Diapositivas ACLs

1Profesor: Eduardo Collado Cabeza

Capítulo 6:Cisco CCNA -CNAP

Capítulo 6: Access Lists

Última actualización: 14 de Enero de 2004

Autor:Eduardo [email protected]



Contenido

• Configuración de Access Lists



Por qué utilizar Access Lists

• Gestionar el tráfico IP a medida que el acceso crece

• Filtrar los paquetes que pasan por el router



Aplicaciones de los Access Lists

• Permiten o deniegan el movimiento de los paquetes a través del router.

• Permiten o deniegan el acceso a las vty de/desde otro lugar

• Sin access lists, todos los paquetes deben ser transmitidos a otras partes de la red



Otros usos de los Access Lists

• Especial cuidado para el tráfico basado en paquetes de test (p.e. Actualizaciones de routing)



Tipos de Access Lists

• Estándar

• Comprueba la dirección de origen

• Generalmente permite o deniega la suite de protocolos completo

• Extendida

• Comprueba las direcciones origen y destino

• Generalmente permite o deniega protocolos específicos



Cómo Identificar un Access Lists

ACL Estándar (1-99) condiciones de test para todos los paquetes IP desde una dirección de origen.

ACL Extendida (100-199) condiciones de test y direcciones de origen y destino, protocolos específicos de la pila TCP/IP. Y puertos de destino.

ACL Estándar (1300-1999) (rango expandido).

ACL Extendida (2000-2699) (rango expandido).

Otros números de ACL se pueden utilizar para otros protocolos de red



Probando paquetes con Access Lists Estándar



Probando paquetes con Access Lists Extendidos



Operación de ACL salientes

• Si no se encuentra un ACL para el paquete, este es descartado.



Lista de pruebas Test: Permitir o Denegar



• 0 significa comprobar el valor del bit correspondiente de la dirección.

• 1 significa ignorar el valor del correspondiente bit de dirección.

Wildcard Bits: Como comprobar la correspondencia con los bits de direcciones



Por ejemplo, 172.30.16.29 0.0.0.0 comprueba todos lso bitsw de la dirección.

Se puede abreviar esta wildcard mask utilizando la dirección IP precedida por la palabra hosthost (host 172.30.16.29).

• Comprobar TODOS los bits de la dirección• Verificar la dirección IP del host, p.e.

Wildcard Bits para encontrar la ocuirrencia de una dirección de host



Wildcard Bits para encontrar subredes

• Comprobar las subredes 172.30.16.0/24 a 172.30.31.0/24.Address and wildcard mask:

172.30.16.0 0.0.15.255



Configuración de Access Lists

• Los números de ACLs indican que protocolo se está filtrando.

• Se permite un ACL por interfaz, por protocolo, por dirección.

• El orden de las reglas del ACL controla el test.

• Situar la regla más resctrictiva al incio de la lista.

• Existe un deny implícito en la última regla. Cada ACL necesita al menos una regla.

• Crear los ACL antes de aplicarlos a los interfaces.

• Los ACL filtran el tráfico que atraviesa el router; no filtran el tráfico originado en el router.



ACL Estándar (Ejemplo 1)

• Sólo permite la red 172.16.0.0




• Deniega el equipo 172.16.4.13




• Deniega la subred 172.16.4.0/24



Configuración de ACLs extendidos

Router(config-if)#ip access-group número_de_access-list {in | out}

• Activa la ACL extendida en este interfaz

• Configura los parámetros para esta entrada

Router(config)#access-list número_de_access-list {permit | deny} protocolo origen wildcard_de_origen [puerto] destino wildcard_de_destino [puerto]



ACL Extendido (Ejemplo 1)

• Deniega el FTP desde la subred 172.16.4.0/24 a la subred 172.16.3.0/24 de salida en el interfaz ethernet 0. Permite todo el otro tipo de tráfico



ACL Extendido (Ejemplo 2)

•Deniega sólo el Telnet desde la subred 172.16.4.0/24 saliedo por la ethernet 0.

•Permite el resto del tráfico.



Utilizando ACLs nombrados

Router(config)#ip access-list {standard | extended} nombre

Router(config) {std- | ext-}nacl)[número] {permit | deny} {condiciones de test del access list} {permit | deny} {condiciones de test del access list} no {permit | deny} {ip access list test conditions}

Router(config-if)#ip access-group nombre {in | out}

• El nombre alfanumérico tiene que ser único.

• Permite o deniega sentencias que no tienen número.

• “no” borra el ACL.

• Activa el ACL nombrado IP en el interfaz.



Filtrando el acceso vty del router

• Cinco líneas de terminales virtuales en el router (0 a 4).

• Filtra direcciones que pueden acceder dentro de los puertos vty del router.

• Filtrar el acceso vty hacia afuera del router.



Cómo controlar el acceso vty

• Configurar un ACL estándar.

• Utilizar el modo de configuraicón de linea para filtrar el acceso con el comando access-class.

• Realizar identica restriccción en cada vty.



Comandos vty

• Entrar en la configuración del/los vty

• Restringir las conexiones vty salientes o entrantes para las direcciones del access list

Router(config)#line vty {número_de_vty | rango-vty}

Router(config-line)#access-class número_de_access-list {in | out}



Ejemplo de acceso al vty

• Permite sólo a los hosts de la red 192.168.1.0 0.0.0.255 conectarse al router por vty

access-list 12 permit 192.168.1.0 0.0.0.255(implicit deny all) !line vty 0 4 access-class 12 in

Controlando el acceso de entrada



Principios de configuración de los ACLs

•El orden de los parámetros del access list es crucial.–Recomendación: Utilizar un editor de texo en el PC para crear las sentencias

del access-list, entonces copiar y pegar en el router.

–El proceso de arriba a abajo es importante.

–Poner las restricciones más específicas al principio.

•No reordenar o borrar sentencias.–Utiliza el comando no access-list [número]no access-list [número] para borrar el ACL completo.

–Excepción: Los ACLs nombrados permiten borrar sentencias individuales.

•Un deny está siempre implícito al final de cada access-list.–A no ser que el ACL termine con un explícitop permit any.



Donde colocar los ACLs IP

•Colocar los ACLs extendidos cerca del origen.

•Colocar los ACLs estádard cerca del destino.



Verificando los ACLs

wg_ro_a#show ip interfaces e0Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>



Monitorizando los ACLs

wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data

wg_ro_a#show {protocolo} access-list {número_de_access-list}

wg_ro_a#show access-lists {número_de_access-list}



Bibliografía del Tema 6

• “Guía del Segundo Año” Ed. Cisco Press [Cap.6]

Diapositivas ACLs

Documents

Transcript of Diapositivas ACLs