3.4 - ACL's -a.pptx

3.4 Listas de control de acceso

‹Nº›

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Presentation_ID

3.4.1 Funcionamiento de una ACL

‹Nº›

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Presentation_ID

Propósito de las listas ACL¿Qué es una ACL?

• Los routers no tienen listas ACL configuradas de manera predeterminada, por lo que no filtran el tráfico de manera predeterminada. 

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Propósito de las listas ACLFiltrado de paquetes

• El filtrado de paquetes, a veces denominado “filtrado de paquetes estático”, controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según determinados criterios, como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete.
• Cuando reenvía o deniega los paquetes según las reglas de filtrado, un router funciona como filtro de paquetes.
• Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE).

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Propósito de las listas ACLFuncionamiento de una ACL

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Máscaras de comodín en listas ACLIntroducción a las máscaras de comodín en listas ACL

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Máscaras de comodín en listas ACLIntroducción a las máscaras de comodín en listas ACL (continuación)

Ejemplo

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Máscaras de comodín en listas ACLEjemplos de máscaras de comodín

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Máscaras de comodín en listas ACLEjemplos de máscaras de comodín (continuación)

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Máscaras de comodín en listas ACLCálculo de la máscara de comodín

• El cálculo de máscaras de comodín puede ser difícil. Un método abreviado es restar la máscara de subred a 255.255.255.255.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Máscaras de comodín en listas ACLPalabras clave de una máscara de comodín

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Máscaras de comodín en listas ACLEjemplos de palabras clave de una máscara de comodín

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Pautas para la creación de listas ACLPautas generales para la creación de listas ACL

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Pautas para la creación de listas ACLPrácticas recomendadas para una ACL

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Pautas para la ubicación de listas ACL¿Dónde ubicar las listas ACL?

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Pautas para la ubicación de listas ACL¿Dónde ubicar las listas ACL? (continuación)

• Cada ACL se debe colocar donde tenga más impacto en la eficiencia. Las reglas básicas son las siguientes:
• Listas ACL extendidas: Coloque las listas ACL extendidas lo más cerca posible del origen del tráfico que se filtrará.
• Listas ACL estándar: Debido a que en las listas ACL estándares no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible.
• La ubicación de la ACL y, por lo tanto, el tipo de ACL que se utiliza, también pueden depender del alcance del control del administrador de red, del ancho de banda de las redes que intervienen y de la facilidad de configuración.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Pautas para la ubicación de listas ACLUbicación de listas ACL estándares

• El administrador desea impedir que el tráfico que se origina en la red 192.168.10.0/24 llegue a la red 192.168.30.0/24.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

3.4.2 ACL de IPv4 estándar

‹Nº›

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Presentation_ID

Configurar listas ACL de IPv4 estándaresSintaxis de una ACL de IPv4 estándar numerada

• Router(config)# access-list número-de-lista-de-acceso { deny | permit | remark } origen [ comodín-de-origen ] [ log ]

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Configurar listas ACL de IPv4 estándaresAplicar listas ACL de IPv4 estándares a las interfaces

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Configurar listas ACL de IPv4 estándaresAplicar listas ACL de IPv4 estándares a las interfaces (continuación)

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Configurar listas ACL de IPv4 estándaresEjemplos de listas ACL de IPv4 estándares numeradas

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Configurar listas ACL de IPv4 estándaresEjemplos de listas ACL de IPv4 estándares numeradas (continuación)

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Configurar listas ACL de IPv4 estándaresSintaxis de una ACL de IPv4 estándar con nombre

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Configurar listas ACL de IPv4 estándaresSintaxis de una ACL de IPv4 estándar con nombre (continuación)

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Modificar listas ACL de IPv4Método 1: Utilizar un editor de texto

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Modificar listas ACL de IPv4Método 2: Utilizar números de secuencia

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Modificar listas ACL de IPv4Editar listas ACL estándares con nombre

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Modificar listas ACL de IPv4Verificar listas ACL

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Modificar listas ACL de IPv4Estadísticas de una ACL

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Asegurar puertos VTY con una ACL de IPv4 estándarEl comando access-class

• El comando access-class configurado en el modo de configuración de línea restringe las conexiones entrantes y salientes entre una VTY determinada (en un dispositivo de Cisco) y las direcciones incluidas en una lista de acceso.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Asegurar puertos VTY con una ACL de IPv4 estándarVerificar que el puerto VTY esté asegurado

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

3.4.3 Solución de problemas en listas ACL

‹Nº›

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Presentation_ID

Procesar paquetes con listas ACLDenegar todo implícito

• Se debe configurar al menos una ACE permit en una ACL. En caso contrario, se bloquea todo el tráfico.
• Para la red en la ilustración, si se aplica la ACL 1 o la ACL 2 a la interfaz S0/0/0 del R1 en el sentido de salida, se obtiene el mismo resultado.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Procesar paquetes con listas ACLEl orden de las ACE en una ACL

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Procesar paquetes con listas ACLEl orden de las ACE en una ACL (continuación)

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Procesar paquetes con listas ACLCisco IOS reordena las listas ACL estándares

Observe que las instrucciones se enumeran en un orden distinto al orden en que se introdujeron.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Procesar paquetes con listas ACLCisco IOS reordena las listas ACL estándares (continuación)

El orden en que se enumeran las ACE estándar es la secuencia utilizada por el IOS para procesar la lista.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Procesar paquetes con listas ACLProcesos de routing y listas ACL

• Cuando una trama ingresa a una interfaz, el router revisa si la dirección de capa 2 de destino coincide con la dirección de capa 2 de la interfaz, o si dicha trama es una trama de difusión.
• Si se acepta la dirección de la trama, se desmonta la información de la trama y el router revisa si hay una ACL en la interfaz de entrada.
• Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.
• Si el paquete coincide con una instrucción, se permite o se deniega.
• Si se acepta el paquete, se compara con las entradas en la tabla de routing para determinar la interfaz de destino.
• Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la interfaz de salida. De lo contrario, se descarta.
• A continuación, el router revisa si la interfaz de salida tiene una ACL. Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista. Si el paquete coincide con una instrucción, se permite o se deniega.
• Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de capa 2 y se reenvía por la interfaz al siguiente dispositivo.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 1

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 1 (continuación)

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 2

Política de seguridad: La red 192.168.11.0/24 no debería poder acceder a la red 192.168.10.0/24.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 2 (continuación)

Se aplicó la ACL 20 a la interfaz equivocada en la dirección equivocada. Se deniega todo el tráfico entrante de 192.168.11.0/24 a través de la interfaz G0/1.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 2 (continuación)

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 3

Problema Política de seguridad: Solo a PC1 se le permite el acceso remoto SSH a R1.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 3 (continuación)

¡Solución! Política de seguridad: Solo a PC1 se le permite el acceso remoto SSH a R1.

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID

‹Nº›

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

Presentation_ID