Access List

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 36

Access List

(Lista de Control de Acceso)


Dr. Armando Jipsion


ADMINISTRACIÓN DEL TRÁFICO EN LA RED
El funcionamiento de la red suele requerir que el Administrador establezca
restricciones de acceso y prioridades en el tráfico de la red a fin de hacer
más eficiente su desempeño y brindar mayor seguridad a las recursos y la
información transmi@da.
El Cisco IOS proporciona funcionalidades básicas de filtrado de tráfico a
par@r del uso de Listas de Control de Acceso (ACL). Una lista de control de
acceso es una enumeración secuencial de indicaciones de permiso y/o
prohibición para determinadas direcciones y/o protocolos de capa superior
específicos.

2
Algunas razones para implementar listas de acceso:
•  Limitar el tráfico de la red como una manera de
mejorar su performance.
•  Implementar controles para el flujo de tráfico.
•  Brindar un nivel de seguridad básico.
•  Especificar que determinado @po de tráfico
(aplicación o protocolo) sea reenviado o bloqueado
en la interfase de un disposi@vo.

3
Reglas de funcionamiento de ACL
•  Se puede configurar una sola lista en cada interfase por sen@do del
tráfico (entrante / saliente), por protocolo de enrutamiento (IP,
IPX, etc.).
•  Cada lista de acceso es iden@ficada por un ID único (un numérico o
alfanumérico). En el caso de las listas numeradas, este ID iden@fica
el @po de lista de acceso y las diferencia de otras semejantes.
•  Cada paquete que ingresa o sale de la interfase es comparado con
cada línea de la lista secuencialmente, en el mismo orden en que
fueron ingresadas, comenzando por la primera ingresada.
•  La comparación se sigue realizando hasta tanto se encuentre una
coincidencia. Una vez que el paquete cumple la condición de una
línea, se ejecuta la acción indicada y no se sigue comparando.

4
•  Hay un deny all implícito al final de cada lista de acceso, que no es visible. Por lo
tanto, si el paquete no coincide con ninguna de las premisas declaradas en la
lista será descartado.
•  Los filtros de tráfico saliente no afectan el tráfico originado en el mismo router.
•  Las listas de acceso IP al descartar un paquete envían al origen un mensaje ICMP
de “ host de des@no inalcanzable ” .
•  Tener en cuenta que al ac@var listas de acceso el router automá@camente
conmuta de fast switching a process switching.
•  Fast Switching – Caracterís@ca de los routers Cisco que u@liza un cache del
router para conmutar rápidamente los paquetes hacia el puerto de salida
sin necesidad de seleccionar la ruta para cada paquete que @ene una
misma dirección de des@no.
•  Process Switching – Operación que realiza una evaluación completa de la
ruta por paquete. Implica la transmisión completa del paquete al CPU del
router donde será re-encapsulado para ser entregado a través de la
interfase de des@no. El router realiza la selección de la ruta para cada
paquete. Es la operación que requiere una u@lización más intensiva de los
recursos del router.

5
Tipos de Listas de Acceso IP e IPX
•  Listas de acceso estándar - Listas IP: permiten filtrar únicamente
direcciones IP de origen. Listas IPX: filtran tanto direcciones IPX de
origen como de des@no.
•  Listas de acceso extendidas - Listas IP: verifican direcciones de
origen y des@no, protocolo de capa 3 y puerto de capa 4. Listas
IPX: Permiten filtrar además de las direcciones IPX de origen y
des@no, a través del valor del campo protocolo del encabezado de
capa 3 y el número de socket del encabezado de capa 4.
•  Listas de acceso nombradas – Listas de acceso IP tanto estándar
como extendidas que verifican direcciones de origen y des@no,
protocolos de capa 3 y puertos de capa 4, iden@ficadas con una
cadena de caracteres alfanuméricos. A diferencia de las listas de
acceso numeradas, se configuran en un submodo propio y son
editables.

6
•  Filtros IPX SAP - Se u@lizan para controlar el tráfico de
paquetes SAP tanto a nivel LAN como WAN. Son un
mecanismo ú@l para controlar el acceso a los disposi@vos
IPX.
•  Lista de acceso entrante – Controlan el tráfico que ingresa
al router a través del puerto en el que está aplicada, y
antes de que sea conmutado a la interface de salida.
•  Lista de acceso saliente – Controlan el tráfico saliente del
router a través del puerto en que está aplicada, una vez
que ya ha sido conmutado.

7
Número de Lista de Acceso
El @po de lista de acceso y protocolo de capa 3 que filtra se especifica a
par@r de un número de lista de acceso. El listado completo de números de
listas de acceso y su significado se puede consultar en el IOS a par@r del
modo configuración @peando:
Router(config)# access-list ?
1-99 IP estándar
100-199 IP extendida
200-299 Protocol type code
300-399 DECnet
400-499 XNS estándar
500-599 XNS extendida
600-699 AppleTalk
700-799 48 bit MAC address estándar
800-899 IPX estándar 900-999 IPX extendida
1000-1099 IPX SAP 1100-1199 48 bit MAC address extendida
1200-1299 IPX summary address
8
Números de Puerto
En las listas de acceso IP extendidas, al especificar protocolo tcp o
udp se puede también especificar la aplicación que se desea filtrar a
través del número de puerto.
FTP Data = 20 TCP
FTP = 21 TCP
Telnet = 23 TCP
SMTP = 25 TCP
Time = 37 UDP
TACACS = 49 UDP
DNS = 53 UDP

9
DHCP server = 67 UDP
DHCP client = 68 UDP
TFTP = 69 UDP
Gopher = 70 UDP
Finger = 79 UDP
HTTP = 80 TCP
POP3 = 110 TCP
RPC = 111 UDP
NetBIOS name = 137 UDP
NetBIOS datag = 138 UDP
NetBIO session = 139 UDP
SNMP = 161 UDP
IRC (Internet Relay Chat) = 194 TCP/UDP
10
Máscara de Wildcard
Las máscaras de wildcard son direcciones de 32 bits
divididas en 4 octetos de 8 bits u@lizadas para generar
filtros de direcciones IP. Se u@lizan en combinación
con una dirección IP. En las máscaras de wildcard el
dígito en 0 (cero) indica una posición que debe ser
comprobada, mientras que el dígito 1 (uno) indica una
posición que carece de importancia.

11
La máscara se aplica a una dirección IP específica contenida en la
declaración de la ACL y a la dirección de los paquetes a evaluar. Si
ambos resultados son iguales, entonces se aplica al paquete el
criterio de permiso o denegación enunciado en la línea
correspondiente.
172.16.14.33 0.0.0.0
Indica que se debe seleccionar únicamente la dirección IP
declarada.
172.16.14.44 0.0.0.255
Selecciona todas las direcciones IP comprendidas entre
172.16.14.0 y 172.16.14.255 (no discrimina respecto del
cuarto octeto).
172.16.14.14 0.0.255.255
Selecciona todas las direcciones IP de la red 172.16.0.0
comprendidas entre 172.16.0.0 y 172.16.255.255 (no
discrimina respecto del número de host –los dos úl@mos bits-).
12
Algunas Reglas de Cálculo
1.  Cuando se desea filtrar una red completa, la máscara de wildcard es
el complemento de la máscara de subred por defecto:
•  Dirección de red: 172. 16. 0 . 0
•  Máscara de subred por defecto: 255.255. 0 . 0
•  Máscara de wildcard: 0 . 0 .255.255
2.  Cuando se desea filtrar una subred completa, la máscara de
wildcard es el complemento de la máscara de subred que se esté
aplicando:
•  Dirección de subred: 172. 16. 30. 0/24
•  Máscara de subred por defecto: 255.255.255. 0
•  Máscara de wildcard: 0 . 0 . 0 .255
•  Dirección de subred: 172. 16. 32. 0/20
•  Máscara de subred por defecto: 255.255.240. 0
13
•  Máscara de wildcard: 0 . 0 . 15.255
Configuración de las Listas
En el proceso de configuración de las listas de acceso
deben dis@nguirse 2 etapas:
1.  Creación de la lista de acceso en modo configuración
global
2.  Asignación de esa lista a un puerto de modo entrante o
saliente.
Lista de Acceso IP estándard
Router(config)#access-list [1-99][1300-1999]
[permit/demy] [IP origen]
Router(config)#interface tipo #
Router(config-if)#ip access-group [1-99]
[in/out]
14
Listas de acceso de IP extendida
Router(config)#access-list [100-199][2000-2699]
[permit/demy] [protocolo][IP origen] [IP destino]
[tipo servicio]
Router(config)#interface tipo #
Router(config-if)#ip access-group [100-199][in/out]
Listas de acceso IP nombradas
Router (config)#ip access-list [standard/extended]
[nombre]
Para configurar una lista de acceso ip nombrada estándar:
Router (config-std-nacl)#[permit/demy] [IP origen]
Para configurar una lista de acceso ip nombrada extendida:
Router (config-ext-nacl)#[permit/demy] [protocolo]
[IP origen] [IP destino] [tipo servicio]
15
Definición de In, Out, Source y DesMnaMon
El router u@liza los términos "in", "out", "source" y "des@na@on" como
referencias. Se podría comparar el tráfico del router con el tráfico de una
autopista. Si fuera un agente de policía de Panamá y quisiera parar un
camión que va de Tocumen a Colón, el origen del camión sería Tocumen y su
des@no Colón. El control de carretera se colocaría en la frontera entre
Panamá y Colón ("out") o en la frontera entre Tocumen y Panamá ("in").
Aplicados a un router, dichos términos @enen los siguientes significados:
•  Out : el tráfico que ya ha pasado por el router y está saliendo de la interfaz.
El origen es por donde ha pasado (en el otro extremo del router) y el
des@no es adonde va.
•  In: el tráfico que llega a la interfaz y luego pasa por el router. El origen es
por donde ha pasado y el des@no es adonde va (en el otro extremo del
router).
La ACL "in" @ene un origen en un segmento de la interfaz al que se aplica y
un des@no fuera de cualquier otra interfaz. La ACL "out" @ene un origen en
un segmento de cualquier interfaz dis@nta a la interfaz a la que se aplica y un
des@no fuera de la interfaz a la que se aplica. 16
Panamá
Paquetes salientes Paquetes entrante

Colón Tocumen
Fa0/1 Fa0/0

192.168.10.0/24
In/out refiriéndose a la red 192.168.10.0/24
Por la interfaz Fa0/0 serían paquetes entrantes
y por la interfaz Fa0/1 serían paquetes salientes

Las listas de acceso sólo chequean los paquetes que pasan


por la interfaz donde están aplicadas y sólo en el sentido en
el que están aplicadas.

Lo de entrante (in) o saliente (out) es siempre desde el


punto de vista del router donde se aplica la lista.
17
Monitoreo de las listas
Router#show access-list [#] muestra las listas y el
contenido de todas las
ACL o una en par@cular. No
permite verificar a qué
interfase están aplicadas.
Router#show ip access-list muestra solamente la
configuración de ACL IP.
Router#show ipx access-list muestra solamente la
configuración de ACL IPX.

18
Router#show ip interface muestra los puertos
que @enen aplicadas
ACL IP.
Router#show ipx interface muestra los puertos
que @enen aplicadas
ACL IPX.
Router#show running-config muestra tanto las listas
de acceso configuradas,
como la que se
encuentran aplicadas a
cada interfase.

19
Tips de aplicación
• Antes de comenzar a trabajar sobre una lista de acceso
existente, desvincúlela de todas las interfases a las que se
encuentre asociada.
• No se puede remover una única línea de una lista de acceso
numerada (no son editables).
• Ya que las listas numeradas no son editables, es una buena
prác@ca para mantener un proceso de edición más simple,
recurrir al uso de un editor de texto.
• Cada vez que agrega una línea a la lista de acceso, esta se
ubicará a con@nuación de las líneas existentes, al final.
20
• Organice su lista de acceso de modo que los criterios más
específicos estén al comienzo de la misma, y luego las premisas
más generales.
• Coloque primero los permisos y luego las denegaciones.
• Toda lista debe incluir al menos un comando permit.
• Las listas no filtran el tráfico originado en el router.
• Una misma lista de acceso puede ser asignada a varias interfaces
en el mismo disposi@vo, tanto en modo entrante como saliente.
• Las listas de acceso estándar deben colocarse lo más cerca
posible del des@no del tráfico.
• Las listas de acceso extendidas deben colocarse lo más cerca
posible del origen del tráfico que será denegado. 21
•  Usamos “host”, cuando nos referimos a un número ip específico.
•  Usamos “any”, para indicar “cualquier red”.
•  Usamos “ip”, para indicar “cualquier protocolo TCP o UDP”.
•  Usamos “icmp”, para indicar los procesos de “permi7r acceso con un
ping y responder al mismo”.

22
Ejemplos de Instrucciones ACL’s
Listas Estándares

Router(config)#access-list 10 Leer está línea como, “ Todos los


permit paquetes con una dirección ip
172.16.0.0 0.0.255.255 172.16.x.x pueden continuar a
través de la red”

23
Router(config)#access-list 10 Leer está línea como,”Todos los
deny host paquetes que tienen un ip
172.17.0.1 172.17.0.1 deben ser derribados
(dropped) o descartados”

Router(config)#access-list 10 Leer está línea como, “ Todos los


permit any paquetes pueden continuar a
través de la red”

24
Listas Extendidas
Router(config)#access-list 110 Leer está línea como,”Los paquetes
permit tcp HTTP que concuerden con la
172.16.0.0 0.0.0.255 192.168.100.0 dirección 172.16.0.x pueden navegar
0.0.0.255 eq 80 a través de la dirección de destino
192.168.100.x”

Router(config)#access-list 110 Leer está línea como, “Paquetes


deny tcp any 192.168.100.7 0.0.0.0 Telnet con cualquier dirección ip
eq 23 puede ser descartado si la dirección
ip de host específica es
192.168.100.7”

25
Ejemplo: Solo permite la red 172.16.0.0

26
Deniega el equipo 172.16.4.13

27
Deniega la subred 172.16.4.0/24

28
Deniega el FTP desde la subred 172.16.4.0/24 a la subred 172.16.3.0/24
de salida en el interfaz ethernet 0. Permite todo el otro Mpo de tráfico

29
Deniega sólo el Telnet desde la subred 172.16.4.0/24 saliendo por la
ethernet 0.
Permite el resto del tráfico.

30
Ejemplo de ACL

31
=====
R0 R0(config)#access-list 100 deny tcp any any eq 23
=====
Router(config)#host R0 R0(config)#access-list 100 permit ip any any
R0(config)#int fa0/0 R0(config)#int fa1/0
R0(config-if)#ip add 13.13.13.1 prefix R0(config-if)#ip access-group 100 in
R0(config-if)#ip add 13.13.13.1 255.255.255.252
R0(config-if)#no shut R0(config-if)#int g2/0
R0(config-if)#int fa1/0 R0(config-if)#ip access-group 100 in
R0(config-if)#ip add 14.14.14.1 255.255.255.252 R0(config-if)#exit
R0(config-if)#no shut
R0(config-if)#int g2/0
R0(config-if)#ip add 15.15.15.1 255.255.255.252
R0(config-if)#no shut
R0(config-if)#router rip
R0(config-router)#ver 2
R0(config-router)#net 13.13.13.0
R0(config-router)#net 14.14.14.0
R0(config-router)#net 15.15.15.0
R0(config-router)#no auto-summ
32
R0(config-router)#exit
=====
R1 R1(config)#access-list 101 deny icmp any
===== 201.21.21.0 0.0.0.128 echo-reply
Router(config)#host R1 R1(config)#access-list 101 permit ip any any
R1(config)#int fa0/0 R1(config)#int fa1/0
R1(config-if)#ip add 14.14.14.2 255.255.255.252
R1(config-if)#ip access-group 101 in
R1(config-if)#no shut
R1(config-if)#int fa1/0 R1(config-if)#exit
R1(config-if)#ip add 201.21.21.1 255.255.255.128 R1(config)#
R1(config-if)#no shut
R1(config-if)#router rip
R1(config-router)#ver 2
R1(config-router)#passive-inter fa1/0
R1(config-router)#net 14.14.14.0
R1(config-router)#net 201.21.21.0
R1(config-router)#no auto-summ
R1(config-router)#exit

33
===== R2(config)#access-list 102 deny ip 202.22.22.0 0.0.0.64 any
R2 R2(config)#access-list 102 permit ip any any
===== R2(config)#int fa0/0
Router(config)#host R2 R2(config-if)#ip access-group 102 in
R2(config)#int g2/0 R2(config-if)#exit
R2(config-if)#ip add 15.15.15.2 255.255.255.252 R2(config)#
R2(config-if)#no shut
R2(config-if)#int fa0/0
R2(config-if)#ip add 202.22.22.1
255.255.255.192
R2(config-if)#no shut
R2(config-if)#router rip
R2(config-router)#ver 2
R2(config-router)#passive-inter fa0/0
R2(config-router)#net 15.15.15.0
R2(config-router)#net 202.22.22.0
R2(config-router)#no auto-summ
R2(config-router)#exit

34
=====
R3
=====
Router(config)#host R3
R3(config)#int fa0/0
R3(config-if)#ip add 13.13.13.2 255.255.255.252
R3(config-if)#no shut
R3(config-if)#int fa1/0
R3(config-if)#ip add 12.12.12.1 255.255.255.252
R3(config-if)#no shut
R3(config-if)#router rip
R3(config-router)#ver 2
R3(config-router)#net 12.12.12.0
R3(config-router)#net 13.13.13.0
R3(config-router)#no auto-summ
R3(config-router)#exit
R3(config)# 35
R4(config)#access-list 103 deny tcp any any eq 23
====
R4
R4(config)#access-list 103 permit ip any any
==== R4(config)#access-list 104 deny tcp 203.23.23.0 0.0.0.32 any
neq 80
R4(config)#host R4
R4(config)#access-list 104 permit ip any any
R4(config)#int fa0/0
R4(config)#access-list 105 permit tcp any 203.23.23.3 0.0.0.32
R4(config-if)#ip add 12.12.12.2 255.255.255.252 eq 21
R4(config-if)#no shut R4(config)#access-list 105 permit ip any any
R4(config-if)#int fa1/0 R4(config)#int fa1/0
R4(config-if)#ip add 203.23.23.1 255.255.255.224
R4(config-if)#ip access-group 103 in
R4(config-if)#no shut
R4(config-if)#ip access-group 105 out
R4(config-if)#router rip
R4(config-if)#exit
R4(config-router)#ver 2
R4(config)#int fa0/0
R4(config-router)#passive-inter fa1/0
R4(config-router)#net 12.12.12.0 R4(config-if)#ip access-group 104 out
R4(config-router)#net 203.23.23.0
R4(config-router)#no auto-summ
R4(config-router)#exit
R4(config)#

36

También podría gustarte