar cómo aplicar una ACL a una interfaz, el ingreso y la salida tienen significados
diferentes, según el punto de vista.
En el ejemplo de la figura, R1 tiene dos interfaces. Tiene un puerto serial, S0/0/0, y uno Fast Ethernet,
Fa0/0. El tráfico entrante de Internet ingresa a la interfaz S0/0/0, pero sale de la interfaz Fa0/0 para llegar
a PC1. El ejemplo aplica la ACL a la interfaz serial en ambas direcciones.
Cómo aplicar ACL extendidas a interfaces
Ejemplo denegar el tráfico FTP desde la subred 192.168.11.0 hacia la subred 192.168.10.0, pero
permitir el resto de tráfico.
Podemos elegir utilizar números de puerto como se muestra en el ejemplo o denominar un puerto bien
conocido. En un ejemplo anterior de una ACL extendida, las sentencias se redactaron de la siguiente
manera:
Para FTP es preciso mencionar ftp y ftp-data.
Cómo aplicar ACL extendidas a interfaces
Ejemplo Denegar el tráfico de Telnet desde 192.168.11.0 hacia la interfaz Fa0/0, pero permitir el
resto de tráfico IP de cualquier otro origen a cualquier destino desde la interfaz Fa0/0.
Creación de ACL extendidas nombradas
Paso 1. Desde el modo de configuración global, usamos el comando ip access-list extended nombre
para definir una ACL extendida nombrada.
Paso 2. En el modo de configuración de ACL nombrada, especificamos las condiciones que
queremos permitir o denegar.
Paso 3. En el modo EXEC privilegiado verificamos la ACL con el comando show access-lists
[número | nombre].
Paso 4. Guardamos en el archivo de configuración con el comando copy running-config startup-
config.
Eliminar una ACL extendida nombrada comando de configuración global no ip access-list
extended nombre.
Configuración de ACL complejas
ACL,s Complejas
Las ACL estándar y extendidas pueden ser la base de las ACL complejas que
brindan mayor funcionalidad.
Existen tres categorías de ACL complejas:
Configuración de ACL complejas
ACL,s Dinámicas
El bloqueo es una característica de seguridad de filtrado. Sólo para tráfico IP.
Dependen de un mecanismo básico de autenticación, generalmente Telnet,
para activar la ACL.
Consiste en crear una regla en la ACL que sólo se active si es disparada por
algún evento, en éste caso un acceso por telnet al router.
Configuración:
Se aplica una ACL extendida para bloquear el tráfico que atraviesa el router.
Los usuarios que deseen atravesar el router son bloqueados por la ACL
extendida hasta que utilizan Telnet para conectarse al router y ser autenticados.
En ese momento, se interrumpe la conexión a Telnet, y se agrega una ACL
dinámica de única entrada a la ACL extendida existente.
Esta entrada permite el tráfico por un período determinado; es posible que se
produzcan errores por inactividad y superación del tiempo de espera.
Configuración de ACL complejas
ACL,s Dinámicas. ¿Cuándo utilizar las ACL dinámicas?
Cuando un usuario remoto o grupo de usuarios remotos específico para
acceder al host dentro de la red, conectándose desde sus hosts remotos a
través de Internet.
El bloqueo autentica al usuario y luego permite el acceso limitado a través
de su router firewall para un host o subred por un período limitado.
Cuando queremos que un subconjunto de hosts de una red local acceda a un
host de una red remota protegida por un firewall.
Con el bloqueo, podemos permitir el acceso al host remoto sólo a los
conjuntos de hosts locales que queramos.
El bloqueo requiere que los usuarios se autentiquen a través de AAA, un servidor
TACACS+ u otro servidor de seguridad, antes de que permita a sus hosts el
acceso a los hosts remotos.
Configuración de ACL complejas
ACL,s Dinámicas. Beneficios
Uso de un mecanismo de desafío para autenticar los usuarios individuales.
Administración simplificada en internetworks más grandes.
Reducción de la cantidad de procesamiento de un router necesario para las ACL.
Reducción de intromisiones por parte de piratas informáticos.
Creación de acceso dinámico al usuario a través de un firewall, sin comprometer
otras restricciones de seguridad configuradas.
Configuración de ACL complejas
ACL,s Dinámicas
Ejemplo El usuario de PC1 es un administrador que requiere acceso de
puerta trasera a la red 192.168.30.0 /24 ubicada en el router R3. Se configuró
una ACL dinámica para permitir el acceso FTP y HTTP al router R3 sólo por
tiempo limitado.
Configuración de ACL complejas
ACL,s Dinámicas
Ip tcp y udp
Resolución de problemas. Errores comunes
La red 192.168.10.0 /24 puede usar Telnet para conectarse a la red 192.168.30.0 /24
porque el número de puerto Telnet en la sentencia 10 de la lista de acceso 130
aparece en la ubicación incorrecta.
La sentencia 10 actualmente deniega cualquier origen con un número de puerto igual
al de Telnet que intente establecer una conexión a cualquier dirección IP. Si desea
denegar el tráfico Telnet que ingresa a S0, debe denegar el número de puerto de
destino igual al de Telnet, por ejemplo, deny tcp any any eq telnet.