Captulo 9: Listas de

control de acceso IPv4

Routing y switching

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 1
 Captulo 9
Funcionamiento de ACL de IP
ACL de IPv4 estndar y Extendida
Configuracin de una Acess-list
Aplicar una Access-list
Ejercicio de configuracin de una Access-list

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 2
 Captulo 9: Objetivos
Explicar la forma en que se utilizan las ACL para filtrar el
trfico.
Explicar las pautas para la creacin de ACL.
Explicar las pautas para la colocacin de ACL.
Configurar ACL de IPv4 estndar para filtrar el trfico segn
los requisitos de red.
Configurar ACL de IPv4 estndar para filtrar el trfico segn
los requisitos de red.

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 3
 Propsito de las ACL
Qu es una ACL?

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 4
 Propsito de las ACL
Dnde aplicarla?

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 5
 Propsito de las ACL
Dnde aplicarla?

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 6
 Propsito de las ACL
De entrada o de salida?

OUT

IN
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 7
 Propsito de las ACL
Cmo se configuran?

ACCESS-LIST ESTANDAR
Rangos: 1 99

Ejemplo:
Bloquear acceso a un Host a la red
Access-list 1 deny host 192.168.1.10

Bloquear acceso a los dispositivos de una red

Access-list 1 deny 192.168.1.0 0.0.0.255

Permitir a un host y bloquear el resto de la red:

Access-list 1 permit 192.168.1.10 0.0.0.0
Access-list 1 deny 192.168.1.0 0.0.0.255

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 8
 Propsito de las ACL
Cmo se configuran?
ACCESS-LIST EXTENDIDAS
Rangos: 100 - 199

Ejemplo:
Bloquear acceso a un Host a la red destino 192.168.3.0/24
Access-list 100 deny ip host 192.168.1.10 192.168.3.0 0.0.0.255

Bloquear acceso de un host a un servidor web

Access-list 100 deny tcp host 192.168.1.10 host 192.168.3.80 eq 80

Permitir a un host acceder a servidor web y bloquear todos

los dems equipos de la red el acceso al servidor web
Access-list 100 permit tcp 192.168.1.10 0.0.0.0 192.168.3.80 0.0.0.0 eq 80
Access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.80 eq 80
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 9
 Propsito de las ACL
Cmo se aplican?
Se aplican en las interfaces, como Entrada o Salida

Ejemplo: Bloquear acceso desde PC1 a Servidor WEB

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 10
 Propsito de las ACL
Cmo se aplican?
Se aplican en las interfaces, como Entrada o Salida

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 11
 Propsito de las ACL
Cmo se aplican?
Se aplican en las interfaces, como Entrada o Salida

IN

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 12
 Propsito de las ACL
Cmo se aplican?
Se aplican en las interfaces, como Entrada o Salida

Interface fa 0/0
IN Ip access-group 100 IN
exit

Access-list 100 permit tcp 192.168.1.10 0.0.0.0 192.168.3.80 0.0.0.0 eq 80

Access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.80 eq 80

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 13
 Propsito de las ACL
Cmo se verifica una acess-list?
Para verificar una Access-list utilice el comando
Show Access-list

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 14
 Propsito de las ACL
Validacin de acceso DNS

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 15
 Propsito de las ACL
Validacin de acceso DNS

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 16
 Propsito de las ACL
Validacin de acceso HTTP

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 17
 Propsito de las ACL
Validacin de acceso a puerto Protocolo
TCP

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 18
 Propsito de las ACL
Ejercicio:
1) Solo PC1 puede acceder a Servidor DNS y WEB
2) Todos los equipos de la RED (PC1, PC2 y PC3) pueden acceder al
Servidor FTP
3) Solo PC3 puede realizar ping a los dispositivos de la red
4) Todos los otros servicios deben ser denegados

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 19
 Propsito de las ACL
Ejercicio:
1) Solo PC1 puede acceder a Servidor DNS y WEB
2) Todos los equipos de la RED (PC1, PC2 y PC3) pueden acceder al
Servidor FTP
3) Solo PC3 puede realizar ping a los dispositivos de la red
4) Todos los otros servicios deben ser denegados

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 20
 Propsito de las ACL
Conclusin

Permiten o deniegan el trafico en la red

Existen diversos tipos de Access-list, como Estndar,
Extendidas, nombradas, etc.
Se aplican en las interfaces de entrada y/o de salida
Verificacin de una Access-list
Se pueden validar su funcionamiento comprobando el
acceso desde los equipos a los servicios, ejemplo Telnet,
HTTP, DNS(nslookup)

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 21
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 22