Capitulo 9 Lista de Control de Acceso

2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential Presentation_ID 1

Captulo 9: Listas de
Control de Acceso.

Routing & Switching
Presentation_ID 2 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Chapter 9
9.1 Operacin de una ACL IP
9.2 ACL Estndar IPv4
9.3 ACL Extendida IPv4
9.4 Debug con ACLs
9.5 Troubleshoot en ACLs
9.6 ACLs IPv6
9.7 Resumen.
Chapter 9: Objectives
Explicar cmo las ACL se usan para filtrar trfico.
Comparar las ACL estndar IPv4 con las ACL extendidas
IPv4.
Explicar cmo las ACLs usan la mscara wildcard.
Explicar cmo crear las ACLs.
Explicar cmo se aplican las ACLs.
Configurar ACLs estndar IPv4 para filtrar trfico de acuerdo a
los requerimientos de la red.
Modificar una ACL estndar IPv4 usando una secuencia de
nmeros.
Configurar una ACL estandard para asegurar el acceso por
vty.
Chapter 9: Objectives (continued)
Explicar la estructura de una entrada de control de acceso
extendida (ACE).
Configurar ACLs extendidas IPv4 para filtrar trfico de acuerdo
a los requerimientos de la red.
Configurar una ACL para limitar la respuesta debug.
Explicar cmo un router procesa los paquetes cuando una se
aplica una ACL.
Pruebas de troubleshoot para detectar errores en las ACL
usando comandos CLI.
Comparar la creacin de ACL IPv4 y ACL IPv6.
Configurar ACLs IPv6 ACLs para filtrar trfico de acuerdo a
los requerimientos de la red.
Purpose of ACLs
Qu es una ACL?
Purpose of ACLs
Una Conversacin TCP
Purpose of ACLs
Filtrado de Paquetes
El filtrado de paquetes, a veces llamados filtrado de
paquetes estticos, controla el acceso a una red
mediante el anlisis de los paquetes entrantes y
salientes y dejndolos pasar o eliminndolos de
acuerdo a una base de criterios, como la direccin IP
origen, la direccin IP destino, y el protocolo que llleva
el paquete
Un router acta como un filtro de paquetes cunado
enva o bloquea un paquete de acuerdo a las reglas del
filtro.
Una ACL es una lista secuencial de instrucciones
permit y deny, conocidas como entradas de control
de acceso.
Purpose of ACLs
Filtrado de Paquetes (Cont.)
Purpose of ACLs
Operacin de las ACL

La ltima declaracin de una ACL es siempre una negacin
implcita. Esta declaracin se inserta automticamente al final
de cada ACL a pesar de que no est presente fsicamente. La
negacin implcita bloquea todo el trfico.
Debido a esta negacin implcita, una ACL que no tenga por lo
menos una declaracin de permiso bloquear todo el trfico
Standard versus Extended IPv4 ACLs
Tipos de ACLs IPv4 de Cisco
Standard ACLs

Extended ACLs
Standard versus Extended IPv4 ACLs
ACL Numeradas y Nombradas
Wildcard Masks in ACLs
Introducin a la mscara Wildcard en una ACL
Las mscaras wildcard y mscaras de subred se diferencian
en la forma en que coinciden con 1s y 0s binarios. Las
mscaras wildcard usan las siguientes reglas para que
coincida con 1s y 0s binarios:
Mscara wildcar con bits 0 para buscar coincidencia entre
el valor del bit y el correspondiente bit de la direccin.
Mscara wildcar con bits 1 para ignorar el valor del bit en
la direccin.
Las mscaras wildcard, a menudo, se conocen como una
mscara inversa. La razn es que, a diferencia de una
mscara de subred en la que el 1 binario corresponde a una
coincidencia con la direccin de red y el 0 binario no, en una
mscara wildcard se cumple lo contrario.
Ejemplos de Mscaras Wildcard: Hosts / Subnets
Ejemplos de Mscara Wildcard: Match Ranges
Calculando la Mscara Wildcard
Calcular la mscara wildcard puede ser un desafio. Un
mtodo es restar la mscara de subred al nmero
255.255.255.255.
Claves de la Mscara Wildcard
Ejemplos de Mscaras Wildcard
Guidelines for ACL creation
Instrucciones Generales para crear ACLs
Utilizar las ACL en los routers de firewall ubicado entre
la red interna y una red externa tal como Internet.
Utilizar las ACL en un router situado entre dos partes
de su red para controlar el trfico que entra o sale de
una parte especfica de su red interna.
Configurar ACL en routers frontera, es decir routers
situados en los bordes de sus redes.
Configurar las ACL para cada protocolo de red
configurado en las interfaces del router frontera.

Instrucciones Generales para crear ACLs
Las tres Ps:
Una ACL por protocolo - Para controlar el flujo de
trfico en una interfaz, una ACL debe definirse para
cada protocolo habilitado en la interfaz.
Una ACL por direccin las ACLs controlan el trfico
en una direccin a la vez en una interfaz. Se deben
crear dos ACLs separadas para controlar el trfico
entrante y saliente.
Una ACL por interfaz - ACL controlan el trfico por una
interfaz, por ejemplo, GigabitEthernet 0/0.
Mejores prcticas para ACL
Guidelines for ACL Placement
Dnde ubicar una ACL?
Cada ACL debe ser colocada donde tiene el mayor
impacto en la eficiencia. Las reglas bsicas son:
ACL extendidas: Localizar ACL extendidas lo ms
cerca posible del origen del trfico a ser filtrado.
ACL estndar: Debido a las ACL estndar no
especifican las direcciones de destino, colquelas lo ms
cerca posible del destino.
La ubicacin de la ACL y por lo tanto el tipo de ACL a
utilizar pueden depender , tambin, del grado de control
del administrador de red, del ancho de banda de las
redes involucradas, y de la facilidad de configuracin.

Ubicacin de una ACL Estndar
Ubicacin de una ACL Extendida
Configure Standard IPv4 ACLs
Declaracin de las Entradas
Configurando una ACL Estndar
Example ACL
access-list 2 deny host 192.168.10.10
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
Configurando una ACL Estndar (Cont.)
La sintaxis de una ACL estndar es la siguiente:
Router(config)# access-list access-list-number deny permit
remark source [ source-wildcard ] [ log ]

Para remover una, el comando en configuracin global
es no access-list .

La palabra clave remark se usa para documentar hacer
listas de acceso mucho ms fcil de entender.
Lgica Interna
Cisco IOS aplica una lgica interna cuando acepta y
procesa las instrucciones de una lista de acceso
estndar. Como se discuti previamente, las
instrucciones de la lista se procesan de forma
secuencial. Por lo tanto, el orden en que se introducen
es importante.
Aplicando ALCs Estndar a las interfaces
Despus que una ACL estndar es configurada, es
enlazada a una interface usando el comando ip access-
group en la configuracin de interface:
Router(config-if)# ip access-group { access-list-
number | access-list-name } { in | out }

Para remover una ACL de la interface, primero se
ingresa el comando no ip access-group en la
configuracin de interface, y luego se ingresa el
comando no access-list en el modo de configuracin
global.
Aplicando ALCs Estndar a las interfaces (Cont.)
Creando ACLs Estndar Nombradas
Comentando sobre ACLs
Modify IPv4 ACLs
Editando ACLs Estndar Numeradas
Modify IPv4 ACLs
Editando ACLs Estndar Numeradas (Cont.)
Modify IPv4 ACLs
Editando ACLs Estndar Nombradas
Modify IPv4 ACLs
Verificando ACLs
Modify IPv4 ACLs
Estadsticas de las ACL
Modify IPv4 ACLs
Nmeros de Secuencia de las ACL Estndar
Otra parte de la lgica interna del IOS involucra al nmero
de secuencia interno a cada una de las sentencias de una
ACL estndar. Las sentencias asociadas a rangos de IP
pueden ser configuradas primero y despus las sentencias
que involucran a un host. Con esta lgica, las sentencias de
host son vlidas debido a que sus direcciones IP de host no
son parte de las direcciones IP incluidas en los rangos
anteriores.
Al aplicar el comando show, las sentencias de host son
mostradas primero, aun que no hayan sido ingresados en
ese orden. El IOS ubica las sentencias asociadas a los host
en ese orden usando una funcin hashing especial. El orden
resultante optimiza la bsqueda de una entrada de host en
la ACL.
Securing VTY ports with a Standard IPv4 ACL
Configurando una ACL Estndar para asegurar un puerto
VTY
Filtrado de trfico Telnet o SSH se suele considerar como
funcin de las ACL extendidas IP, porque filtra un protocolo de
nivel superior. Sin embargo, debido a que el comando
access-class es usado para filtrar sesiones Telnet/SSH
entrantes o salientes, se puede usar una ACL Estndar.
Router(config-line)# access-class access-list-number {
in [ vrf-also ] | out }
Securing VTY ports with a Standard IPv4 ACL
Verificando el uso de una ACL Estndar usada para
asegurar un puerto VTY
Structure of an Extended IPv4 ACL
ACLs Extendidas
Structure of an Extended IPv4 ACL
Extended ACLs (Cont.)
Configure Extended IPv4 ACLs
Configurando ACLs Extendidas
Los pasos para la configuracin de ACL extendidas son las
mismas que para las ACL estndar. La ACL extendida es
configurada primero, y luego es aplicad en una interfaz. Sin
embargo, la sintaxis del comando y los parmetros son ms
complejos para poder soportar las caractersticas adicionales
proporcionadas por las ACL extendidas.
Aplicando una ACL Extendida a una interface
Filtrando trfico con una ACL Extendida
Creando ACLs Extendidas Nombradas
Verificando ACLs Extendidas
Editando ACLs Extendidas
La edicin de una ACL extendida se puede lograr usando el
mismo proceso usada en la edicin de una ACL estndar. Una
ACL extendida puede ser modificada usando:
Method 1 - Text editor
Method 2 Sequence numbers
Limiting Debug Output
Propsito de limitar las salidas Debug con ACL
Comandos debug (depuracin) son herramientas que se
utilizan para ayudar a verificar y solucionar problemas de
funcionamiento de la red.
Al utilizar algunas opciones de depuracin, la salida puede
mostrar ms informacin de la que se necesita o de la que
se puede ver fcilmente.
En una red productiva, la cantidad de informacin
proporcionada por comandos debug puede ser abrumador y
puede causar interrupciones en la red.
Algunos comandos debug se pueden combinar con una lista
de acceso para limitar la salida de modo que slo se
muestra la informacin necesaria para la verificacin o la
solucin de un problema especfico.
Configurando ACL para limitar las salidas Debug
El administrador de R2 quiere verificar que el trfico se enruta
correctamente usando debug ip packet. Para limitar la salida de
depuracin se incluir slo el trfico ICMP entre R1 y R3, aplicando la
ACL 101.
Verificando las ACL que limitan las salidas Debug
Processing Packets with ACLs
Lgica de las ACLs Entrantes (Inbound)
Los paquetes son probados de acuerdo a una ACL
entrante, si es sta que existe, antes de ser enviados.
Si un paquete entrante coincide con una sentencia de
la ACL y es permitido, entonces el paquete es
enrutado.
Si un paquete entrante coincide con una sentencia de
la ACL y es denegado, entonces es dropeado y no es
enrutado.
Si un paquete entrante no coincide con alguna
sentencia de la ACL, entonces es "implcitamente
denegado" y es dropeado sin ser enrutado.
Lgica de las ACL Salientes (outbound)
Los paquetes se comprueban primero si son enrutables
antes de ser enviado a la interfaz de salida. Si no hay
ninguna ruta, los paquetes se descartan.
Si una interfaz de salida no tiene ACL, entonces el
paquete es enviado directamente a esa interfaz.
Si existe una ACL en la interfaz de salida, el paquete
es chequeado antes de ser enviado a esa interfaz.
Si un paquete de salida coincide con una sentencia de
la ACL y es permitido, entonces el paquete se enva a
la interfaz.
Lgica de las ACL Salientes (outbound)
Si un paquete de salida coincide con una sentencia de
la ACL, y no es permitido, entonces es dropeado.
Si un paquete de salida no cumple las sentencias de la
ACL, entonces es "implcitamente denegado" y
dropeado.
Operaciones Lgicas de las ACL
Cuando un paquete llega a una interfaz de router, el
proceso de enrutamiento es el mismo, ya sea que se usen o
no las ACL. Cuando la trama entra en una interfaz, el router
verifica si la direccin de destino de Capa 2 coincide con la
direccin de la interfaz de capa 2, o si la trama es una trama
de broadcast.
Si se acepta la direccin de la trama, la informacin de
trama es eliminada y el router chequea la existencia de una
ACL en la interfaz de entrada. Si existe una ACL, el paquete
se compara con las sentencias de la lista.
Operaciones Lgicas de las ACL (cont.)
Si se acepta el paquete, se determina, de acuerdo a las
entradas de la tabla de enrutamiento una interfaz de
destino. Si existe una entrada en la tabla de enrutamiento
para el destino, el paquete es conmutado a la interfaz de
salida, de lo contrario el paquete se descarta.
A continuacin, el router verifica si la interfaz de salida tiene
una ACL. Si existe una ACL, el paquete se compara con las
sentencias de la lista.
Si no hay ACL o se permite el paquete, el paquete se
encapsula en el nuevo protocolo de Capa 2 y es enviado
fuera de la interfaz hacia el siguiente dispositivo.
Proceso de Decisin de una ACL Estndar
Las ACL estndar solo examinan la direccin IPv4 de
origen. No se consideran el destino del paquete ni los
puertos implicados.
Cisco IOS compara las direcciones con cada una de
las condiciones indicadas en la ACL. La primera
coincidencia determina si el IOS acepta o rechaza la
direccin. Debido a que el IOS detiene las pruebas
despus de la primera coincidencia, el orden en que se
ingresan las condiciones es crtico. Si no hay
coincidencias, la direccin es rechazada.
Proceso de Decisin de una ACL Extendida
La ACL primero filtra de acuerdo a la direccin origen, luego
de acuerdo al puerto y al protocolo del origen.
A continuacin, se filtra por la direccin de destino, y luego,
por el puerto y el protocolo de destino, y toma la decisin
final de rechazar o permitir.
Common ACLs Errors
Troubleshooting, Solucin de problemas comunes de
ACL - Ejemplo 1
El host 192.168.10.10 no tiene conectividad con
192.168.30.12.
Common ACLs Errors
ACL - Ejemplo 2
La red 192.168.10.0 /24 no puede usar TFTP para
conectarse a la red 192.168.30.0 /24.
Common ACLs Errors
ACL - Ejemplo 3
La red 192.168.11.0 /24 puede usar Telnet para conectarse a
la red 192.168.30.0 /24, pero de acuerdo a las polticas de la
compaa, esta conexin no est permitida.
Common ACLs Errors
ACL - Ejemplo 4
El host 192.168.30.12 est habilitado para conectarse
por Telnet al host 192.168.31.12, pero las polticas de la
compaa no permiten esta conexin.
IPv6 ACL Creation
Tipos de ACLs IPv6
IPv6 ACL Creation
Comparando ACLs IPv4 con ACLs IPv6
Aunque ACLs IPv4 e IPv6 son muy similares, hay tres
diferencias significativas entre ellas
Aplicacin de una ACL IPv6
IPv6 usa el comando ipv6 traffic-filter para llevar a cabo la
misma funcin para las interfaces de IPv6.
No hay Mscara Wildcard
La longitud de prefijo se utiliza para indicar la cantidad bits de una
direccin IPv6 origen o destino a considerar en la ACL.
Sentencias adicionales por defecto
permit icmp any any nd-na
permit icmp any any nd-ns
Configuring IPv6 ACLs
Configurando una Topolga IPv6
Configurando ACLs IPv6
Hay tres pasos bsicos para configurar una ACL IPv6:
En el modo de configuracin global, usar el comando ipv6
access-listname para crear una ACL IPv6.
En el modo de configuracin de ACL nombrada, usar la
palabra permit or deny para especificar una o ms
condiciones que determinen si el paquete es reenviado a
dropeado.
Vuelva al modo EXEC privilegiado con el comando end.
Aplicando una ACL IPv6 a una interface
Ejemplos de ACL IPv6

Deny FTP

Restrict Access
Verificando ACLs IPv6
Captulo 9: Resumen
Por defecto, un router no filtra trfico. El trfico que entra en el
router se enruta basado nicamente en la informacin
contenida en la tabla de enrutamiento.
El filtrado de paquetes, que controla el acceso a una red
mediante el anlisis de los paquetes entrantes y salientes,
dejndolos pasar o dropendolos, en base a criterios como la
direccin IP de origen, la direccin IP de destino y el
protocolo ejecutado dentro del paquete.
Un router que filtra paquetes utiliza reglas para determinar si
se debe permitir o denegar el trfico. Un router tambin puede
realizar el filtrado de paquetes en la Capa 4, la capa de
transporte.
Una ACL es una lista secuencial de sentencias que permiten o
deniegan permisos.

Captulo 9: Resumen (cont.)
La ltima lnea de una ACL es siempre una negacin implcita
que bloquea todo el trfico. Para evitar esto se puede agregar
una lnea que permita trfico, permit ip any any.
Cuando el trfico de red pasa a travs de una interfaz
configurada con una ACL, el router compara la informacin
dentro del paquete con las entradas de la ACL, en orden
secuencial, para determinar si el paquete coincide con una de
las declaraciones. Si se encuentra una coincidencia, el
paquete es procesado en consecuencia.
ACL ya configuradas se aplican al trfico entrante o al trfico
saliente.

Las ACL estndar se pueden utilizar para permitir o denegar el
trfico slo a partir de una direcciones IPv4 origen. El destino
del paquete y los puertos implicados no son evaluados. La
regla bsica para la colocacin de una ACL estndar es
colocarla cerca del destino.
Las ACL extendidas filtrar paquetes basndose en varios
atributos: tipo de protocolo, Direcciones IPv4 origen o destino,
y puertos de origen o destino. La regla bsica para la
colocacin de una ACL extendida es colocarla lo ms cerca
posible del origen.
El comando de configuracin global access-list define una
ACL estndar con un nmero en el rango de 1 a 99 o una ACL
extendida con nmeros en el rango de 100 a 199 y 2000 a
2699. Tanto la ACL estndar como la extendida puede ser
nombradas.
El comando ip access-list standard name se utiliza para
crear una ACL estndar nombrada, mientras que el comando
ip access-list extended name es para las ACL extendidas.
Las ACL IPv4 incluyen el uso de mscaras wildcard.
Despus de configurar una ACL, sta debe ser vinculada a
una interfaz con el comando ip access-group en el modo de
configuracin de interfaz.

The show running-config and show access-lists commands
are used to verify ACL configuration. The show ip interface
command is used to verify the ACL on the interface and the
direction in which it was applied.
Recuerda las tres Ps, una ACL por protocolo, por direccin, y
por interfaz.
Para eliminar una ACL de una interfaz, primero ingrese el
comando no ip access-group en la interfaz y, a continuacin,
escriba el comando no access-list en configuracin global
para eliminar toda la ACL.
Los comandos show running-config y show access-lists
se utilizan para verificar la configuracin de una ACL. El
comando show ip interface se utiliza para verificar la ACL en
la interfaz y la direccin en la que se aplic.

El comando access-class configurado en el modo de
configuracin de lnea restringe las conexiones entrantes y
salientes entre una lnea VTY una direccin indicad la lista de
acceso.
Al igual que las ACL IPv4 nombradas, los nombres de IPv6
son alfanumricas, con maysculas y minsculas y debe ser
nico. A diferencia de IPv4, no hay necesidad de una opcin
estndar o extendida.
En el modo de configuracin global, utilice el comando ipv6
access-list name para crear una ACL IPv6. La longitud de
prefijo se utiliza para indicar la cantidad de direccin IPv6
origen o destino que debe tener coincidencia.
Despus de configurar una ACL IPv6, se vincula a una interfaz
con el comando ipv6 traffic-filter.


Capitulo 9 Lista de Control de Acceso

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Capitulo 9 Lista de Control de Acceso

Hochgeladen von

Copyright:

Verfügbare Formate

2008 Cisco Systems, Inc. All rights reserved.

Cisco Confidential Presentation_ID 1

Das könnte Ihnen auch gefallen