clase 8 listas de accesso acl
TRANSCRIPT
Prof. Cristian Ahumada V.
TELECOMUNICACIONES Y REDES
Servicios en una WAN convergente
1. Introducción 2. Uso de ACLs para proteger las redes 3. Configuración de las ACLs estándar 4. Configuración de las ACLs extendida 5. Configuración de ACLs complejas
Contenido
Unidad V: Listas de acceso (ACL)
Objetivos
• Explicar cómo se usan las ACL para asegurar la red de una sucursal de una empresa mediana
• Configurar las ACL estándar en la red de una sucursal de una empresa mediana
• Configurar las ACL extendidas en la red de una sucursal de una empresa mediana
• Describir las ACL complejas en la red de una sucursal de una empresa mediana
• Implementar, verificar y resolver problemas de las ACL en un entorno de red empresarial
Las ACL (del inglés, Access Control List) le permiten controlar el
tráfico de entrada y de salida de la red. Este control puede ser tan
simple como permitir o denegar los hosts o direcciones de red.
Sin embargo, las ACL también pueden configurarse para controlar
el tráfico de red según el puerto TCP que se utiliza.
ACL es una lista secuencial de sentencias de permiso o
denegación que se aplican a direcciones IP o protocolos de capa
superior. La ACL puede extraer la siguiente información del
encabezado del paquete.
ACL (access control list)
Las tres P
Puede configurar una ACL por protocolo, por dirección y por interfaz:
Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz,
se debe definir una ACL para cada protocolo habilitado en la interfaz.
Una ACL por dirección: las ACL controlan el tráfico en una dirección a la
vez de una interfaz. Deben crearse dos ACL por separado para controlar el
tráfico entrante y saliente.
Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por
ejemplo, FastEthernet0/0.
Limitar el tráfico de red para mejorar el rendimiento.
Brindar el control de flujo de tráfico
Proporcionar un nivel básico de seguridad para el acceso a
la red.
Decide qué tipos de tráfico envía o bloquea en las interfaces
del router (Telnet)
Controlar las áreas de la red a las que puede acceder un
cliente.
Analizar los hosts para permitir o denegar su acceso a los
servicios de Red.
Las ACL realizan las siguientes tareas:
Funcionamiento de las ACL:
Las ACL se configuran para ser aplicadas al tráfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan antes de ser
enrutados a la interfaz de salida. Una ACL de entrada es eficaz
porque guarda la carga de búsquedas de enrutamiento si el paquete
se descarta. Si el paquete está autorizado por las pruebas, luego se
procesa para el enrutamiento.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de
salida y luego son procesados a través de la ACL de salida.
Puede aplicar una ACL a varias interfaces. Sin embargo, sólo puede
haber una ACL por protocolo, por dirección y por interfaz.
Hay dos tipos de ACL Cisco: estándar y extendidas.
ACL estándar
Las ACL estándar le permiten autorizar o denegar el tráfico desde las
direcciones IP de origen. No importan el destino del paquete ni los
puertos involucrados.
ACL extendidas
Las ACL extendidas filtran los paquetes IP en función de varios atributos,
por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP
de destino, puertos TCP o UDP de origen, puertos TCP o UDP de
destino e información opcional de tipo de protocolo para una mejor
disparidad de control.
Tipos de ACL:
Las sentencias ACL
operan en orden
secuencial
• Deny all traffic
• Implicit deny any statemen
Las ACL estándar filtran paquetes IP solamente según la dirección de
origen.
• Debido a la sentencia implícita “Deny any” todo tráfico se bloquea con
esta acl.
• Ubicar las acl lo más cerca del destino posible
Las ACL extendidas filtran paquetes IP según diferentes atributos:
• Direcciones IP de origen y de destino
• Puertos TCP y UDP de origen y de destino
• Tipo de protocolo (IP, ICMP, UDP, TCP o número de protocolo)
• Ubicar las ACL lo más cerca posible del origen del tráfico denegado
Tipos de ACL:
Numeración y denominación de las ACL:
Dónde ubicar las ACL:
ACL estándar
ACL estándar
ACL Estándar Configurar la ACL
Asignar a un puerto
Numerada
Nombrada
permit
Router(config)#access-list número-acl deny origen [wildcard origen]
remark
Configurar ACL Numerada
Configurar ACL Nombrada
ACL Estándar Configurar la ACL
Asignar a un puerto
Numerada
Nombrada
Router(config-if)#ip access-group [número lista / nombre lista] [in/out]
Asignar a un puerto
ACL Extendida
Configurar la ACL
Asignar a un puerto
Numerada
Nombrada
Configurar ACL Extendida
ACL Extendida
Configurar la ACL
Asignar a un puerto
Numerada
Nombrada
Configurar ACL Extendida
ACL Extendida Configurar la ACL
Asignar a un puerto
Numerada
Nombrada Asignar a un Puerto
Denegar FTP
Denegar Telnet
ACL Extendida Configurar la ACL
Asignar a un puerto
Numerada
Nombrada
Una lista de control de acceso (ACL) es:
Una serie de declaraciones para permitir (permit) y denegar (deny) contenido, que se utiliza para filtrar el tráfico
ACL estándar
–Se identifica por los números de 1 a 99 y de 1300 a 1999
–Filtra el tráfico según la dirección IP de origen
ACL extendida
–Se identifica por los números de 100 a 199 y de 2000 a 2699
–Filtra el tráfico según
•Dirección IP de origen
•Dirección IP de destino
•Protocolo
•Número de puerto
Resumen