Capítulo 6: Access Lists

Transcripción

1 Access Lists Última actualización: 14 de Enero de 2004 Autor: Eduardo Collado 1

2 Contenido Configuración de Access Lists 2

3 Por qué utilizar Access Lists Gestionar el tráfico IP a medida que el acceso crece Filtrar los paquetes que pasan por el router 3

4 Aplicaciones de los Access Lists Permiten o deniegan el movimiento de los paquetes a través del router. Permiten o deniegan el acceso a las vty de/desde otro lugar Sin access lists, todos los paquetes deben ser transmitidos a otras partes de la red 4

5 Otros usos de los Access Lists Especial cuidado para el tráfico basado en paquetes de test (p.e. Actualizaciones de routing) 5

6 Tipos de Access Lists Estándar Comprueba la dirección de origen Generalmente permite o deniega la suite de protocolos completo Extendida Comprueba las direcciones origen y destino Generalmente permite o deniega protocolos específicos 6

7 Cómo Identificar un Access Lists ACL Estándar (1-99) condiciones de test para todos los paquetes IP desde una dirección de origen. ACL Extendida ( ) condiciones de test y direcciones de origen y destino, protocolos específicos de la pila TCP/IP. Y puertos de destino. ACL Estándar ( ) (rango expandido). ACL Extendida ( ) (rango expandido). Otros números de ACL se pueden utilizar para otros protocolos de red 7

8 Probando paquetes con Access Lists Estándar 8

9 Probando paquetes con Access Lists Extendidos 9

10 Operación de ACL salientes Si no se encuentra un ACL para el paquete, este es descartado. 10

11 Lista de pruebas Test: Permitir o Denegar 11

12 Wildcard Bits: Como comprobar la correspondencia con los bits de direcciones 0 significa comprobar el valor del bit correspondiente de la dirección. 1 significa ignorar el valor del correspondiente bit de dirección. 12

13 Wildcard Bits para encontrar la ocuirrencia de una dirección de host Comprobar TODOS los bits de la dirección Verificar la dirección IP del host, p.e. Por ejemplo, comprueba todos lso bitsw de la dirección. Se puede abreviar esta wildcard mask utilizando la dirección IP precedida por la palabra host (host ). 13

14 Wildcard Bits para encontrar subredes Comprobar las subredes /24 a /24. Address and wildcard mask:

15 Configuración de Access Lists Los números de ACLs indican que protocolo se está filtrando. Se permite un ACL por interfaz, por protocolo, por dirección. El orden de las reglas del ACL controla el test. Situar la regla más resctrictiva al incio de la lista. Existe un deny implícito en la última regla. Cada ACL necesita al menos una regla. Crear los ACL antes de aplicarlos a los interfaces. Los ACL filtran el tráfico que atraviesa el router; no filtran el tráfico originado en el router. 15

16 ACL Estándar (Ejemplo 1) Sólo permite la red

17 ACL Estándar (Ejemplo 2) Deniega el equipo

18 ACL Estándar (Ejemplo 3) Deniega la subred /24 18

19 Configuración de ACLs extendidos Router(config)#access-list número_de_access-list {permit deny} protocolo origen wildcard_de_origen [puerto] destino wildcard_de_destino [puerto] Configura los parámetros para esta entrada Router(config-if)#ip access-group número_de_access-list {in out} Activa la ACL extendida en este interfaz 19

20 ACL Extendido (Ejemplo 1) Deniega el FTP desde la subred /24 a la subred /24 de salida en el interfaz ethernet 0. Permite todo el otro tipo de tráfico 20

21 ACL Extendido (Ejemplo 2) Deniega sólo el Telnet desde la subred /24 saliedo por la ethernet 0. Permite el resto del tráfico. 21

22 Utilizando ACLs nombrados Router(config)#ip access-list {standard extended} nombre El nombre alfanumérico tiene que ser único. Router(config) {std- ext-}nacl)[número] {permit deny} {condiciones de test del access list} {permit deny} {condiciones de test del access list} no {permit deny} {ip access list test conditions} Permite o deniega sentencias que no tienen número. no borra el ACL. Router(config-if)#ip access-group nombre {in out} Activa el ACL nombrado IP en el interfaz. 22

23 Filtrando el acceso vty del router Cinco líneas de terminales virtuales en el router (0 a 4). Filtra direcciones que pueden acceder dentro de los puertos vty del router. Filtrar el acceso vty hacia afuera del router. 23

24 Cómo controlar el acceso vty Configurar un ACL estándar. Utilizar el modo de configuraicón de linea para filtrar el acceso con el comando access-class. Realizar identica restriccción en cada vty. 24

25 Comandos vty Router(config)#line vty {número_de_vty rango-vty} Entrar en la configuración del/los vty Router(config-line)#access-class número_de_accesslist {in out} Restringir las conexiones vty salientes o entrantes para las direcciones del access list 25

26 Ejemplo de acceso al vty Controlando el acceso de entrada access-list 12 permit (implicit deny all)! line vty 0 4 access-class 12 in Permite sólo a los hosts de la red conectarse al router por vty 26

27 Principios de configuración de los ACLs El orden de los parámetros del access list es crucial. Recomendación: Utilizar un editor de texo en el PC para crear las sentencias del access-list, entonces copiar y pegar en el router. El proceso de arriba a abajo es importante. Poner las restricciones más específicas al principio. No reordenar o borrar sentencias. Utiliza el comando no access-list [número] para borrar el ACL completo. Excepción: Los ACLs nombrados permiten borrar sentencias individuales. Un deny está siempre implícito al final de cada access-list. A no ser que el ACL termine con un explícitop permit any. 27

28 Donde colocar los ACLs IP Colocar los ACLs extendidos cerca del origen. Colocar los ACLs estádard cerca del destino. 28

29 Verificando los ACLs wg_ro_a#show ip interfaces e0 Ethernet0 is up, line protocol is up Internet address is /24 Broadcast address is Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted> 29

30 Monitorizando los ACLs wg_ro_a#show {protocolo} access-list {número_de_access-list} wg_ro_a#show access-lists {número_de_access-list} wg_ro_a#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-data 30

31 Bibliografía del Tema 6 Guía del Segundo Año Ed. Cisco Press [Cap.6] 31