Lista de Control de Acceso (ACL) LOGO

Transcripción

1 Lista de Control de Acceso (ACL)

2 ACL (access control list) Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es una configuración de router que controla si un router permite o deniega paquetes según el criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos más comúnmente utilizados en el software IOS de Cisco. Las ACL también se utilizan para seleccionar los tipos de tráfico por analizar, reenviar o procesar de otras maneras.

3 Las tres P Puede configurar una ACL por protocolo, por dirección y por interfaz: Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Una ACL por dirección: las ACL controlan el tráfico en una dirección a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el tráfico entrante y saliente. Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, Fast Ethernet 0/0.

4 Las ACL realizan las siguientes tareas: Limitar el tráfico de red para mejorar el rendimiento de ésta. Brindar control de flujo de tráfico Proporcionar un nivel básico de seguridad para el acceso a la red. Decide qué tipos de tráfico envía o bloquea en las interfaces del router. Controlar las áreas de la red a las que puede acceder un cliente. Analizar los hosts para permitir o denegar su acceso a los servicios de red.

5 Funcionamiento de las ACL Las ACL se configuran para ser aplicadas al tráfico entrante o saliente. ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de búsquedas de enrutamiento si el paquete se descarta. Si el paquete está autorizado por las pruebas, luego se procesa para el enrutamiento. ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a través de la ACL de salida. Puede aplicar una ACL a varias interfaces. Sin embargo, sólo puede haber una ACL por protocolo, por dirección y por interfaz.

6 Tipos de ACL ACL estándar Permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados ACL extendidas Filtran los paquetes IP en función de varios atributos. Se crean en el modo de configuración global

7

8 Dónde ubicar las ACL Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son: Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red. Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del destino posible.

9

10

11

12

13 Configuración Router(config)#access-list[1-99][permit deny][dirección de origen][mascara comodín] Donde: 1-99 Identifica el rango y la lista. Permit deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada. Dirección de origen identifica la dirección IP de origen. Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados. La mascara predeterminada es (coincidencia de todos los bits). Asociación de la lista a una interfaz

14 Router(config-if)#ip access-group[nº de lista de acceso][in out] Donde: Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz. In out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida. Ejemplo de una ACL estándar denegando una red: Router#configure terminal Router(config)#access-list 10 deny Router(config)#access-list 10 permit any Router(config)#interface serial 0 Router(config-if)#ip access-group 10 in Se ha denegado al host y luego se ha permitido a cualquier origen, Posteriormente se asocio la ACL a la interfaz Serial 0.

15 Configuración ACL extendida Router(config)#access-list[ ][permit deny][protocol][dirección de origen][mascara comodín][dirección de destino][mascara de destino][puerto][establisehed][log] Donde: identifica el rango y número de lista Permit deny: indica si la entrada permitirá o bloqueara la dirección especificada. Protocolo: como por ejemplo IP, TCP, UDP, ICMP Dirección origen y destino: identifican direcciones IP de origen y destino. Mascara wildcard origen y mascara destino: Son las mascaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las que no importan.

16 Puerto (opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un número de puerto de protocolo correspondiente. Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que él rafico TCP pase si el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK) Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado. Algunos de los números de puertos más conocidos: 20 Datos del protocolo FTP 21 FTP 23 Telnet 25 SMTP 69 TFTP 53 DNS

17 Asociación de la lista a una interfaz Router(config-if)#ip access-group[nº de lista de acceso][in out] Donde: Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz. In out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

18