24/06/2012

Listas de Control de Acceso (ACL)

Qu son las ACLs ?

Condiciones aplicadas al trfico que viaja a travs de la interfaz del router. Indican al router qu paquetes aceptar rechazar basndose en condiciones especficas. o

Los criterios usados en las listas de acceso pueden ser: direccin origen, direccin destino, puerto, protocolo, entre otros. Las ACLs se aplican a una interfaz del router.
REDES WAN 2012 - Ing. Romina Nahas

24/06/2012

Razones para configurar ACLs

Limitar el trfico y mejorar el rendimiento de la red. Proveer control de flujo de trfico. Proporcionar un nivel bsico de seguridad para el acceso a la red. Si no se configuran ACLs todos los paquetes tendrn acceso a todas las partes de la red.

REDES WAN 2012 - Ing. Romina Nahas

Funcionamiento de las ACLs

REDES WAN 2012 - Ing. Romina Nahas

24/06/2012

Configuracin de las ACLs

Paso 1: Definir las sentencias que formarn la ACL. Cada una de ellas se define de la siguiente forma:
Router(config)#access-list [N-lista-acceso] {permit|deny} {condiciones}

Paso 2: Aplicar dicha ACL sobre las interfaces en el sentido deseado con:
Router(config-if)#{protocol} access-group [N-listaacceso] {in|out}

REDES WAN 2012 - Ing. Romina Nahas

Configuracin de las ACLs

Intervalo de nmeros vlidos de acuerdo al protocolo usado:

REDES WAN 2012 - Ing. Romina Nahas

24/06/2012

Mscara Wildcard
Es un conjunto de 32 bits dividido en 4 octetos Se compara contra una direccin IP. 1 y 0 identifican cmo tratar los bits de la direccin IP 0: Comprueba el valor del bit correspondiente 1: Ignora el valor del bit correspondiente 1s y 0s filtran direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos segn el valor de las mismas.
REDES WAN 2012 - Ing. Romina Nahas

Mscara Wildcard
Palabras claves especiales utilizadas en las ACL: Any: Reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por 255.255.255.255. Esta opcin concuerda con cualquier direccin con la que se la compare. Host: Reemplaza la mscara 0.0.0.0. Esta opcin slo concuerda con una direccin.
REDES WAN 2012 - Ing. Romina Nahas

24/06/2012

Tipos de ACLs

ACL Estndar

ACL Extendida

REDES WAN 2012 - Ing. Romina Nahas

ACL Estndar
Verifican slo la direccin origen de los paquetes que se deben enrutar. No especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino. Sintaxis:
Router(config)#access-list nmero-lista-acceso {deny | permit} {condiciones} [log]
REDES WAN 2012 - Ing. Romina Nahas

24/06/2012

ACL Estndar
Asignar la lista a la interfaz apropiada: Usar el comando ip access-group. Especificar ubicacin entrante o saliente de la ACL. Entrante: filtra el trfico que entra por una interfaz Saliente: filtra el trfico que sale por una interfaz

REDES WAN 2012 - Ing. Romina Nahas

ACL Extendida
Verifican: Direcciones origen y destino de paquetes, protocolos y nmeros de puerto. Ms usadas que las ACL Estndar. Mayor flexibilidad para establecer qu verifica la ACL. Sintaxis es engorrosa. Se utilizan tambin las palabras any y host Regla General: Aplicarlas lo ms cerca posible al origen.

REDES WAN 2012 - Ing. Romina Nahas

24/06/2012

ACL Extendida
Sintaxis:
Router(config)#access-list nmero-lista-acceso {deny | permit} protocolo [ip-origen wildcard-origen] [ip-destino wildcarddestino] [operacin puerto] [established] [log]

Protocolo: nombre o nmero de un protocolo de internet. Operacin: lt (less than), gt (grater than), eq (igual), neq (distinto) Established: parmetro opcional. Si el paquete usa una conexin establecida (bit ACK activado)
REDES WAN 2012 - Ing. Romina Nahas

ACL Extendida

REDES WAN 2012 - Ing. Romina Nahas

24/06/2012

Verificacin de las ACL

show ip interface: Muestra informacin de la interfaz IP e indica si se ha establecido alguna ACL. show access-lists: Muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o nmero ACL como opcin a este comando. show running-config: Muestra las listas de acceso en el router y la informacin de asignacin de interfaz.
REDES WAN 2012 - Ing. Romina Nahas