Вы находитесь на странице: 1из 68

Capitulo 09: Listas de

Control de Acceso

Principios Bsicos de Routing & Switching


Ing. CCNA R&S Gilberto Carrin Barco
carsistemas@yahoo.com

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Captulo 09
9.1 Funcionamiento de ACL de IP
9.2 ACL de IPv4 estndar
9.3 ACL de IPv4 extendidas
9.4 Resolucin de problemas de ACL
9.5 ACL de IPv6
9.6 Resumen

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
Captulo 09: Objetivos

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
9.1 Funcionamiento de ACL
de IP

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
Propsito de las ACL
Qu es una ACL?

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
Propsito de las ACLs
Nmeros de Puerto

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
Propsito de las ACLs
Filtrado de Paquetes
El filtrado de paquetes, a veces llamado el filtrado de paquetes
esttico, controla el acceso a una red mediante el
anlisis de los paquetes entrantes y salientes;
pasndolos o impidindolos sobre la base de
criterios dados, tales como la direccin IP de
origen, direccin IP de destino y el protocolo
configurado incluido en el paquete.
Un router acta como un filtro de
paquetes cuando se permite
o niega el paso de paquetes
de acuerdo con las reglas de filtrado.
Una ACL es una lista secuencial de instrucciones
permit o deny, conocidas como
entradas de control de acceso (ACE).
CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
Propsito de las ACLs
Filtrado de Paquetes

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
Propsito de las ACL
Funcionamiento de ACL

La ltima sentencia de una ACL es siempre una denegacin


implcita. Esta sentencia se inserta automticamente al final de cada
ACL, aunque no est presente fsicamente.
La denegacin implcita bloquea todo el trfico. Debido a esta
denegacin implcita, una ACL que no tiene, por lo menos, una
instruccin permit bloquear todo el trfico.
CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
Comparacin entre ACL de IPv4 estndar y extendidas
Tipos de ACL de IPv4 de Cisco
ACL estndar

ACL extendidas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
Comparacin entre las ACL de IPv4 estndar y extendidas
Numeracin y denominacin de las ACL

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
Mscara de Wildcard en ACLs
Introduccin a la Mscara de Wildcard en ACL
Las mscaras wildcard utilizan las siguientes reglas para hacer
coincidir sus unos y ceros binarios.
Bit 0 de mscara wildcard: se estable la coincidencia con el valor del
bit correspondiente en la direccin
Bit 1 de mscara wildcard: se omite el valor del bit correspondiente en
la direccin
La figura muestra la forma en la que las diferentes mscaras wildcard
filtran direcciones IP.
Como puede observar en el ejemplo, recuerde que el 0 binario
representa una coincidencia, y el 1 binario, ignorar.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
Mscaras wildcard en ACL
Ejemplos de mscaras wildcard: hosts y subredes

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
Mscaras wildcard en ACL
Palabras clave de mscaras wildcard

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
Mscaras wildcard en ACL
Ejemplos de palabras clave de mscaras wildcard

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
Pautas para la creacin de ACL
Pautas generales para la creacin de ACL
Utilice las ACL en los routers de firewall ubicados entre su red
interna y una red externa, como Internet.
Utilice las ACL en un router ubicado entre dos partes de la red
para controlar el trfico que entra a una parte especfica de su
red interna o que sale de esta.
Configure las ACL en los routers de frontera, es decir, los
routers ubicados en los lmites de las redes.
Configure las ACL para cada protocolo de red configurado en
las interfaces del router de frontera.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
Pautas para la creacin de ACL
Pautas generales para la Creacin de ACL

Una lista por interfaz, por direccin y por protocolo

Con dos Interfaces y dos protocolos en ejecucin, este router puede


tener una cantidad total de 8 ACL distintamente aplicadas.

Las Tres P para utilizar ACL

Slo puede tener una ACL por protocolo, por interfaz y por direccin:
Una ACL Por protocolo (por ejemplo, IPv4 o IPv6)
Una ACL Por direccin o sentido (es decir, IN o OUT)
Una ACL Por interfaz (por ejemplo, FastEthernet 0/0)

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
Pautas para la creacin de ACL
Optimizaciones de las ACL

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
Pautas para la colocacin de ACL
Donde ubicar las ACL
Cada ACL se debe colocar donde tenga ms impacto en la
eficiencia. Las reglas bsicas son las siguientes:
ACL extendidas: coloque las ACL extendidas lo ms cerca
posible del origen del trfico que se filtrar.
ACL estndar: debido a que en las ACL estndar no se
especifican las direcciones de destino, colquelas tan cerca del
destino como sea posible.

La colocacin de la ACL y, por lo tanto, el tipo de ACL que se


utiliza tambin pueden depender del alcance del control del
administrador de red, del ancho de banda de las redes que
intervienen y de la facilidad de configuracin.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19
Pautas para la colocacin de ACL
Ubicacin de la ACL estndar

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20
Pautas para la colocacin de ACL
Ubicacin de la ACL extendidas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21
9.2 ACL de IPv4 Estndar

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
Configuracin de ACL de IPv4 estndar
Como ingresar sentencias de criterios

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23
Configuracin de ACL de IPv4 estndar
Configuracin de una ACL estndar
La sintaxis completa del comando de ACL estndar es la
siguiente:
Router(config)# access-list nmero-lista-acceso
deny permit remark origen [wildcard-origen] [log]

Para eliminar la ACL, se utiliza el comando de


configuracin global no access-list.
La palabra clave remark se utiliza en los documentos y
hace que sea mucho ms fcil comprender las listas de
acceso.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24
Configuracin de ACL de IPv4 estndar
Lgica interna
El IOS de Cisco aplica una lgica interna al aceptar y procesar las
listas de acceso estndar.
Recuerde que las instrucciones de las ACL se procesan de manera
secuencial, por lo que el orden en que se introducen es importante.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
Configuracin de ACL de IPv4 estndar
Aplicacin de ACL estndar a las interfaces
Despus de que se configura una ACL estndar, se
vincula a una interfaz mediante el comando ip access-
group en el modo de configuracin de interfaz:
Router(config-if)# ip access-group { nmero-lista-
acceso | nombre-lista-acceso } { in | out }

Para eliminar una ACL de una interfaz, primero introduzca


el comando no ip access-group en la interfaz y, a
continuacin, introduzca el comando global no access-
list para eliminar la ACL completa.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26
Configuracin de ACL de IPv4 estndar
Aplicacin de ACL estndar a las interfaces

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27
Configuracin de ACL de IPv4 estndar
Aplicacin de ACL estndar a las interfaces

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
Configuracin de ACL de IPv4 estndar
Configuracin de ACL estndar con nombre

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29
Configuracin de ACL de IPv4 estndar
Comentarios sobre las ACL

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30
Modificacin de ACL de IPv4
Edicin de ACL estndar numeradas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31
Modificacin de ACL de IPv4
Edicin de ACL estndar numeradas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32
Modificacin de ACL de IPv4
Edicin de ACL estndar con nombre

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33
Modificacin de ACL de IPv4
Verificar las ACL

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34
Modificacin de ACL de IPv4
Estadsticas de ACL

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35
Proteccin de puertos vty con una ACL Estndar IPv4
ACL Estndar para controlar el acceso Telnet
Cisco recomienda utilizar
SSH para conexiones
administrativas a
routers y switches.
Si la imagen del
software IOS de
Cisco en su router
no admite SSH,
puede mejorar
parcialmente la
seguridad de las
lneas administrativas
restringiendo el acceso VTY.
Las ACL extendidas y estndar se aplican a paquetes que viajan a travs de
un router. No estn diseadas para bloquear paquetes que se originan dentro
del router.
CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36
Proteccin de puertos vty con una ACL Estndar IPv4
ACL Estndar para controlar el acceso ssh

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37
Proteccin de puertos VTY con una ACL de IPv4 estndar
Verificacin de una ACL estndar utilizada para
proteger un puerto VTY

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38
9.3 ACL de IPv4 Extendidas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39
Estructura de una ACL de IPv4 extendida
ACL extendidas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40
Estructura de una ACL de IPv4 extendida
ACL extendidas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41
Configuracin de ACL de IPv4 extendidas
Configuracin de ACL extendidas
Los pasos del procedimiento para configurar ACL extendidas
son los mismos que para las ACL estndar. Primero se
configura la ACL extendida y, a continuacin, se activa en una
interfaz.
Sin embargo, la sintaxis de los comandos y los parmetros son
ms complejos, a fin de admitir las funciones adicionales
proporcionadas por las ACL extendidas.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42
Configuracin de ACL de IPv4 extendidas
Aplicacin de ACL extendidas a las interfaces

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43
Configuracin de ACL de IPv4 extendidas
Filtrado de trfico con ACL extendidas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44
Configuracin de ACL de IPv4 extendidas
Creacin de ACL extendidas con nombre

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45
Configuracin de ACL de IPv4 extendidas
Verificacin de ACL extendidas

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46
9.4 Resolucin de
problemas de ACL

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 47
Procesamiento de paquetes con ACL
Proceso de decisin de ACL estndar
Las ACL estndar solo examinan la direccin IPv4 de origen. El
destino del paquete y los puertos involucrados no se tienen en
cuenta.
El software IOS de Cisco prueba las direcciones en relacin con
cada una de las condiciones de la ACL.
La primera coincidencia determina si el software acepta o
rechaza la direccin.
Dado que el software deja de probar las condiciones despus
de la primera coincidencia, el orden de las condiciones es
fundamental. Si no coincide ninguna condicin, la direccin se
rechaza.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48
Procesamiento de paquetes con ACL
Proceso de decisin de ACL extendida
La ACL primero filtra por la direccin de origen y, a
continuacin, por el puerto y el protocolo de origen.
Luego, filtra por la direccin de destino y despus por el
puerto y el protocolo de destino, y toma la decisin final de
permiso o denegacin.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49
Errores comunes de ACL
Resolucin de errores comunes de ACL, ejemplo 1
El host
192.168.10.10
no tiene
conectividad
con
192.168.30.12.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50
Errores comunes de ACL
Resolucin de errores comunes de ACL, ejemplo 2
La red
192.168.10.0/24
no puede utilizar
TFTP para
conectarse a la
red
192.168.30.0/24.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51
Errores comunes de ACL
Resolucin de errores comunes de ACL, ejemplo 3
La red
192.168.11.0/24
puede utilizar
Telnet para
conectarse a
192.168.30.0/24,
pero segn la
poltica de la
empresa,
esta conexin no
debera permitirse.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52
Errores comunes de ACL
Resolucin de errores comunes de ACL, ejemplo 4
El host
192.168.30.12
puede conectarse
a 192.168.31.12
mediante Telnet,
pero
la poltica de la
empresa establece
que esta conexin
no debe permitirse.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 53
Errores comunes de ACL
Resolucin de errores comunes de ACL, ejemplo 5
El host
192.168.30.12
puede utilizar
Telnet para
conectarse a
192.168.31.12,
pero segn la
poltica de
seguridad, esta
conexin no debe
permitirse.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 54
9.5 ACL de IPv6

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55
Creacin de ACL de IPv6
Tipos de ACL de IPv6

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 56
Creacin de ACL de IPv6
Comparacin entre ACL de IPv4 y de IPv6
Aunque las ACL de IPv4 y de IPv6 son muy similares, hay
tres diferencias fundamentales entre ellas.
Aplicacin de una ACL de IPv6
IPv6 utiliza el comando ipv6 traffic-filter para realizar la
misma funcin para las interfaces IPv6.
Ausencia de mscaras wildcard
Se utiliza la longitud de prefijo para indicar cunto de una direccin
IPv6 de origen o destino debe coincidir.
Instrucciones predeterminadas adicionales
permit icmp any any nd-na
permit icmp any any nd-ns

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57
Configuracin de ACL de IPv6
Configuracin de topologa IPv6

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 58
Configuracin de ACL de IPv6
Configuracin de ACL de IPv6
Hay tres pasos bsicos para configurar una ACL de IPv6:
En el modo de configuracin global, utilice el comando ipv6
access-list nombre para crear una ACL de IPv6.
En el modo de configuracin de ACL con nombre, utilice las
instrucciones permit o deny para especificar una o ms condiciones
para determinar si un paquete se debe reenviar o descartar.
Regrese al modo EXEC privilegiado con el comando end.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59
Configuracin de ACL de IPv6
Configuracin de ACL de IPv6

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 60
Configuracin de ACL de IPv6
Aplicacin de una ACL de IPv6 a una interfaz

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61
Configuracin de ACL de IPv6
Ejemplos de ACL de IPv6

Denegar
FTP

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 62
Configuracin de ACL de IPv6
Ejemplos de ACL de IPv6

Restriccin
del acceso

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63
Configuracin de ACL de IPv6
Verificacin de ACL IPv6

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 64
Captulo 9: Resumen
Por defecto de un router no filtra trfico. El trfico que entra en el
router se dirige exclusivamente sobre la base de la informacin dentro
de la tabla de enrutamiento.
El filtrado de paquetes, controla el acceso a una red mediante el
anlisis de los paquetes entrantes y salientes y pasando o dejarlos
caer sobre la base de criterios tales como la direccin IP de origen,
direccin IP de destino y el protocolo llevado dentro del paquete.
Un router de filtrado de paquetes utiliza reglas para determinar si se
debe permitir o denegar el trfico. Un router tambin puede realizar el
filtrado de paquetes en la Capa 4, la capa de transporte.
Una ACL es una lista secuencial de permiso o negacin de
sentencias.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 65
Captulo 9: Resumen
La ltima declaracin de una ACL es siempre es una sentencia
implcita que niega o bloquea todo el trfico. Para evitar que la
sentencia implcita al final de la declaracin de la ACL bloquee todo el
trfico, se puede agregar la sentencia permit IP any any.
Cuando el trfico de red pasa a travs de una interfaz configurada con
una ACL, el router compara la informacin dentro del paquete en cada
entrada, en orden secuencial, para determinar si el paquete coincide
con una de las declaraciones. Si se encuentra una coincidencia, el
paquete es procesado.
ACL estn configuradas para aplicar al trfico entrante o para aplicar
al trfico saliente.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 66
Captulo 9: Resumen
Una ACL estndar se puede utilizar para permitir o denegar el trfico
slo de las direcciones IPv4 de origen. El destino del paquete y los
puertos implicados no son evaluados. La regla bsica para la
colocacin de una ACL estndar es colocarla cerca del destino.
Una ACL extendida filtra los paquetes basandose en varios atributos:
tipo de protocolo, direcciones IPv4 de origen o destino, y puertos de
origen o de destino. La regla bsica para la colocacin de una ACL
extendida es colocar lo ms cerca posible del origen.

CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 67
CCNA R&S Gilberto Carrin B. 2015 Cisco Systems, Inc. All rights reserved. Cisco Confidential 68