3.4 - ACL's -a.pptx

3.4 Listas de control de acceso

‹Nº›

Presentation_ID

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

3.4.1 Funcionamiento de una ACL

‹Nº›

Presentation_ID

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• Los routers no tienen listas ACL configuradas de manera predeterminada, por lo que no filtran el tráfico de manera predeterminada. 

Propósito de las listas ACL¿Qué es una ACL?

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• El filtrado de paquetes, a veces denominado “filtrado de paquetes estático”, controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según determinados criterios, como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete.
• Cuando reenvía o deniega los paquetes según las reglas de filtrado, un router funciona como filtro de paquetes.
• Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE).

Propósito de las listas ACLFiltrado de paquetes

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Propósito de las listas ACLFuncionamiento de una ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Máscaras de comodín en listas ACLIntroducción a las máscaras de comodín en listas ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Ejemplo

Máscaras de comodín en listas ACLIntroducción a las máscaras de comodín en listas ACL (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Máscaras de comodín en listas ACLEjemplos de máscaras de comodín

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Máscaras de comodín en listas ACLEjemplos de máscaras de comodín (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• El cálculo de máscaras de comodín puede ser difícil. Un método abreviado es restar la máscara de subred a 255.255.255.255.

Máscaras de comodín en listas ACLCálculo de la máscara de comodín

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Máscaras de comodín en listas ACLPalabras clave de una máscara de comodín

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Máscaras de comodín en listas ACLEjemplos de palabras clave de una máscara de comodín

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Pautas para la creación de listas ACLPautas generales para la creación de listas ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Pautas para la creación de listas ACLPrácticas recomendadas para una ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Pautas para la ubicación de listas ACL¿Dónde ubicar las listas ACL?

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• Cada ACL se debe colocar donde tenga más impacto en la eficiencia. Las reglas básicas son las siguientes:
• Listas ACL extendidas: Coloque las listas ACL extendidas lo más cerca posible del origen del tráfico que se filtrará.
• Listas ACL estándar: Debido a que en las listas ACL estándares no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible.
• La ubicación de la ACL y, por lo tanto, el tipo de ACL que se utiliza, también pueden depender del alcance del control del administrador de red, del ancho de banda de las redes que intervienen y de la facilidad de configuración.

Pautas para la ubicación de listas ACL¿Dónde ubicar las listas ACL? (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• El administrador desea impedir que el tráfico que se origina en la red 192.168.10.0/24 llegue a la red 192.168.30.0/24.

Pautas para la ubicación de listas ACLUbicación de listas ACL estándares

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

3.4.2 ACL de IPv4 estándar

‹Nº›

Presentation_ID

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• Router(config)# access-list número-de-lista-de-acceso { deny | permit | remark } origen [ comodín-de-origen ] [ log ]

Configurar listas ACL de IPv4 estándaresSintaxis de una ACL de IPv4 estándar numerada

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Configurar listas ACL de IPv4 estándaresAplicar listas ACL de IPv4 estándares a las interfaces

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Configurar listas ACL de IPv4 estándaresAplicar listas ACL de IPv4 estándares a las interfaces (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Configurar listas ACL de IPv4 estándaresEjemplos de listas ACL de IPv4 estándares numeradas

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Configurar listas ACL de IPv4 estándaresEjemplos de listas ACL de IPv4 estándares numeradas (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Configurar listas ACL de IPv4 estándaresSintaxis de una ACL de IPv4 estándar con nombre

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Configurar listas ACL de IPv4 estándaresSintaxis de una ACL de IPv4 estándar con nombre (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Modificar listas ACL de IPv4Método 1: Utilizar un editor de texto

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Modificar listas ACL de IPv4Método 2: Utilizar números de secuencia

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Modificar listas ACL de IPv4Editar listas ACL estándares con nombre

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Modificar listas ACL de IPv4Verificar listas ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Modificar listas ACL de IPv4Estadísticas de una ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• El comando access-class configurado en el modo de configuración de línea restringe las conexiones entrantes y salientes entre una VTY determinada (en un dispositivo de Cisco) y las direcciones incluidas en una lista de acceso.

Asegurar puertos VTY con una ACL de IPv4 estándarEl comando access-class

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Asegurar puertos VTY con una ACL de IPv4 estándarVerificar que el puerto VTY esté asegurado

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

3.4.3 Solución de problemas en listas ACL

‹Nº›

Presentation_ID

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• Se debe configurar al menos una ACE permit en una ACL. En caso contrario, se bloquea todo el tráfico.
• Para la red en la ilustración, si se aplica la ACL 1 o la ACL 2 a la interfaz S0/0/0 del R1 en el sentido de salida, se obtiene el mismo resultado.

Procesar paquetes con listas ACLDenegar todo implícito

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Procesar paquetes con listas ACLEl orden de las ACE en una ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Procesar paquetes con listas ACLEl orden de las ACE en una ACL (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Observe que las instrucciones se enumeran en un orden distinto al orden en que se introdujeron.

Procesar paquetes con listas ACLCisco IOS reordena las listas ACL estándares

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

El orden en que se enumeran las ACE estándar es la secuencia utilizada por el IOS para procesar la lista.

Procesar paquetes con listas ACLCisco IOS reordena las listas ACL estándares (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

• Cuando una trama ingresa a una interfaz, el router revisa si la dirección de capa 2 de destino coincide con la dirección de capa 2 de la interfaz, o si dicha trama es una trama de difusión.
• Si se acepta la dirección de la trama, se desmonta la información de la trama y el router revisa si hay una ACL en la interfaz de entrada.
• Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.
• Si el paquete coincide con una instrucción, se permite o se deniega.
• Si se acepta el paquete, se compara con las entradas en la tabla de routing para determinar la interfaz de destino.
• Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la interfaz de salida. De lo contrario, se descarta.
• A continuación, el router revisa si la interfaz de salida tiene una ACL. Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista. Si el paquete coincide con una instrucción, se permite o se deniega.
• Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de capa 2 y se reenvía por la interfaz al siguiente dispositivo.

Procesar paquetes con listas ACLProcesos de routing y listas ACL

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 1

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 1 (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Política de seguridad: La red 192.168.11.0/24 no debería poder acceder a la red 192.168.10.0/24.

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 2

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Se aplicó la ACL 20 a la interfaz equivocada en la dirección equivocada. Se deniega todo el tráfico entrante de 192.168.11.0/24 a través de la interfaz G0/1.

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 2 (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 2 (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Problema Política de seguridad: Solo a PC1 se le permite el acceso remoto SSH a R1.

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 3

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

¡Solución! Política de seguridad: Solo a PC1 se le permite el acceso remoto SSH a R1.

Errores comunes en listas ACL de IPv4 estándaresSolucionar problemas en listas ACL de IPv4 estándares: Ejemplo 3 (continuación)

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID

Información confidencial de Cisco

© 2008 Cisco Systems, Inc. Todos los derechos reservados.

‹Nº›

Presentation_ID