LOGO

Lista de Control de Acceso (ACL)

LOGO
ACL (access control list)
Una Lista de Control de Acceso o ACL (del ingls, Access
Control List) es una configuracin de router que controla si un
router permite o deniega paquetes segn el criterio encontrado
en el encabezado del paquete. Las ACL son unos de los
objetos ms comnmente utilizados en el software IOS de
Cisco. Las ACL tambin se utilizan para seleccionar los tipos de
trfico por analizar, reenviar o procesar de otras maneras.
LOGO
Las tres P
Puede configurar una ACL por protocolo, por direccin y
por interfaz:
Una ACL por protocolo: para controlar el flujo de trfico
de una interfaz, se debe definir una ACL para cada
protocolo habilitado en la interfaz.
Una ACL por direccin: las ACL controlan el trfico en
una direccin a la vez de una interfaz. Deben crearse
dos ACL por separado para controlar el trfico entrante y
saliente.
Una ACL por interfaz: las ACL controlan el trfico para
una interfaz, por ejemplo, Fast Ethernet 0/0.
LOGO
Las ACL realizan las siguientes tareas:
Limitar el trfico de red para mejorar el rendimiento de sta.
Brindar control de flujo de trfico
Proporcionar un nivel bsico de seguridad para el acceso a la
red.
Decide qu tipos de trfico enva o bloquea en las interfaces
del router.
Controlar las reas de la red a las que puede acceder un
cliente.
Analizar los hosts para permitir o denegar su acceso a los
servicios de red.
LOGO
Funcionamiento de las ACL
Las ACL se configuran para ser aplicadas al trfico entrante o
saliente.
ACL de entrada: los paquetes entrantes se procesan antes de ser
enrutados a la interfaz de salida. Una ACL de entrada es eficaz
porque guarda la carga de bsquedas de enrutamiento si el paquete
se descarta. Si el paquete est autorizado por las pruebas, luego se
procesa para el enrutamiento.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de
salida y luego sonprocesados a travs de la ACL de salida.
Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede
haber una ACL por protocolo, por direcciny por interfaz.
LOGO
ACL extendidas
Filtran los paquetes
IP en funcin de
varios atributos.
Se crean en el modo
de configuracin
global
ACL estndar
Permiten autorizar o
denegar el trfico
desde las direcciones
IP de origen.
No importan el
destino del paquete
ni los puertos
involucrados
Tipos de
ACL
LOGO
LOGO
Dnde ubicar las ACL
Todas las ACL deben ubicarse donde ms repercutan
sobre la eficacia. Las reglas bsicas son:
Ubicar las ACL extendidas lo ms cerca posible del
origen del trfico denegado. De esta manera, el trfico
no deseado se filtra sin atravesar la infraestructura de
red.
Como las ACL estndar no especifican las direcciones
de destino, colquelas lo ms cerca del destino posible.
LOGO
LOGO
LOGO
LOGO
LOGO
Configuracin
Router(config)#access-list[1-99][permit|deny][direccin de
origen][mascara comodn]
Donde:
1-99 Identifica el rango y la lista.
Permit|deny indica si esta entrada permitir o bloquear el trfico a partir
de la direccin especificada.
Direccin de origen identifica la direccin IP de origen.
Mascara comodn o wildcard identifica los bits del campo de la
direccin que sern comprobados.
La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociacin de la lista a una interfaz
LOGO
Router(config-if)#ip access-group[n de lista de acceso][in|out]
Donde:
Nmero de lista de acceso indica el nmero de lista de acceso que
ser aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicar como filtro de entrada
o de salida.
Ejemplo de una ACL estndar denegando una red:
Router#configure terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in
Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier
origen,
Posteriormente se asocio la ACL a la interfaz Serial 0.
LOGO
Configuracin ACL extendida
Router(config)#access-list[100-
199][permit|deny][protocol][direccin de origen][mascara
comodn][direccin de destino][mascara de
destino][puerto][establisehed][log]
Donde:
100-199 identifica el rango y nmero de lista
Permit|deny: indica si la entrada permitir o bloqueara la direccin
especificada.
Protocolo: como por ejemplo IP, TCP, UDP, ICMP
Direccin origen y destino: identifican direcciones IP de origen y
destino.
Mascara wildcard origen y mascara destino: Son las mascaras
comodn. Las 0 indican las posiciones que deben coincidir, y los 1
las que no importan.
LOGO
Puerto (opcional) puede ser por ejemplo: lt (menor que), gt (mayor
que), eq (igual a), o neq (distinto que) y un nmero de puerto de
protocolo correspondiente.
Establisehed: (opcional) Se usa solo para TCP de entrada. Esto
permite que l rafico TCP pase si el paquete utiliza una conexin ya
establecida (por ejemplo posee un conjunto de bits ACK)
Log: (opcional) Enva un mensaje de registro a la consola a un servidor
syslogdeterminado.
Algunos de los nmeros de puertos ms conocidos:
20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS
LOGO
Asociacin de la lista a una interfaz
Router(config-if)#ip access-group[n de lista de acceso][in|out]
Donde:
Nmero de lista de acceso indica el nmero de lista de acceso que
ser aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicar como filtro de
entrada o de salida.
LOGO