Listas de Control de Acceso (ACL) PDF

Summary

Este documento es una presentación sobre Listas de Control de Acceso (ACL). Describe cómo funcionan las ACL, sus usos y diferentes tipos, incluyendo la sintaxis de las ACL estándar y las ACL extendidas. También se presentan ejemplos para entender mejor el concepto.

Full Transcript

Listas de Control de Accesos (ACL)

1
Índice

1. Introducción
2. Funciones de las ACL
3. Tipos de ACL
4. ACL estándar
5. ACL extendida
6. Aplicar la lista a una interfaz
7. ¿Dónde se aplican las ACL’s?
8. Ejemplo 1: ACL estándar
9. Ejemplo 2: ACL extendida
10. Ejemplo 3: ACL estándar con nombre
11. Ejemplo 4: ACL extendida con nombre

2
Introducción

Las ACL (Access Control List) o Lista de control de acceso tiene un
objetivo similar al de un cortafuegos, ya que su tarea consiste en filtrar el
tráfico que pasa por un dispositivo de capa 3.

3
Funciones de las ACL

Limitan el tráfico de red para aumentar el rendimiento de la red: Por ejemplo
se puede configurar y aplicar una ACL que bloquee el tráfico de video.
Permiten controlar el flujo del tráfico: Por ejemplo, pueden restringir la
entrega de actualizaciones de routing para asegurar que las actualizaciones
provienen de un origen conocido.
Filtran el tráfico según el tipo de tráfico: Por ejemplo una ACL puede permitir
el tráfico del correo electrónico, pero denegar todo el tráfico de tipo telnet.
Las ACL filtran a los host para permitirles o denegarles el acceso a los
servicios: Por ejemplo, denegar o permitir acceso a FTP o HTTP.
Proporcionan un nivel básico de seguridad en la red: Las ACL pueden
permitir que un host acceda a una parte de la red y evitar que otro host
acceda a la misma área.

4
Filtrado de paquetes

Una ACL utiliza una lista secuencial
de declaraciones de permiso o
denegación, conocidas como
entradas de control de acceso
(ACE).
El filtrado de paquetes controla el
acceso a una red mediante el
análisis de los paquetes entrantes y
salientes y la transferencia o el
descarte de estos según criterios
determinados. El filtrado de
paquetes puede producirse en la
capa 3 o capa 4.
Las ACL estándar filtran sólo en la
Capa 3. Las ACL extendidas filtran
en las capas 3 y 4.

5
Tipos de ACL

ACL estándar, donde solo tenemos que especificar una dirección de
origen.
ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de
origen y de destino.
ACL con nombre, permite dar nombres en vez de números a las ACL
estándar o extendidas.

Las ACL número 1 a 99,
o 1300 a 1999 son ACL
estándar, mientras que
las ACL número 100 a
199, o 2000 a 2699 son
ACL extendidas.

6
ACL estándar

(config)#access-list n {permit | deny} source {source-wildcard}

Ejemplos:

(config)#access-list 1 deny 10.5.3.0 0.0.0.255
(config)#access-list 1 permit host 10.5.3.37
(config)#access-list 1 permit any

7
ACL extendida

(config)#access-list n {permit | deny} protocol source {source-wildcard}
destination {destination-wildcard} [operator {destination-port}]

Ejemplos:

(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80
(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255
(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any

8
Ejemplo ACL extendida

(config)#access-list n {permit | deny} protocol source {source-mask}
destination {destination-mask} [operator {destination-port}]

9
Sintaxis

Protocolo: ip | tcp | udp | icmp
operador: gt | lt | eq
○ gt = greater than, lt = lesser than, eq = equal
Origen de una sola ip: host
Origen de cualquier ip: any
Máscara wildcard: el inverso de la máscara.

10
¿Dónde se aplican las ACL’s?

Las listas de acceso estándar se deben colocar cerca del
destino.
Las listas de acceso extendidas se deben colocar cerca
de la fuente.

11
¿Dónde se aplican las ACL’s? In y Out

In: el tráfico que llega a la interfaz y luego pasa por el router.

Out: el tráfico que ya ha pasado por el router y está saliendo
de la interfaz.

12
Aplicar la lista a una interfaz

Ejemplo:

(config)#interface serial 0/0
(config-if)#ip access-group 100 out

Específicamente, una interfaz de router
puede tener:

una ACL IPv4 saliente
una ACL IPv4 entrante
una ACL IPv6 entrante
una ACL IPv6 saliente
13
¿Dónde se aplican las ACL’s?

Ejemplo:
Si se desea bloquear el tráfico del origen al destino, mejor aplicar una ACL
entrante a E0 en el router A en vez de una lista saliente a E1 en el router C

14
Normas

Se puede tener una lista de acceso por protocolo, por dirección y por
interfaz.
No se puede tener dos listas de acceso a la dirección entrante de
una interfaz.
Se puede tener una lista de acceso de entrada y una de salida
aplicada a una interfaz.

15
Otros comandos de ACL

Mostrar las listas de acceso:

Router#show access-list

Borrar una ACL:
Router(config)#no access-list n

La modificación de una ACL requiere especial atención. Si intenta
eliminar una línea concreta de una ACL numerada, se eliminará
toda la ACL

16
Ejemplo 1: ACL estándar

Definir una lista de acceso estándar que permita solo a la red
10.0.0.0/8 acceder al servidor localizado en la interface Fa0/1.

17
Ejemplo 1: ACL estándar

1. Primer paso: Definir a quien se le permite el tráfico:

○ Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255

○ (Siempre hay implícito una prohibición (deny) al resto de tráfico al final
de la ACL por eso no necesitamos añadir “deny” al resto de tráfico.

18
Ejemplo 1: ACL estándar

2. Segundo paso: Aplicar la ACL a la interfaz:

○ Router(config)#interface Fa0/1

○ Router(config-if)#ip access-group 1 out

2. Tercer paso: Verificar la creación de la ACL

○ Para obtener una vista rápida de las ACL vigentes, utiliza
show access-lists.
19
Ejemplo 2: ACL extendida

Las ACL extendidas normalmente
se aplican cerca del origen. Por lo
tanto, ACL 110 se aplicó entrante
en la interfaz R1 G0/0/0.

20
Ejemplo 3: ACL estándar con nombre

1º Definimos la ACL Nombre de la ACL

2º Aplicamos la ACL a la interfaz

Remark: Agrega una
entrada de texto para fines
de documentación. El
número de caracteres está
3º Verificamos la creación de la ACL limitado a 100. Se puede
utilizar en ACL estándar,
extendidas y nombradas.
21
Ejemplo 4: ACL extendida con nombre

1º Definimos la ACL: La ACL extendida con nombre SURFING permite que el tráfico HTTP y
HTTPS de los usuarios internos salga de la interfaz G0/0/1 conectada a Internet.

2º Aplicamos la ACL a la interfaz Remark: Agrega una
entrada de texto para fines
de documentación. El
número de caracteres está
limitado a 100. Se puede
utilizar en ACL estándar,
3º Verificamos la creación de la ACL con el comando show
extendidas y nombradas.
access-lists
22