ACL. Listas de Control de Acceso

Qué son las ACL?


  • Condiciones aplicadas al tráfico que viaja a través de la interfaz del router.
  • Indican al router qué tipo de paquetes aceptar o rechazar basándose en condiciones específicas.
  • Permiten la administración del tráfico y aseguran el acceso hacia y desde una red.
  • Se puede crear en todos los protocolos de red enrutados: IP, IPX …
  • Se pueden configurar en el router para controlar el acceso a una red o subred.
  • Las ACL se definen según el protocolo, la dirección o el puerto.
    Para controlar el flujo de tráfico en una interfaz:

    •    Se debe definir ACL para cada protocolo enrutado habilitado.
    •    Se necesita crear ACLs por separado para cada dirección del tráfico, una para el tráfico entrante yotra para el saliente.
  • Razones para crear ACLs:
  • Limitar el tráfico de red y mejorar el rendimiento de la red: Por ejemplo, restricción de video
  • Brindar control de flujo de tráfico: Por ejemplo: restringir el envío de actualizaciones de enrutamiento.
  • Proporcionar nivel básico de seguridad para el acceso a la red.
  • Si ACL no están configuradas en el router:  Todos los paquetes tendrán acceso a todas las partes de la red.


1.- ACL Estándar


  • Permiten o rechazan el acceso a todo un conjunto de protocolos, según las direcciones de red, subred o host origen.
  • Van desde la access-list 1 a la 99 y de la 1300 a la 1999.
  • Trabajan con  la dirección de Origen y la Mascara Wildcard, es decir, mascara de Red Invertida.
  • Al configurar una ACL estandar debemos tomar en cuenta en que interfaz del Router o Switch Capa 3 va ser aplicada,  generalmente se aplican para restringuir toda una Red o un host a otra Red completa.
  • Las ACL estándar no especifican las direcciones destino, de modo que se deben colocar lo más cerca posible del destino.

Router(config)#access-list número-lista {deny | permit | remark} dirección-origen [wildcard ] [log].

Palabras claves especiales utilizadas en las ACL


Any: Cualquiera

  • Reemplaza la dirección IP con 0.0.0.0 y la máscara wildcard por 255.255.255.255.
  •  Esta opción concuerda con cualquier dirección con la que se la compare.

Host: Equipo

  • Reemplaza la máscara con 0.0.0.0. Esta máscara wilcard necesita todos los bits de la dirección ACLy la concordancia de dirección del paquete.
  • Esta opción sólo concuerda con una dirección.

Remark: Comentario

  • Similar a un comentario.
  • Facilita entendimiento de la ACL.
  • Limitado a 100 caracteres. Ejemplo: access-list 1 remark Permit only Jones workstation.

2.-ACL Extendida

  • Utilizadas con más frecuencia que las estándar porque ofrecen un mayor control.
  • Verifican: Direcciones origen y destino de paquetes, protocolos y números de puerto.
  • Mayor flexibilidad para establecer qué verifica la ACL.
  • Van desde la 100 a la 199 y desde la 200 a la 2699.
  • Sintaxis es engorrosa.
  • Se utilizan también las palabras any y host
  • Regla General: Aplicarlas lo más cerca posible al origen.

Router(config)# access-list número-lista-acceso {deny | permit} protocolo ip-origen wildcard-origen ip-destino wildcard-destino  operador puerto-o-nombre-de-aplicación


Operadores lógicos:  eq,  neq,  gt,  lt

Protocolo: Nombre o número de un protocolo de Internet: eigrp, icmp, igrp, ip, tcp, udp, etc.
Para referirse a cualquier protocolo de Internet utiliza palabra clave ip

IMPORTANTE

  •  Si las ACL se colocan en el lugar correcto: Filtran el tráfico, Toda la red se hace más eficiente.
  •  Regla: Colocar ACL extendidas lo más cerca posible del origen del tráfico denegado. Las ACL estándar no especifican las direcciones destino, de modo que se deben colocar lo más cerca posible del destino.

Asignar la lista a la interfaz apropiada

  • Usar el comando ip access-group.
  • Especificar ubicación entrante o saliente de laACL
  • Entrante: filtra el tráfico que entra por una interfaz
  • Saliente: filtra el tráfico que sale por una interfaz
  • NOTA: Para decidir si ACL es entrante o saliente, mire las interfaces como si se observara desde dentro del router, Es decir, desde el punto de vista del router si el paquete entra o sale.

Router(config)#ip access-group {número-listaacceso | nombre-lista-acceso} {in | out}


IMPORTANTE

  • Las Sentencias se procesan de forma secuencial hasta que se encuentre una concordancia. Si no hay concordancia, se rechaza el paquete.
  • Hay un deny any (denegar cualquiera) implícito al final de todas las ACLs.
  • Deben filtrar desde lo particular a lo general
  • Primero filtrar hosts específicos,  Luego grupos (filtros generales).
  • Primero se examina la condición de concordancia.
  • El permiso o rechazo se examina SÓLO si la concordancia es cierta.
  • Nunca trabaje con una ACL que se utiliza de forma activa.
  • Siempre, las líneas nuevas se agregan al final de la lista de acceso.
  • El comando no access-list x elimina la lista X.
  •  No es posible agregar y quitar líneas de manera selectiva en las ACL numeradas.
  •  Los filtros salientes no afectan al tráfico que se origina en el router local.

Eliminar ACL estándar:
Router(config)#no access-list  {número-lista-acceso}


Verificación de las ACLs.


Show ip interface: Muestra información de la interfaz IP e indica si se ha establecido alguna ACL.
Show access-lists: Muestra el contenido de todas las ACL en el router. Para ver una lista específica, agregue el nombre o número ACL como opción a este comando.
show running-config: Muestra las listas de acceso en el router y la información de asignación de interfaz.

About these ads

Publicado el mayo 11, 2011 en Cisco, Redes, Telecomunicaciones. Añade a favoritos el enlace permanente. Deja un comentario.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: