ACL

Ing. Ricardo Fernando Marroquín Gramajo

Access List

ACL - Access List

  • Es una herramienta que permite administrar el tráfico que pasa por la red a nivel IP, permitiendo asegurar servidores y computadores de posibles ataques internos (LAN) o externos (WAN)
  • Mecanismo que permite al administrador filtrar paquetes
  • Permite o deniega el tráfico de red de acuerdo a la condición del encbezado de capa 3 o capa 4

ACL - Access List

  • Se basa en "permitir" (permit) o "denegar" (deny) direcciones IP o puertos TCP.
  • Es una lista secuencial de "permits" o "deny"
  • Debe tener al menos un "permit"

¿Por que utilizar una ACL?

  • Limitar el tráfico de red para controlar el rendimiento de la red
  • Controlar el tráfico
  • Provee un nivel básico de seguridad de acceso a la red
  • Decidir que tipo de tráfico se reenvia o bloquea en las interfaces

ACL Standar

  • Filtra el tráfico de la red permitiendo o denegando el paso de un paquete tomando como referencia la dirección origen del mismo
  • Rango: 1-99

ACL - Extended

  • Filtra el tráfico de la red permitiendo o denegando el paso de un paquete tomando como referencia las direcciones de origen o destino del paquete a gestionar.
  • El 90% de los casos se utiliza un ACL extendido.
  • Rango: 100-199
  • Puede utilizar número de puerto (Telnet 23, http 80, etc)

ACL named

  • Puede ser una ACL standar como una ACL Extended, con la única diferencia que para identificarla se utlizará un nombre.

ACL inbound

  • Los paquetes se comparan y se filtran al momento de que estos ingresan al router, si el paquete cumple con los parámetros que especifica el ACL el router lo enruta de lo contrario se descarta.

Host A envía un paquete a Host B

Host B envía un paquete a Host A

ACL outbound

  • Los paquetes se comparan y se filtran al momento de que estos han sido enrutados y justamente antes de salir del router
  • Si el paquete cumple con los parámetros de ACL el router procede a enviarlo, de lo contrario se descarta.

Host A envía un paquete a Host B

Host B envía un paquete a Host A

ACL - Wildcard

  • Máscara inversa
  • Especifica los bits en la dirección IP que el ACL debe tomar en cuenta para tomar una decición
  • 0 = Tomar en cuenta
  • 1 = Ignorar

ACL - Wildcard

Recomendaciones ACL

  • ACL Standard: deben ser creadas lo más cerca del destino del paquete, solo pueden filtrar la dirección de origen.
  • ACL Extended: deben ser creadas lo más cerca del origen del paquete, esto evita que el paquete viaje a la red completa y mejora el rendimiento de la misma.

Any

  • Es igual a usar 0.0.0.0 255.255.255.255

Ejemplo:

access-list 2 permit any

Host

  • Es igual a usar IP-address 0.0.0.0

 

Ejemplo:  192.168.1.10 0.0.0.0

Ejemplo: access-list 2 deny host 192.168.1.10

Deny ALL

  • Implícitamente existe un comando Deny All en la configuración de cualquier ACL y funciona de la manera siguiente:
  • Agregar varios permisos para archivos y luego de esto se denegará lo que hayamos permitido.

Permit ALL

  • Permite todo lo que en este caso no hayamos denegado.
  • Jerárquicamente hablando el comando Deny All es más restrictivo que un Permit All

ACL - ESTANDAR

ACL Standar

Configurar ACL Standar

  • Paso 1: Crear ACL
  • Paso 2: Aplicar ACL (no funcionará hasta que no haya sido aplicada a una interfaz)

R1(config) # access-list 1 permit 10.30.0.2 0.0.0.255

R1(config) # int s0/0

R1(config-int) # ip access-group 1 inbound

R1(config) # access-list 1 deny tcp

tipo de lista   permitir/denegar  Origen   Wildcard

tipo de lista   inbound/outbound

Configurar ACL Extended

  • Paso 1: Crear ACL
  • Paso 2: Aplicar ACL (no funcionará hasta que no haya sido aplicada)

R1(config) # access-list 100 permit 10.30.0.2 0.0.0.0 10.10.0.2 0.0.0.0

R1(config) # access-list 100 deny 10.30.0.3 0.0.0.0 10.10.0.2 0.0.0.0

R1(config) # access-list 100 permit any any

R1(config-int) # int s0/0

R1(config-int) # ip access-group 100 inbound

 

tipo de lista   permitir/denegar  Origen   Wildcard

tipo de lista   inbound/outbound

Configurar ACL named

  • Paso 1: Crear ACL
  • Paso 2: Aplicar ACL (no funcionará hasta que no haya sido aplicada)

R1(config) # access-list 100 permit 10.30.0.2 0.0.0.0 10.10.0.2 0.0.0.0

 

R1(config-int) # int s0/0

R1(config-int) # ip access-group 100 inbound

 

tipo de lista   permitir/denegar  Origen   Wildcard

tipo de lista   inbound/outbound

ACL - Access List

By Ing. Fernando Marroquín

ACL - Access List

Listas de acceso para agregar seguridad en equipos router de cisco, para evitar amenazas internas y externas

  • 358