cap5 acl

© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE I Chapter 6 1

Listas de Acceso

Accediendo la WAN – Capítulo 5

© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 2

Objetivos Explicar cómo se utilizan las ACL para proteger una red de

sucursal de mediana empresa, incluido el concepto de filtrado de paquetes, el propósito de las ACL, cómo se utilizan para controlar el acceso y los tipos de ACL de Cisco.

Configurar las ACL estándar en una red de sucursal de mediana empresa, incluida la definición de los criterios de filtrado, la configuración de las ACL estándar para filtrar el tráfico y su aplicación a las interfaces del router.

Configurar las ACL extendidas en una red de sucursal de mediana empresa, incluida la configuración de las ACL extendidas y denominadas, la configuración de filtros, la verificación, la supervisión y la resolución de problemas de las ACL extendidas.

Describir las ACL complejas en una red de sucursal de mediana empresa, incluida la configuración de ACL dinámicas, reflexivas y basadas en tiempo, la verificación y resolución de problemas de las ACL complejas y la explicación de las claves relevantes.


5.1 Cómo utilizar las ACL para la protección de las redes



Un router de filtrado de paquetes utiliza reglas para determinar la autorización o denegación del tráfico según:•Dirección IP de origen•Dirección IP de destino•Tipo de mensaje ICMP•Puerto TCP/UDP de origen•Puerto TCP/UDP de destino

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.


¿Cómo funcionan las ACL?

•Las ACL no actúan sobre paquetes que se originan en el mismo router. •Las ACL se configuran para ser aplicadas al tráfico entrante o saliente.•Las sentencias de la ACL operan en orden secuencial.•Una sentencia implícita final cubre todos los paquetes para los cuales las condiciones no resultan verdaderas (implicit deny any statement/deny all traffic).


ACL de entrada

ACL de salida


Las ACL y el enrutamiento, y los procesos de las ACL en un

router


¿Cómo funcionan las ACL Estándar?


• A partir del IOS de Cisco Versión 11.2, puede utilizar un nombre para identificar una ACL de Cisco.

• Los números de ACL del 200 al 1299 son utilizados por otros protocolos (AppleTalk e IPX)


Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son:

• Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red.

• Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del destino posible.


5.2 Configuración de las ACL Estándar



access-list 2 deny 192.168.10.1access-list 2 permit 192.168.10.0 0.0.0.255access-list 2 deny 192.168.0.0 0.0.255.255access-list 2 permit 192.0.0.0 0.255.255.255


Máscaras wildcard

•Las sentencias de las ACL incluyen máscaras, también denominadas máscaras wildcard. •La máscara determina qué parte de la dirección IP de origen y destino aplicar a la concordancia de direcciones.•Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección.•Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección.•Las máscaras wildcard generalmente son denominadas máscaras inversas.


Palabras clave de la máscara de bits wildcard

•La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IP deben coincidir o que sólo un host coincide.•La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara indica que debe ignorarse toda la dirección IP o que deben aceptarse todas las direcciones.


• Si el router no admite SSH, puede mejorar parcialmente la seguridad de las líneas administrativas restringiendo el acceso VTY con listas de acceso.

• Las listas de acceso no están diseñadas para bloquear paquetes que se originan dentro del router.

• Sólo se pueden aplicar listas de acceso numeradas a las VTY. • Deben establecerse las mismas restricciones en todas las VTY porque

un usuario puede intentar conectarse a cualquiera de ellas.


Creación de ACL Estándar Nombradas•Asignar un nombre a una ACL facilita la comprensión de su función.•Los nombres de las ACL son alfanuméricos, deben ser únicos y no deben comenzar con un número.


Edición de las ACL nombradas


5.3 Configuración de las ACL Extendidas



ACL Extendidas

•Las ACL extendidas numeradas utilizan los identificadores que van del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. •Las ACL extendidas verifican la dirección de origen del paquete, la dirección de destino, los protocolos y los números de puerto (o servicios).•Al igual que las ACL estándar las ACL contienen una denegación implícita.


Prueba de puertos y servicios

Pueden utilizarse operaciones lógicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt).


5.3 Configuración de ACL Complejas



Cuando utilizarlas?•Cuando desea un usuario remoto o grupo de usuarios remotos específico para acceder al host dentro de la red, conectándose desde sus hosts remotos a través de Internet. •Cuando desea que un subconjunto de hosts de una red local acceda a un host de una red remota protegida por un firewall.

Beneficios•Uso de un mecanismo de desafío para autenticar los usuarios individuales•Administración simplificada en internetworks más grandes•En muchos casos, reducción de la cantidad de procesamiento de un router necesario para las ACL•Reducción de la oportunidad de intromisiones a la red por parte de piratas informáticos•Creación de acceso dinámico al usuario a través de un firewall, sin comprometer otras restricciones de seguridad configuradas


ACL dinámicas

•El bloqueo es una característica de seguridad de filtrado de tráfico que utiliza ACL dinámicas (disponible sólo para tráfico IP)•Dependen de la conectividad Telnet, de la autenticación (local o remota) y de las ACL extendidas.•Permiten el tráfico por un período determinado


Ejemplos de ACL dinámicas


ACL reflexivas

•Obligan al tráfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente.•Permiten el tráfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el tráfico IP en sesiones que se originan fuera de la red.•Proporcionan una forma más exacta de filtrado de sesión que una ACL extendida que utiliza el parámetro established•Las ACL reflexivas sólo pueden definirse con ACL IP extendidas nombradas

Beneficios•Ayudan a proteger la red de piratas informáticos y pueden incluirse en un firewall. •Proporcionan un nivel de seguridad contra ataques de suplantación de identidad y de denegación de servicios. •Son fáciles de utilizar y, comparadas con las ACL básicas, proporcionan un mayor control de los paquetes que ingresan a la red.


Ejemplo de ACL reflexivas


ACL basadas en el tiempo

•Similar en función a la ACL extendida, pero admite control de acceso basado en el tiempo.

Beneficios.•Ofrecen al administrador de red más control de los permisos y denegaciones de acceso a los recursos. •Permiten a los administradores de red controlar los mensajes de registro. Las entradas de las ACL pueden registrar el tráfico en determinados momentos del día, pero no de forma permanente. De esta manera, los administradores pueden simplemente denegar el acceso, sin tener que analizar los diferentes registros que se generan durante las horas pico.


Ejemplo de ACL basadas en tiempo

cap5 acl

Documents

deben comenzar con

deben ser nicos

de esta manera

esta mscara indica

las acl

la verificacin

cisco public

2006 cisco systems