ACL
Ing. Ricardo Fernando Marroquín Gramajo
Access List
ACL - Access List
- Es una herramienta que permite administrar el tráfico que pasa por la red a nivel IP, permitiendo asegurar servidores y computadores de posibles ataques internos (LAN) o externos (WAN)
- Mecanismo que permite al administrador filtrar paquetes
- Permite o deniega el tráfico de red de acuerdo a la condición del encbezado de capa 3 o capa 4
ACL - Access List
- Se basa en "permitir" (permit) o "denegar" (deny) direcciones IP o puertos TCP.
- Es una lista secuencial de "permits" o "deny"
- Debe tener al menos un "permit"
¿Por que utilizar una ACL?
- Limitar el tráfico de red para controlar el rendimiento de la red
- Controlar el tráfico
- Provee un nivel básico de seguridad de acceso a la red
- Decidir que tipo de tráfico se reenvia o bloquea en las interfaces
ACL Standar
- Filtra el tráfico de la red permitiendo o denegando el paso de un paquete tomando como referencia la dirección origen del mismo
- Rango: 1-99
ACL - Extended
- Filtra el tráfico de la red permitiendo o denegando el paso de un paquete tomando como referencia las direcciones de origen o destino del paquete a gestionar.
- El 90% de los casos se utiliza un ACL extendido.
- Rango: 100-199
- Puede utilizar número de puerto (Telnet 23, http 80, etc)
ACL named
- Puede ser una ACL standar como una ACL Extended, con la única diferencia que para identificarla se utlizará un nombre.
ACL inbound
- Los paquetes se comparan y se filtran al momento de que estos ingresan al router, si el paquete cumple con los parámetros que especifica el ACL el router lo enruta de lo contrario se descarta.
Host A envía un paquete a Host B
Host B envía un paquete a Host A
ACL outbound
- Los paquetes se comparan y se filtran al momento de que estos han sido enrutados y justamente antes de salir del router
- Si el paquete cumple con los parámetros de ACL el router procede a enviarlo, de lo contrario se descarta.
Host A envía un paquete a Host B
Host B envía un paquete a Host A
ACL - Wildcard
- Máscara inversa
- Especifica los bits en la dirección IP que el ACL debe tomar en cuenta para tomar una decición
- 0 = Tomar en cuenta
- 1 = Ignorar
ACL - Wildcard
Recomendaciones ACL
- ACL Standard: deben ser creadas lo más cerca del destino del paquete, solo pueden filtrar la dirección de origen.
- ACL Extended: deben ser creadas lo más cerca del origen del paquete, esto evita que el paquete viaje a la red completa y mejora el rendimiento de la misma.
Any
- Es igual a usar 0.0.0.0 255.255.255.255
Ejemplo:
access-list 2 permit any
Host
- Es igual a usar IP-address 0.0.0.0
Ejemplo: 192.168.1.10 0.0.0.0
Ejemplo: access-list 2 deny host 192.168.1.10
Deny ALL
- Implícitamente existe un comando Deny All en la configuración de cualquier ACL y funciona de la manera siguiente:
- Agregar varios permisos para archivos y luego de esto se denegará lo que hayamos permitido.
Permit ALL
- Permite todo lo que en este caso no hayamos denegado.
- Jerárquicamente hablando el comando Deny All es más restrictivo que un Permit All
ACL - ESTANDAR
ACL Standar
Configurar ACL Standar
- Paso 1: Crear ACL
- Paso 2: Aplicar ACL (no funcionará hasta que no haya sido aplicada a una interfaz)
R1(config) # access-list 1 permit 10.30.0.2 0.0.0.255
R1(config) # int s0/0
R1(config-int) # ip access-group 1 inbound
R1(config) # access-list 1 deny tcp
tipo de lista permitir/denegar Origen Wildcard
tipo de lista inbound/outbound
Configurar ACL Extended
- Paso 1: Crear ACL
- Paso 2: Aplicar ACL (no funcionará hasta que no haya sido aplicada)
R1(config) # access-list 100 permit 10.30.0.2 0.0.0.0 10.10.0.2 0.0.0.0
R1(config) # access-list 100 deny 10.30.0.3 0.0.0.0 10.10.0.2 0.0.0.0
R1(config) # access-list 100 permit any any
R1(config-int) # int s0/0
R1(config-int) # ip access-group 100 inbound
tipo de lista permitir/denegar Origen Wildcard
tipo de lista inbound/outbound
Configurar ACL named
- Paso 1: Crear ACL
- Paso 2: Aplicar ACL (no funcionará hasta que no haya sido aplicada)
R1(config) # access-list 100 permit 10.30.0.2 0.0.0.0 10.10.0.2 0.0.0.0
R1(config-int) # int s0/0
R1(config-int) # ip access-group 100 inbound
tipo de lista permitir/denegar Origen Wildcard
tipo de lista inbound/outbound
ACL - Access List
By Ing. Fernando Marroquín
ACL - Access List
Listas de acceso para agregar seguridad en equipos router de cisco, para evitar amenazas internas y externas
- 340