2. Listas de control de Acceso
¿Qué son?
• Esencialmente son listas de condiciones para poder
acceder a una red o dispositivo.
• Son una herramienta muy poderosa para controlar el
acceso en ambos sentidos: tanto desde como hacia la
red.
• Pueden filtrar tráfico no deseado, y son utilizadas para
implementar políticas de seguridad.
• Al aplicar una lista de acceso, se obliga al router a
analizar cada paquete que atraviesa la interface en
una dirección específica, reduciendo de esta manera la
perfomance del dispositivo.
2
3. Listas de Control de Acceso
¿Cómo trabajan?
• Cada paquete es comparado con cada línea de
la lista de acceso en orden secuencial según han
sido ingresadas.
• La comparación se realiza hasta que se
encuentra una coincidencia.
• NO OLVIDAR – El final implícito de todo lista de
acceso es una denegación de todo tráfico: deny
all
3
4. Listas de Control de Acceso
Tipos
• Listas de Acceso Estándar
• Filtran paquetes IP considerando solamente la
dirección IP de origen.
• Listas de Acceso Extendidas
• Filtran paquetes IP considerando tanto la
dirección de origen como la de destino, y los
números de puerto del encabezado de capa de
transporte.
4
5. Listas de Control de Acceso
¿Dónde las aplico?
• Listas de Acceso de Ingreso
• El paquete es procesado por la lista de acceso
antes de ser enrutado al puerto de salida
• Listas de Acceso de salida
• El paquete es conmutado hacia el puerto de salida
y allí es procesado por la lista de acceso.
5
6. Trafico sin listas de control de acceso
TABLA DE ENRUTAMIENTO
C 172.16.1.0 s0
C 172.16.2.0 s1
R 172.16.3.0 s1
R 172.17.4.0 s1
PAQUETE PAQUETE
IP IP
6
7. Trafico con Listas de Control de
Acceso de ingreso
ip access-group 101 in
TABLA DE ENRUTAMIENTO
ip access-group 101 in
ip access-group 101 in
C 172.16.1.0 s0
ip access-group 101 in
C 172.16.2.0 s1
ip access-group 101 in
R 172.16.3.0 s1
ip access-group R 172.17.4.0
101 in s1
ip access-group 101 in
ip access-group 101 in
ip access-group 101 in
ip access-group 101 in
PAQUETE
ip access-group 101 in
ip access-group 101 in
ip IP
access-group 101 in
ip access-group 101 in
ip access-group 101 in
ip access-group 101 in
DROP
ip access-group 101 in
7
8. Trafico con Listas de Control de
Acceso de salida
ip access-group 101 out
TABLA DE ENRUTAMIENTO
ip access-group 101 out
C 172.16.1.0 ip access-group
s0 101 out
C 172.16.2.0 ip access-group
s1 101 out
R 172.16.3.0 ip access-group
s1 101 out
R 172.17.4.0 ip s1
access-group 101 out
ip access-group 101 out
ip access-group 101 out
ip access-group 101 out
ip access-group 101 out
PAQUETE ip access-group 101 out
ip access-group 101 out
IP ip access-group 101 out
ip access-group 101 out
ip access-group 101 out
ip access-group 101 out
ip DROP
access-group 101 out
8
9. Recomendaciones para la aplicación
de Listas de Control de Acceso
• Solo se puede asignar una lista de acceso por interface
• Organice su lista de acceso de modo que los criterios
más específicos estén al inicio.
• Si en algún momento agrega una nueva línea a la lista,
esta se ubicará al final de la misma.
• No se puede remover una línea de una lista de acceso.
• Al menos que su lista termine con un comando permit,
todo los paquetes que no coincidan con alguno de los
criterios serán descartados.
9
10. Recomendaciones para la aplicación
de Listas de Control de Acceso
• Toda lista de acceso debe tener al menos un
comando permit.
• Primero cree la lista de acceso, y luego aplíquela a
la interface.
• Las listas de acceso están diseñadas para filtrar el
tráfico que atraviesa el router. No filtran el tráfico
originado en el router.
• Ubique las listas de acceso estándar lo más cerca
posible del destino.
• Ubique las listas de acceso extendidas lo más cerca
posible del origen.
10
11. Listas de Control de Acceso
Estandar
Utilice el comando access-list....
Router(config)#access-list ?
<1-99> IP standard access list
11
12. Lista de acceso estándar
Configuración
• Utilice el comando access-list....
• Debe indicar si va a introducir un comando de permiso o
denegación de acceso
Router(config)#access-list 10 ?
deny Specify packets to reject
Permit Specify packets to forward
12
13. Lista de acceso estándar
Configuración
• Utilice el comando access-list....
• Debe indicar si va a introducir un comando de permiso o
denegación de acceso
• Puede filtrar tanto un host específico como un grupo de
direcciones o referirse a cualquier host de origen.
Router(config)#access-list 10 deny ?
Hostname or A.B.C.D Address to match
any Any source host
host A single host address
13
14. Lista de acceso estándar
Configuración
• El uso de máscaras de wildcard permite especificar tanto un
host individual como un grupo de hosts, subred o red de origen.
• La máscara de wildcard debe acompañaba la dirección de la
red, subred o host que se desea filtrar.
• En esta máscara, el dígito binario en 0 indica que los mismos
dígitos de la dirección IP deben coincidir exactamente.
Router(config)#access-list 10 deny 192.168.2.10 0.0.0.0
Máscara de wildcard
Dirección IP de origen
14
15. Lista de acceso estándar
Configuración
• El uso de máscaras de wildcard permite especificar tanto un
host individual como un grupo, subred o red de origen.
• Aplique la lista de acceso a la interface
Router(config)#interface serial 0
Router(config-if)#access-group 10 out
15
16. Máscara de wildcard (recomendaciones)
• Dirección binaria de 32 dígitos divididos en 4
octetos.
• A diferencia de las máscaras de subred, los 0
indican los dígitos significativos a considerar.
• El comando host reemplaza a una máscara de
wildcard 0.0.0.0
• El comando any reemplaza a una máscara de
wildcard 255.255.255.255
• La máscara de wildcard no necesariamente toma
una red o subred completa, puede también
considerar bits aislados.
16
17. Lista de acceso extendida
Configuración
• Como para las listas de acceso estándar, utilice el comando
access-list....
Router(config)#access-list ?
<100-199> IP extended access list
17
18. Lista de acceso extendida
Configuración
• Como para las listas de acceso estándar, utilice el comando
access-list....
• Ahora, debe indicar si va a introducir un comando de permiso
o denegación de acceso.
Router(config)#access-list 105 ?
deny Specify packets to reject
Permit Specify packets to forward
18
19. Lista de acceso extendida
Configuración
• Como para las listas de acceso estándar, utilice el comando
access-list....
• Ahora, debe indicar si va a introducir un comando de permiso
o denegación de acceso.
• Si desea establecer un filtro utilizando criterios de capa de
aplicación, debe seleccionar ahora el protocolo que desea
filtrar
Router(config)#access-list 105 deny ?
eigrp Cisco’s EIGRP routing protocol
gre Cisco’s GRE tunneling
--more--
19
20. Lista de acceso extendida
Configuración
• A continuación debe ingresarse la dirección IP de origen que
se desea filtrar, utilizando la máscara de wildcard para indicar
un host, red, subred o grupo.
Router(config)#access-list 105 deny tcp ?
A.B.C.D Source address
Any Any source host
Host A single source host
20
21. Lista de acceso extendida
Configuración
• A continuación debe ingresarse la dirección IP de origen que
se desea filtrar, utilizando la máscara de wildcard para indicar
un host, red, subred o grupo.
• Luego debe ingresar la dirección IP de destino, con los
mismos criterios.
Router(config)#access-list 105 deny tcp host
192.168.2.5 ?
A.B.C.D source address
Any any source host
Host A single source host
21
22. Lista de acceso extendida
Configuración
• A continuación debe ingresarse la dirección IP de origen que
se desea filtrar, utilizando la máscara de wildcard para indicar
un host, red, subred o grupo.
• Luego debe ingresar la dirección IP de destino, con los
mismos criterios.
• Finalmente, el sistema le requerirá que ingrese el puerto TCP
de destino
Router(config)#access-list 105 deny tcp host 192.168.2.5 any ?
eq Match only packets on a give port numer
gt Match only packets with a grater port number
--more--
22
23. Lista de acceso extendida
Configuración
Router(config)#access-list 105 deny tcp host 192.168.2.5 any eq 21
Router(
ACL IP extendida
Deniega el acceso
Paquetes TCP Puerto TCP de destino
Dirección IP de destino
Dirección IP de origen
¿Por qué no interesa filtrar también según puerto TCP de origen?
23
25. Lista de acceso nombradas
recomendaciones
• Pueden ser tanto listas de acceso estándar como
extendidas.
• No se identifican por un número sino por un
nombre.
• Se crean dentro de un submodo de configuración
de las listas de acceso nombradas.
• Permiten editar las líneas de la lista sin necesidad
de borrarlas.
25
26. Lista de acceso nombradas
Configuración
1. Cree la lista de acceso nombrada
Rter(config)#ip access-list extended server-access
Rter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp
Rter(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain
Rter(config-ext-nacl)#Ctrl+Z
1. Aplíquela a la interface que corresponda
Rter(config)#interface ethernet 0
Rter(config-if)#ip access-group server-access out
Rter(config-if)#Ctrl+Z
26