Scribd
Cargar
225 vistas7 páginas

Guía de ACL para Routers Cisco

Las ACL (Listas de Control de Acceso) permiten controlar el flujo de tráfico de red en routers y switches. Pueden filtrar tráfico permitiendo o denegando paquetes de acuerdo a su origen, destino y protocolo. Existen ACL estándares que controlan solo por origen y ACL extendidas que permiten controlar también por destino y protocolo. Las ACL se configuran en routers mediante comandos que especifican las condiciones para permitir o denegar paquetes y luego se aplican a interfaces para controlar el tráfico entrante o saliente.

Cargado por

bla
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
225 vistas7 páginas

Guía de ACL para Routers Cisco

Las ACL (Listas de Control de Acceso) permiten controlar el flujo de tráfico de red en routers y switches. Pueden filtrar tráfico permitiendo o denegando paquetes de acuerdo a su origen, destino y protocolo. Existen ACL estándares que controlan solo por origen y ACL extendidas que permiten controlar también por destino y protocolo. Las ACL se configuran en routers mediante comandos que especifican las condiciones para permitir o denegar paquetes y luego se aplican a interfaces para controlar el tráfico entrante o saliente.

Cargado por

bla
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Listas de Control de Acceso en Router Cisco

Una Lista de Control de Acceso o ACL (del ingls, Access Control List) es un
concepto de seguridad informtica usado para fomentar la separacin de
privilegios. Es una forma de determinar los permisos de acceso apropiados a
un determinado objeto, dependiendo de ciertos aspectos del proceso que
hace el pedido.
Las ACLs permiten controlar el flujo del trfico en equipos de redes, tales
como routers y switches. Su principal objetivo es filtrar trfico, permitiendo
o denegando el trfico de red de acuerdo a alguna condicin. Sin embargo,
tambin tienen usos adicionales, como por ejemplo, distinguir trfico
interesante (trfico suficientemente importante como para activar o
mantener una conexin) en ISDN.
WILCARD
Wildcard significa comodn, como el joker en el juego de naipes.
Tanto en la direccin de origen, como (en el caso de las ACL extendidas) en
la direccin de destino, se especifican las direcciones como dos grupos de
nmeros: un nmero IP, y una mscara wildcard.
Si se traduce a binario, los 1 en la mscara wildcard significan que en la
direccin IP correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la mscara wildcard es igual a la
mscara de subred, cambiando los 0 por 1 y los 1 por 0 (en binario).
Sin embargo, las mscaras wildcard tambin permiten ms; por ejemplo, se
pueden denegar todas las mquinas con nmeros IP impares, o permitir el
rango de IP 1-31, en varias subredes a la vez.
ACL:
En redes de computadoras, ACL se refiere a una lista de reglas que detallan
puertos de servicio o nombres de dominios (de redes) que estn disponibles
en una terminal u otro dispositivo de capa de red, cada uno de ellos con una
lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos
servidores individuales como routers pueden tener ACLs de redes. Las listas
de acceso de control pueden configurarse generalmente para controlar
trfico entrante y saliente y en este contexto son similares a unos
cortafuegos.
Existen dos tipos de ACL:
ACL estndar, donde solo tenemos que especificar una direccin de origen;
ACL extendida, en cuya sintaxis aparece el protocolo y una direccin de
origen y de destino.
Comandos para crear ACLS:
Crear una ACL estndar:
(config)#access-list <# lista>
Ejemplos:
(config)#access-list 1 deny [Link] [Link]
(config)#access-list 1 permit host [Link]
(config)#access-list 1 permit any
Parmetros:
# Lista: Estndar de 1 a 99, extendida de 100 a 199
Accin:
Protocolo: ip | tcp | udp | icmp
comparacin: gt | lt | eq
gt = greater than, lt = lesser than, eq = equal
Origen de una sola ip: host
Origen de cualquier ip: any
Origen de una red:
La wildcard ser en la mayora de los casos el inverso de la mscara
Crear una ACL extendida:
(config)#access-list <# lista> [comparacin] [puerto origen] [comparacin]
[puerto destino]
Ejemplos:
(config)#access-list 105 permit [Link] [Link] host [Link] eq 80
(config)#access-list 105 permit host [Link] [Link] [Link]
(config)#access-list 105 deny [Link] [Link] any
Origen o destino de una sola ip: host
Origen o destino de cualquier ip: any
Origen o destino de una red:
La wildcard ser en la mayora de los casos el inverso de la mscara
Aplicar la lista sobre un puerto:
Debe ingresarse primero al puerto deseado y luego aplicarla all, ya sea
entrante o saliente:
(config-if)#ip access-group <# lista>
Ejemplo:
(config)#interface seria 0/0
(config-if)#ip access-group 100 out
Para aplicarla al trfico que va dirigido al router propiamente (telnet por
ejemplo), debe hacerse sobre las terminales virtuales
(config)#line vty 0 4
(config-line)#access-class <# lista>
Ejemplo:
(config-line)#access-class 105 in
Borrar una ACL:
(config)#no access-list <# lista>
Ejemplo:
(config)#no access-list 105

HOJA NUMERO 2

Propsito de las ACL


Las ACL permiten un control del trfico de red, a nivel de los routers. Pueden
ser parte de una solucin de seguridad (junton con otros componentes, como
antivirus, anti-espas, firewall, proxy, etc.).

Puntos varios, que se deben recordar

Una ACL es una lista de una o ms instrucciones.

Se asigna una lista a una o ms interfaces.

Cada instruccin permite o rechaza trfico, usando uno o


ms de los siguientes criterios: el origen del trfico; el
destino del trfico; el protocolo usado.

El router analiza cada paquete, comparndolo con la ACL


correspondiente.

El router compara la ACL lnea por lnea. Si encuentra


una coincidencia, toma la accin correspondiente
(aceptar o rechazar), y ya no revisa los restantes
renglones.

Es por eso que hay que listar los comandos desde los
casos ms especficos, hasta los ms generales. Las
excepciones tienen que estar antes de la regla general!
Si no encuentra una coincidencia en ninguno de los
renglones, rechaza automticamente el trfico.
Consideren que hay un "deny any" implcito, al final de
cada ACL.

Cualquier lnea agregada a una ACL se agrega al final.


Para cualquier otro tipo de modificacin, se tiene que
borrar toda la lista y escribirla de nuevo. Se recomienda
copiar al Bloc de Notas y editar all.

Las ACL estndar (1-99) slo permiten controlar en base


a la direccin de origen.

Las ACL extendidas (100-199) permiten controlar el


trfico en base a la direccin de origen; la direccin de
destino; y el protocolo utilizado.

Tambin podemos usar ACL nombradas en vez de usar


un rango de nmeros. El darles un nombre facilita
entender la configuracin (y por lo tanto, tambin facilita
hacer correcciones). No tratar las listas nombradas en
este resumen.

Si consideramos slo el trfico de tipo TCP/IP, para cada


interface puede haber slo una ACL para trfico
entrante, y una ACL para trfico saliente.

Sugerencia para el examen: Se deben conocer los


rangos de nmeros de las ACL, incluso para protocolos
que normalmente no nos interesan.

Wildcards

"Wildcard" significa "comodn", como el joker en el juego


de naipes.

Tanto en la direccin de origen, como (en el caso de las


ACL extendidas) en la direccin de destino, se
especifican las direcciones como dos grupos de
nmeros: un nmero IP, y una mscara wildcard.

Si se traduce a binario, los "1" en la mscara wildcard


significan que en la direccin IP correspondiente puede ir
cualquier valor.
Para permitir o denegar una red o subred, la mscara
wildcard es igual a la mscara de subred, cambiando los
"0" por "1" y los "1" por "0" (en binario).

Sin embargo, las mscaras wildcard tambin permiten


ms; por ejemplo, se pueden denegar todas las
mquinas con nmeros IP impares, o permitir el rango de
IP 1-31, en varias subredes a la vez.

Ejemplos:

Permitir o denegar un IP especfico: [Link] [Link].


Se puede abreviar como host [Link].

Permitir o denegar una subred: [Link] [Link].


(El ejemplo corresponde a una subred /24, es decir,
mscara de subred = [Link].)

Permitir o denegar a todos: [Link] [Link].


Se puede abreviar como any.

Colocacin de las ACL

Las ACL estndar se colocan cerca del destino del


trfico. Esto se debe a sus limitaciones: no se puede
distinguir el destino.

Las ACL extendidas se colocan cerca del origen del


trfico, por eficiencia - es decir, para evitar trfico
innecesario en el resto de la red.

Direccin del trfico


El tema "in" vs. "out" suele causar confusiones, por eso es convienente la
siguiente explicacin.

La direccin in o out (entrada o salida) se refiere al router que estn


configurando en ese momento. Por ejemplo, con la siguiente configuracin de
routers (A, B, C son routers; X, Y son hosts (o redes)):

X ------ A ------ B ------ C ------- Y

Se puede controlar el trfico de X a Y en el router A, B o C.


Por ejemplo, el en router A, se puede controlar el trfico entrante (in), en la
interface que est a su izquierda. En el mismo router, tambin es posible
controlar el trfico saliente (out), en la interface que est a su derecha.

De la misma manera, se puede controlar el trfico en el router B: entrante, a la


izquierda; o saliente, por la derecha; o de igual manera en el router C.

(Lo ms recomendable en este caso es usar una lista extendida, en el router A,


y aplicarla a la interface a su izquieda, direccin "in" - entrante.)

Tambin se debe recordar que normalmente el trfico fluye en dos


direcciones. Por ejemplo, si "Y" es un servidor Web, tericamente, en el router
C, interface a la derecha, se podra bloquear la solicitud al servidor (out), o
tambin la respuesta del servidor (in).

ACL estndar
Sintaxis para un rengln (se escribe en el modo de configuracin global):
access-list (nmero) (deny | permit) (ip origen) (wildcard origen)
Ejemplo: Bloquear toda la subred [Link]/24, excepto la mquina
[Link].
access-list 1 permit host [Link]
access-list 1 deny [Link] [Link]
access-list 1 permit any
Para asignarlo a una interface:
interface F0
ip access-group 1 out
ACL extendidas
Sintaxis para cada rengln:
access-list (nmero) (deny | permit) (protocolo) (IP origen) (wildcard
origen) (IP destino) (wildcard destino)
[(operador) (operando)]
El "protocolo" puede ser (entre otros) IP (todo trfico de tipo TCP/IP), TCP,
UDP, ICMP.

El "operando" puede ser un nmero de puerto (por ejemplo 21), o una sigla
conocida, por ejemplo, "ftp".

Ejemplo 1: Repetir el ejemplo de la ACL estndar, pero se especifica que se


quiere permitir o denegar el trfico con destino al servidor, que est en
[Link]:
access-list 101 permit ip host [Link] host [Link]
access-list 101 deny ip [Link] [Link] host [Link]
access-list 101 permit ip any any
Ejemplo 2: Permitir trfico HTTP y "ping" (ICMP) al servidor [Link],
para todos. Denegar todo lo dems.
access-list 102 permit icmp any host [Link]
access-list 102 permit tcp any host [Link] eq www
Comandos varios
show ip interface (muestra asignaciones de ACL)
show access-lists (muestra el contenido de las ACL)
debug ip packet 101 [detail] (permite analizar cmo se aplican las
ACL)

*********************************************************************

También podría gustarte