SlideShare una empresa de Scribd logo

Acl

A
ANALI GOMEZ
1 de 6
Descargar para leer sin conexión
9. ADMINISTRACIÓN DEL TRÁFICO EN LA RED El funcionamiento de la red suele requerir que el Administrador establezca restricciones de acceso y prioridades en el tráfico de la red a fin de hacer más eficiente su desempeño y brindar mayor seguridad a las recursos y la información transmitida. El Cisco IOS proporciona funcionalidades básicas de filtrado de tráfico a partir del uso de Listas de Control de Acceso (ACL). Una lista de control de acceso es una enumeración secuencial de indicaciones de permiso y/o prohibición para determinadas direcciones y/o protocolos de capa superior específicos. Algunas razones para implementar listas de acceso: • Limitar el tráfico de la red como una manera de mejorar su performance. • Implementar controles para el flujo de tráfico. • Brindar un nivel de seguridad básico. • Especificar que determinado tipo de tráfico (aplicación o protocolo) sea reenviado o bloqueado en la interfase de un dispositivo. Reglas de funcionamiento de ACL ! Se puede configurar una sola lista en cada interfase por sentido del tráfico (entrante / saliente), por protocolo de enrutamiento (IP, IPX, etc.). ! Cada lista de acceso es identificada por un ID único (un numérico o alfanumérico). En el caso de las listas numeradas, este ID identifica el tipo de lista de acceso y las diferencia de otras semejantes. ! Cada paquete que ingresa o sale de la interfase es comparado con cada línea de la lista secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la primera ingresada. ! La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que el paquete cumple la condición de una línea, se ejecuta la acción indicada y no se sigue comparando. ! Hay un deny all implícito al final de cada lista de acceso, que no es visible. Por lo tanto, si el paquete no coincide con ninguna de las premisas declaradas en la lista será descartado. ! Los filtros de tráfico saliente no afectan el tráfico originado en el mismo router. ! Las listas de acceso IP al descartar un paquete envían al origen un mensaje ICMP de “host de destino inalcanzable”. ! Tener en cuenta que al activar listas de acceso el router automáticamente conmuta de fast switching a process switching. o Fast Switching – Feature de los routers Cisco que utiliza un cache del router para conmutar rápidamente los paquetes hacia el puerto de salida sin necesidad de seleccionar la ruta para cada paquete que tiene una misma dirección de destino. o Process Switching – Operación que realiza una evaluación completa de la ruta por paquete. Implica la transmisión completa del paquete al CPU del router donde será re-encapsulado para ser entregado a través de la interfase de destino. El router realiza la selección de la ruta para cada paquete. Es la operación que requiere una utilización más intensiva de los recursos del router. APUNTE BÁSICO DE NETWORKING – V. 1.0 - 114
Tipos de listas de acceso IP e IPX ! Listas de acceso estándar - Listas IP: permiten filtrar únicamente direcciones IP de origen. Listas IPX: filtran tanto direcciones IPX de origen como de destino. ! Listas de acceso extendidas - Listas IP: verifican direcciones de origen y destino, protocolo de capa 3 y puerto de capa 4. Listas IPX: Permiten filtrar además de las direcciones IPX de origen y destino, a través del valor del campo protocolo del encabezado de capa 3 y el número de socket del encabezado de capa 4. ! Listas de acceso nombradas – Listas de acceso IP tanto estándar como extendidas que verifican direcciones de origen y destino, procolos de capa 3 y puertos de capa 4, identificadas con una cadena de caracteres alfanuméricos. A diferencia de las listas de acceso numeradas, se configuran en un submodo propio y son editables. ! Filtros IPX SAP - Se utilizan para controlar el tráfico de paquetes SAP tanto a nivel LAN como WAN. Son un mecanismo útil para controlar el acceso a los dispositivos IPX. ! Lista de acceso entrante – Controlan el tráfico que ingresa al router a través del puerto en el que está aplicada, y antes de que sea conmutado a la interface de salida. ! Lista de acceso saliente – Controlan el tráfico saliente del router a través del puerto en que está aplicada, una vez que ya ha sido conmutado. Número de lista de accesso: El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un número de lista de acceso. El listado completo de números de listas de acceso y su significado se puede consultar en el IOS a partir del modo configuración tipeando: Router(config)#access-list ? 1-99 IP estándar 100-199 IP extendida 200-299 Protocol type code 300-399 DECnet 400-499 XNS estándar 500-599 XNS extendida 600-699 AppleTalk 700-799 48 bit MAC address estándar 800-899 IPX estándar 900-999 IPX extendida 1000-1099 IPX SAP 1100-1199 48 bit MAC address extendida 1200-1299 IPX summary address APUNTE BÁSICO DE NETWORKING – V. 1.0 - 115
Números de puerto En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se puede también especificar la aplicación que se desea filtrar a través del número de puerto. FTP Data = 20 TCP FTP = 21 TCP Telnet = 23 TCP SMTP = 25 TCP Time = 37 UDP TACACS = 49 UDP DNS = 53 UDP DHCP server = 67 UDP DHCP client = 68 UDP TFTP = 69 UDP Gopher = 70 UDP Finger = 79 UDP HTTP = 80 TCP POP3 = 110 TCP RPC = 111 UDP NetBIOS name = 137 UDP NetBIOS datag = 138 UDP NetBIO session = 139 UDP SNMP = 161 UDP IRC = 194 Máscara de wildcard Las máscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP. En las máscaras de wildcar el dígito en 0 (cero) indica una posición que debe ser comprobada, mientras que el dígito 1 (uno) indica una posición que carece de importancia. La máscara se aplica a una dirección IP específica contenida en la declaración de la ACL y a la dirección de los paquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete el criterio de permiso o denegación enunciado en la línea correspondiente. 172.16.14.33 0.0.0.0 Indica que se debe seleccionar únicamente la dirección IP declarada. 172.16.14.44 0.0.0.255 Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y 172.16.14.255 (no discrimina respecto del cuarto octeto). APUNTE BÁSICO DE NETWORKING – V. 1.0 - 116
172.16.14.14 0.0.255.255 Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del número de host –los dos últimos bits-). Algunas reglas de cálculo 1. Cuando se desea filtrar una red completa, la máscara de wildcard es el complemento de la máscara de subred por defecto: Dirección de red: 172. 16. 0 . 0 Máscara de subred por defecto: 255.255. 0 . 0 Máscara de wildcard: 0 . 0 .255.255 2. Cuando se desea filtrar una subred completa, la máscara de wildcard es el complemento de la máscara de subred que se esté aplicando: Dirección de subred: 172. 16. 30. 0/24 Máscara de subred por defecto: 255.255.255. 0 Máscara de wildcard: 0 . 0 . 0 .255 Dirección de subred: 172. 16. 32. 0/20 Máscara de subred por defecto: 255.255.240. 0 Máscara de wildcard: 0 . 0 . 15.255 Configuración de las listas En el proceso de configuración de las listas de acceso deben distinguirse 2 etapas: 1. creación de la lista de acceso en modo configuración global 2. asignación de esa lista a un puerto de modo entrante o saliente. Listas de acceso IP estándar Router(config)#access-list [1-99] [permit/demy] [IP origen] Router(config)#interface serial 1 Router(config-if)#ip access-group [1-99] [in/out] Listas de acceso IP extendida Router(config)#access-list [100-199] [permit/demy] [protocolo][IP origen] [IP destino] [tipo servicio] Router(config)#interface serial 1 Router(config-if)#ip access-group [100-199] [in/out] Listas de acceso IP nombradas Router (config)#ip access-list [standard/extended] [nombre] Para configurar una lista de acceso ip nombrada estándar: Router (config-std-nacl)#[permit/demy] [IP origen] APUNTE BÁSICO DE NETWORKING – V. 1.0 - 117
Para configurar una lista de acceso ip nombrada extendida: Router (config-ext-nacl)#[permit/demy] [protocolo][IP origen] [IP destino] [tipo servicio] Listas de acceso IPX estándar Router(config)#access-list [800-899] [permit/demy] [dirección IPX origen] [dirección IPX destino] Nota: el valor -1 en el campo correspondiente a las direcciones de origen y/o destino indica cualquier origen o destino. Router(config)#interface serial 1 Router(config-if)#ipx access-group [800-899] [in/out] Listas de acceso IPX extendida Router(config)#access-list [900-999] [permit/demy] [protocolo][dirección IPX origen] [dirección IPX destino] [socket] Router(config)#interface serial 1 Router(config-if)#ipx access-group [900-999] [in/out] Filtros IPX SAP Router(config)#access-list [1000-1099] [permit/demy] [dirección IPX origen] [servicio] Nota: el valor 0 en el campo servicio indica “todos los servicios”. Router(config)#interface serial 1 Router(config-if)#ipx [input/output]-sap-filter [1000-1099] Filtros aplicados a terminales virtuales Se pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estándar a fin de limitar las direcciones IP a partir de las cuales se podrá conectar al dispositivo vía telnet. Un ejemplo: Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in Comandos especiales En algunos casos especiales, un comando puede reemplazar una máscara de wilcard, con el mismo efecto: xxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx 0.0.0.0 255.255.255.255 = any -1 = any IPX network remark utilizado en lugar de la opción permit/deny, permite insertar comentarios en una lista de acceso. Si no se especifica una máscara por defecto, el sistema operativo asume la máscara por defecto: 0.0.0.0 En consecuencia, las siguientes formas son equivalentes: Router(config)#access-list 10 permit 172.16.10.3 0.0.0.0 APUNTE BÁSICO DE NETWORKING – V. 1.0 - 118
Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#access-list 10 permit 172.16.10.3 Monitoreo de las listas Router#show access-list [#] muestra las listas y el contenido de todas las ACL o una en particular. No permite verificar a qué interfase están aplicadas. Router#show ip access-list muestra solamente la configuración de ACL IP. Router#show ipx access-list muestra solamente la configuración de ACL IPX. Router#show ip interface muestra los puertos que tienen aplicadas ACL IP. Router#show ipx interface muestra los puertos que tienen aplicadas ACL IPX. Router#show running-config muestra tanto las listas de acceso configuradas, como la que se encuentran aplicadas a cada interfase. Para ver un detalle de la información brindada por cada comando show, vea el “Anexo 1 – Comandos IOS para Monitoreo”. Tips de aplicación ! Antes de comenzar a trabajar sobre una lista de acceso existente, desvincúlela de todas las interfases a las que se encuentre asociada. ! No se puede remover una única línea de una lista de acceso numerada (no son editables). ! Ya que las listas numeradas no son editables, es una buena práctica -para mantener un proceso de edición más simple-, recurrir al uso de un editor de texto. ! Cada vez que agrega una línea a la lista de acceso, esta se ubicará a continuación de las líneas existentes, al final. ! Organice su lista de acceso de modo que los criterios más específicos estén al comienzo de la misma, y luego las premisas más generales. ! Coloque primero los permisos y luego las denegaciones. ! Toda lista debe incluir al menos un comando permit. ! Las listas no filtran el tráfico originado en el router. ! Una misma lista de acceso puede ser asignada a varias interfaces en el mismo dispositivo, tanto en modo entrante como saliente. ! Las listas de acceso estándar deben colocarse lo más cerca posible del destino del tráfico. ! Las listas de acceso extendidas deben colocarse lo más cerca posible del origen del tráfico que será denegado. APUNTE BÁSICO DE NETWORKING – V. 1.0 - 119

Recomendados

4.1 Routing OSPF - AREA UNICA
4.1 Routing OSPF - AREA UNICA4.1 Routing OSPF - AREA UNICA
4.1 Routing OSPF - AREA UNICADavid Narváez
 
3.1 Capa IP direccionamiento subredes
3.1 Capa IP direccionamiento subredes3.1 Capa IP direccionamiento subredes
3.1 Capa IP direccionamiento subredesDavid Narváez
 
5.1 Redes y Subredes ip
5.1 Redes y Subredes ip5.1 Redes y Subredes ip
5.1 Redes y Subredes ipDavid Narváez
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0Gianpietro Lavado
 
Subneting
SubnetingSubneting
SubnetingNadin David Herrera
 
Secuencia DORA del protocolo ARP analizado con wireshark
Secuencia DORA del protocolo ARP analizado con wiresharkSecuencia DORA del protocolo ARP analizado con wireshark
Secuencia DORA del protocolo ARP analizado con wireshark123
 
Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)
Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)
Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)narcisa Crespo
 
Utilerias
UtileriasUtilerias
UtileriasAlicia Delgado Ibarra
 

Recomendados

4.1 Routing OSPF - AREA UNICA
4.1 Routing OSPF - AREA UNICA4.1 Routing OSPF - AREA UNICA
4.1 Routing OSPF - AREA UNICADavid Narváez
 
3.1 Capa IP direccionamiento subredes
3.1 Capa IP direccionamiento subredes3.1 Capa IP direccionamiento subredes
3.1 Capa IP direccionamiento subredesDavid Narváez
 
5.1 Redes y Subredes ip
5.1 Redes y Subredes ip5.1 Redes y Subredes ip
5.1 Redes y Subredes ipDavid Narváez
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0Gianpietro Lavado
 
Subneting
SubnetingSubneting
SubnetingNadin David Herrera
 
Secuencia DORA del protocolo ARP analizado con wireshark
Secuencia DORA del protocolo ARP analizado con wiresharkSecuencia DORA del protocolo ARP analizado con wireshark
Secuencia DORA del protocolo ARP analizado con wireshark123
 
Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)
Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)
Enrutamiento Estático y Dinamicos (RIP v2 y OSPF)narcisa Crespo
 
Utilerias
UtileriasUtilerias
UtileriasAlicia Delgado Ibarra
 
Redes II Practica 5 OSPF
Redes II Practica 5 OSPFRedes II Practica 5 OSPF
Redes II Practica 5 OSPFLuis Reyes
 
Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1malepaz14
 
Utilerias 6 e_campos,rivera,parra.
Utilerias 6 e_campos,rivera,parra.Utilerias 6 e_campos,rivera,parra.
Utilerias 6 e_campos,rivera,parra.Alejandra5432
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0Gianpietro Lavado
 
Utilerias
UtileriasUtilerias
UtileriasEdgar Valenzuela
 
Introducción Administración de Redes
Introducción Administración de Redes Introducción Administración de Redes
Introducción Administración de Redes David Narváez
 
Modulo
ModuloModulo
Modulorancruel027
 
Cap 07 dhcp y nat
Cap 07 dhcp y natCap 07 dhcp y nat
Cap 07 dhcp y natcequiroz2011
 
Rut500 guía de configuración rápida
Rut500 guía de configuración rápidaRut500 guía de configuración rápida
Rut500 guía de configuración rápidaDAVANTEL
 
Voz_IP.pdf
Voz_IP.pdfVoz_IP.pdf
Voz_IP.pdfFernando Velez Varela
 
Comandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionComandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionAnder Alvarado
 
Ospf pptx702847865
Ospf pptx702847865Ospf pptx702847865
Ospf pptx702847865Sulay Pereira
 
2 vlans
2 vlans2 vlans
2 vlansNataliav9
 
RUT955 Puerto rs232-485-422, dio y gps
RUT955 Puerto rs232-485-422, dio y gpsRUT955 Puerto rs232-485-422, dio y gps
RUT955 Puerto rs232-485-422, dio y gpsJosé Ramón Salvador Collado
 
Intro bgp networking ii
Intro bgp networking iiIntro bgp networking ii
Intro bgp networking iiUTP
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracerJosé Guerrero
 
Redes practica4 sistemas10-11
Redes practica4 sistemas10-11Redes practica4 sistemas10-11
Redes practica4 sistemas10-11Nataliav9
 
01C2 Enrutamiento Estático
01C2 Enrutamiento Estático01C2 Enrutamiento Estático
01C2 Enrutamiento EstáticoDavid Narváez
 
Laboratorio4 enrutamiento estatico
Laboratorio4 enrutamiento estaticoLaboratorio4 enrutamiento estatico
Laboratorio4 enrutamiento estaticoANGELDAVIDCRUZCONDOR
 
Cisco packet tracer tutorial
Cisco packet tracer tutorialCisco packet tracer tutorial
Cisco packet tracer tutorialrobsonmok
 
GRANDES INVENTOS
GRANDES INVENTOSGRANDES INVENTOS
GRANDES INVENTOSelzurdo214
 
Presentació Sistemes Binaris
Presentació Sistemes BinarisPresentació Sistemes Binaris
Presentació Sistemes Binariswaltermap
 

Más contenido relacionado

La actualidad más candente

Redes II Practica 5 OSPF
Redes II Practica 5 OSPFRedes II Practica 5 OSPF
Redes II Practica 5 OSPFLuis Reyes
 
Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1malepaz14
 
Utilerias 6 e_campos,rivera,parra.
Utilerias 6 e_campos,rivera,parra.Utilerias 6 e_campos,rivera,parra.
Utilerias 6 e_campos,rivera,parra.Alejandra5432
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0Gianpietro Lavado
 
Introducción Administración de Redes
Introducción Administración de Redes Introducción Administración de Redes
Introducción Administración de Redes David Narváez
 
Rut500 guía de configuración rápida
Rut500 guía de configuración rápidaRut500 guía de configuración rápida
Rut500 guía de configuración rápidaDAVANTEL
 
Comandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionComandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionAnder Alvarado
 
Intro bgp networking ii
Intro bgp networking iiIntro bgp networking ii
Intro bgp networking iiUTP
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracerJosé Guerrero
 
Redes practica4 sistemas10-11
Redes practica4 sistemas10-11Redes practica4 sistemas10-11
Redes practica4 sistemas10-11Nataliav9
 
01C2 Enrutamiento Estático
01C2 Enrutamiento Estático01C2 Enrutamiento Estático
01C2 Enrutamiento EstáticoDavid Narváez
 
Laboratorio4 enrutamiento estatico
Laboratorio4 enrutamiento estaticoLaboratorio4 enrutamiento estatico
Laboratorio4 enrutamiento estaticoANGELDAVIDCRUZCONDOR
 
Cisco packet tracer tutorial
Cisco packet tracer tutorialCisco packet tracer tutorial
Cisco packet tracer tutorialrobsonmok
 

La actualidad más candente (20)

Redes II Practica 5 OSPF
Redes II Practica 5 OSPFRedes II Practica 5 OSPF
Redes II Practica 5 OSPF
 
Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1
 
Utilerias 6 e_campos,rivera,parra.
Utilerias 6 e_campos,rivera,parra.Utilerias 6 e_campos,rivera,parra.
Utilerias 6 e_campos,rivera,parra.
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0
 
Utilerias
UtileriasUtilerias
Utilerias
 
Introducción Administración de Redes
Introducción Administración de Redes Introducción Administración de Redes
Introducción Administración de Redes
 
Modulo
ModuloModulo
Modulo
 
Cap 07 dhcp y nat
Cap 07 dhcp y natCap 07 dhcp y nat
Cap 07 dhcp y nat
 
Rut500 guía de configuración rápida
Rut500 guía de configuración rápidaRut500 guía de configuración rápida
Rut500 guía de configuración rápida
 
Voz_IP.pdf
Voz_IP.pdfVoz_IP.pdf
Voz_IP.pdf
 
Comandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionComandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacion
 
Ospf pptx702847865
Ospf pptx702847865Ospf pptx702847865
Ospf pptx702847865
 
2 vlans
2 vlans2 vlans
2 vlans
 
RUT955 Puerto rs232-485-422, dio y gps
RUT955 Puerto rs232-485-422, dio y gpsRUT955 Puerto rs232-485-422, dio y gps
RUT955 Puerto rs232-485-422, dio y gps
 
Intro bgp networking ii
Intro bgp networking iiIntro bgp networking ii
Intro bgp networking ii
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracer
 
Redes practica4 sistemas10-11
Redes practica4 sistemas10-11Redes practica4 sistemas10-11
Redes practica4 sistemas10-11
 
01C2 Enrutamiento Estático
01C2 Enrutamiento Estático01C2 Enrutamiento Estático
01C2 Enrutamiento Estático
 
Laboratorio4 enrutamiento estatico
Laboratorio4 enrutamiento estaticoLaboratorio4 enrutamiento estatico
Laboratorio4 enrutamiento estatico
 
Cisco packet tracer tutorial
Cisco packet tracer tutorialCisco packet tracer tutorial
Cisco packet tracer tutorial
 

Destacado

GRANDES INVENTOS
GRANDES INVENTOSGRANDES INVENTOS
GRANDES INVENTOSelzurdo214
 
Presentació Sistemes Binaris
Presentació Sistemes BinarisPresentació Sistemes Binaris
Presentació Sistemes Binariswaltermap
 
1.sistema curricular
1.sistema curricular1.sistema curricular
1.sistema curricularluis3072
 
Dofa de algunas empresas colombianas emprendedoras
Dofa de algunas empresas colombianas emprendedorasDofa de algunas empresas colombianas emprendedoras
Dofa de algunas empresas colombianas emprendedorasMayerly18
 
eAqua und europeana4D - 2009
eAqua und europeana4D - 2009eAqua und europeana4D - 2009
eAqua und europeana4D - 2009Ralf Stockmann
 
Cyberbullying en las redes sociales
Cyberbullying en las redes socialesCyberbullying en las redes sociales
Cyberbullying en las redes socialesrbt1999
 
Mein täglicher check sebastian leutgeb
Mein täglicher check sebastian leutgebMein täglicher check sebastian leutgeb
Mein täglicher check sebastian leutgebsebastianleutgeb
 
Los juicios orales en puebla
Los juicios orales en pueblaLos juicios orales en puebla
Los juicios orales en pueblaHades2310
 
Graficadires y hoja de electrpnica tics
Graficadires y hoja de electrpnica tics Graficadires y hoja de electrpnica tics
Graficadires y hoja de electrpnica tics Evelyn Soria
 

Destacado (20)

GRANDES INVENTOS
GRANDES INVENTOSGRANDES INVENTOS
GRANDES INVENTOS
 
Presentació Sistemes Binaris
Presentació Sistemes BinarisPresentació Sistemes Binaris
Presentació Sistemes Binaris
 
1.sistema curricular
1.sistema curricular1.sistema curricular
1.sistema curricular
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronico
 
Dofa de algunas empresas colombianas emprendedoras
Dofa de algunas empresas colombianas emprendedorasDofa de algunas empresas colombianas emprendedoras
Dofa de algunas empresas colombianas emprendedoras
 
Transformadores
TransformadoresTransformadores
Transformadores
 
Yuli gimenez
Yuli gimenezYuli gimenez
Yuli gimenez
 
eAqua und europeana4D - 2009
eAqua und europeana4D - 2009eAqua und europeana4D - 2009
eAqua und europeana4D - 2009
 
Aprende Decimales
Aprende DecimalesAprende Decimales
Aprende Decimales
 
Defensa de 1 vs 2
Defensa de 1 vs 2Defensa de 1 vs 2
Defensa de 1 vs 2
 
Adicción a la tecnología
Adicción a la tecnologíaAdicción a la tecnología
Adicción a la tecnología
 
Ejecutivo
EjecutivoEjecutivo
Ejecutivo
 
2015 dgo. xxvi to.
2015 dgo. xxvi to.2015 dgo. xxvi to.
2015 dgo. xxvi to.
 
Cyberbullying en las redes sociales
Cyberbullying en las redes socialesCyberbullying en las redes sociales
Cyberbullying en las redes sociales
 
Ejercicios estadistica
Ejercicios estadistica Ejercicios estadistica
Ejercicios estadistica
 
Mein täglicher check sebastian leutgeb
Mein täglicher check sebastian leutgebMein täglicher check sebastian leutgeb
Mein täglicher check sebastian leutgeb
 
DPSG-Jahresaktion 2014
DPSG-Jahresaktion 2014DPSG-Jahresaktion 2014
DPSG-Jahresaktion 2014
 
Los juicios orales en puebla
Los juicios orales en pueblaLos juicios orales en puebla
Los juicios orales en puebla
 
Presentation1
Presentation1Presentation1
Presentation1
 
Graficadires y hoja de electrpnica tics
Graficadires y hoja de electrpnica tics Graficadires y hoja de electrpnica tics
Graficadires y hoja de electrpnica tics
 

Similar a Acl

Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-accesoalfredorata
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxManuelAlejandroUlloa3
 
3.1 Capa IP - Direccionamiento Subredes
3.1 Capa IP - Direccionamiento Subredes3.1 Capa IP - Direccionamiento Subredes
3.1 Capa IP - Direccionamiento SubredesDavid Narváez
 
Introducción a redes lan
Introducción a redes lanIntroducción a redes lan
Introducción a redes lanJose Ayala
 
Protocolos de internet
Protocolos de internetProtocolos de internet
Protocolos de internetXXXJP
 
Protocolos de red clase 3
Protocolos de red clase 3Protocolos de red clase 3
Protocolos de red clase 3ing_jlcarrillo
 
Elementos de una red (1)
Elementos de una red (1)Elementos de una red (1)
Elementos de una red (1)SYMAECOFFICIAL
 
Cisco4
Cisco4Cisco4
Cisco41 2d
 
Cisco4
Cisco4Cisco4
Cisco41 2d
 
Herramientas de red de los sistemas operativos
Herramientas de red de los sistemas operativosHerramientas de red de los sistemas operativos
Herramientas de red de los sistemas operativosyoes1053
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p11 2d
 
Prueba preliminar ccna3
Prueba preliminar ccna3Prueba preliminar ccna3
Prueba preliminar ccna3Oriel Mojica
 
Conceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFConceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFFrancesc Perez
 
Resumen sistemas de conmutacion redes ip
Resumen sistemas de conmutacion redes ipResumen sistemas de conmutacion redes ip
Resumen sistemas de conmutacion redes ipCamilo Ibarra Yepez
 
Mascara de red
Mascara de redMascara de red
Mascara de redjsaroca5
 
Capa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALESCapa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALESArlys Cr
 

Similar a Acl (20)

Acl en windows
Acl en windowsAcl en windows
Acl en windows
 
Acl conceptos
Acl conceptosAcl conceptos
Acl conceptos
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-acceso
 
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docxCABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
CABLEADO_ESTRUCTURADO_Norma_EIA_TIA_568A.docx
 
Utilerias
UtileriasUtilerias
Utilerias
 
3.1 Capa IP - Direccionamiento Subredes
3.1 Capa IP - Direccionamiento Subredes3.1 Capa IP - Direccionamiento Subredes
3.1 Capa IP - Direccionamiento Subredes
 
Introducción a redes lan
Introducción a redes lanIntroducción a redes lan
Introducción a redes lan
 
Protocolos de internet
Protocolos de internetProtocolos de internet
Protocolos de internet
 
Protocolos de red clase 3
Protocolos de red clase 3Protocolos de red clase 3
Protocolos de red clase 3
 
Elementos de una red (1)
Elementos de una red (1)Elementos de una red (1)
Elementos de una red (1)
 
Cisco4
Cisco4Cisco4
Cisco4
 
Cisco4
Cisco4Cisco4
Cisco4
 
Herramientas de red de los sistemas operativos
Herramientas de red de los sistemas operativosHerramientas de red de los sistemas operativos
Herramientas de red de los sistemas operativos
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p1
 
Prueba preliminar ccna3
Prueba preliminar ccna3Prueba preliminar ccna3
Prueba preliminar ccna3
 
Conceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPFConceptos y protocolos de enrutamiento: 11. OSPF
Conceptos y protocolos de enrutamiento: 11. OSPF
 
Resumen sistemas de conmutacion redes ip
Resumen sistemas de conmutacion redes ipResumen sistemas de conmutacion redes ip
Resumen sistemas de conmutacion redes ip
 
Mascara de red
Mascara de redMascara de red
Mascara de red
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
 
Capa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALESCapa de Transporte- REDES INFORMATICAS EMPRESARIALES
Capa de Transporte- REDES INFORMATICAS EMPRESARIALES
 

Acl

  • 1. 9. ADMINISTRACIÓN DEL TRÁFICO EN LA RED El funcionamiento de la red suele requerir que el Administrador establezca restricciones de acceso y prioridades en el tráfico de la red a fin de hacer más eficiente su desempeño y brindar mayor seguridad a las recursos y la información transmitida. El Cisco IOS proporciona funcionalidades básicas de filtrado de tráfico a partir del uso de Listas de Control de Acceso (ACL). Una lista de control de acceso es una enumeración secuencial de indicaciones de permiso y/o prohibición para determinadas direcciones y/o protocolos de capa superior específicos. Algunas razones para implementar listas de acceso: • Limitar el tráfico de la red como una manera de mejorar su performance. • Implementar controles para el flujo de tráfico. • Brindar un nivel de seguridad básico. • Especificar que determinado tipo de tráfico (aplicación o protocolo) sea reenviado o bloqueado en la interfase de un dispositivo. Reglas de funcionamiento de ACL ! Se puede configurar una sola lista en cada interfase por sentido del tráfico (entrante / saliente), por protocolo de enrutamiento (IP, IPX, etc.). ! Cada lista de acceso es identificada por un ID único (un numérico o alfanumérico). En el caso de las listas numeradas, este ID identifica el tipo de lista de acceso y las diferencia de otras semejantes. ! Cada paquete que ingresa o sale de la interfase es comparado con cada línea de la lista secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la primera ingresada. ! La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que el paquete cumple la condición de una línea, se ejecuta la acción indicada y no se sigue comparando. ! Hay un deny all implícito al final de cada lista de acceso, que no es visible. Por lo tanto, si el paquete no coincide con ninguna de las premisas declaradas en la lista será descartado. ! Los filtros de tráfico saliente no afectan el tráfico originado en el mismo router. ! Las listas de acceso IP al descartar un paquete envían al origen un mensaje ICMP de “host de destino inalcanzable”. ! Tener en cuenta que al activar listas de acceso el router automáticamente conmuta de fast switching a process switching. o Fast Switching – Feature de los routers Cisco que utiliza un cache del router para conmutar rápidamente los paquetes hacia el puerto de salida sin necesidad de seleccionar la ruta para cada paquete que tiene una misma dirección de destino. o Process Switching – Operación que realiza una evaluación completa de la ruta por paquete. Implica la transmisión completa del paquete al CPU del router donde será re-encapsulado para ser entregado a través de la interfase de destino. El router realiza la selección de la ruta para cada paquete. Es la operación que requiere una utilización más intensiva de los recursos del router. APUNTE BÁSICO DE NETWORKING – V. 1.0 - 114
  • 2. Tipos de listas de acceso IP e IPX ! Listas de acceso estándar - Listas IP: permiten filtrar únicamente direcciones IP de origen. Listas IPX: filtran tanto direcciones IPX de origen como de destino. ! Listas de acceso extendidas - Listas IP: verifican direcciones de origen y destino, protocolo de capa 3 y puerto de capa 4. Listas IPX: Permiten filtrar además de las direcciones IPX de origen y destino, a través del valor del campo protocolo del encabezado de capa 3 y el número de socket del encabezado de capa 4. ! Listas de acceso nombradas – Listas de acceso IP tanto estándar como extendidas que verifican direcciones de origen y destino, procolos de capa 3 y puertos de capa 4, identificadas con una cadena de caracteres alfanuméricos. A diferencia de las listas de acceso numeradas, se configuran en un submodo propio y son editables. ! Filtros IPX SAP - Se utilizan para controlar el tráfico de paquetes SAP tanto a nivel LAN como WAN. Son un mecanismo útil para controlar el acceso a los dispositivos IPX. ! Lista de acceso entrante – Controlan el tráfico que ingresa al router a través del puerto en el que está aplicada, y antes de que sea conmutado a la interface de salida. ! Lista de acceso saliente – Controlan el tráfico saliente del router a través del puerto en que está aplicada, una vez que ya ha sido conmutado. Número de lista de accesso: El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un número de lista de acceso. El listado completo de números de listas de acceso y su significado se puede consultar en el IOS a partir del modo configuración tipeando: Router(config)#access-list ? 1-99 IP estándar 100-199 IP extendida 200-299 Protocol type code 300-399 DECnet 400-499 XNS estándar 500-599 XNS extendida 600-699 AppleTalk 700-799 48 bit MAC address estándar 800-899 IPX estándar 900-999 IPX extendida 1000-1099 IPX SAP 1100-1199 48 bit MAC address extendida 1200-1299 IPX summary address APUNTE BÁSICO DE NETWORKING – V. 1.0 - 115
  • 3. Números de puerto En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se puede también especificar la aplicación que se desea filtrar a través del número de puerto. FTP Data = 20 TCP FTP = 21 TCP Telnet = 23 TCP SMTP = 25 TCP Time = 37 UDP TACACS = 49 UDP DNS = 53 UDP DHCP server = 67 UDP DHCP client = 68 UDP TFTP = 69 UDP Gopher = 70 UDP Finger = 79 UDP HTTP = 80 TCP POP3 = 110 TCP RPC = 111 UDP NetBIOS name = 137 UDP NetBIOS datag = 138 UDP NetBIO session = 139 UDP SNMP = 161 UDP IRC = 194 Máscara de wildcard Las máscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP. En las máscaras de wildcar el dígito en 0 (cero) indica una posición que debe ser comprobada, mientras que el dígito 1 (uno) indica una posición que carece de importancia. La máscara se aplica a una dirección IP específica contenida en la declaración de la ACL y a la dirección de los paquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete el criterio de permiso o denegación enunciado en la línea correspondiente. 172.16.14.33 0.0.0.0 Indica que se debe seleccionar únicamente la dirección IP declarada. 172.16.14.44 0.0.0.255 Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y 172.16.14.255 (no discrimina respecto del cuarto octeto). APUNTE BÁSICO DE NETWORKING – V. 1.0 - 116
  • 4. 172.16.14.14 0.0.255.255 Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del número de host –los dos últimos bits-). Algunas reglas de cálculo 1. Cuando se desea filtrar una red completa, la máscara de wildcard es el complemento de la máscara de subred por defecto: Dirección de red: 172. 16. 0 . 0 Máscara de subred por defecto: 255.255. 0 . 0 Máscara de wildcard: 0 . 0 .255.255 2. Cuando se desea filtrar una subred completa, la máscara de wildcard es el complemento de la máscara de subred que se esté aplicando: Dirección de subred: 172. 16. 30. 0/24 Máscara de subred por defecto: 255.255.255. 0 Máscara de wildcard: 0 . 0 . 0 .255 Dirección de subred: 172. 16. 32. 0/20 Máscara de subred por defecto: 255.255.240. 0 Máscara de wildcard: 0 . 0 . 15.255 Configuración de las listas En el proceso de configuración de las listas de acceso deben distinguirse 2 etapas: 1. creación de la lista de acceso en modo configuración global 2. asignación de esa lista a un puerto de modo entrante o saliente. Listas de acceso IP estándar Router(config)#access-list [1-99] [permit/demy] [IP origen] Router(config)#interface serial 1 Router(config-if)#ip access-group [1-99] [in/out] Listas de acceso IP extendida Router(config)#access-list [100-199] [permit/demy] [protocolo][IP origen] [IP destino] [tipo servicio] Router(config)#interface serial 1 Router(config-if)#ip access-group [100-199] [in/out] Listas de acceso IP nombradas Router (config)#ip access-list [standard/extended] [nombre] Para configurar una lista de acceso ip nombrada estándar: Router (config-std-nacl)#[permit/demy] [IP origen] APUNTE BÁSICO DE NETWORKING – V. 1.0 - 117
  • 5. Para configurar una lista de acceso ip nombrada extendida: Router (config-ext-nacl)#[permit/demy] [protocolo][IP origen] [IP destino] [tipo servicio] Listas de acceso IPX estándar Router(config)#access-list [800-899] [permit/demy] [dirección IPX origen] [dirección IPX destino] Nota: el valor -1 en el campo correspondiente a las direcciones de origen y/o destino indica cualquier origen o destino. Router(config)#interface serial 1 Router(config-if)#ipx access-group [800-899] [in/out] Listas de acceso IPX extendida Router(config)#access-list [900-999] [permit/demy] [protocolo][dirección IPX origen] [dirección IPX destino] [socket] Router(config)#interface serial 1 Router(config-if)#ipx access-group [900-999] [in/out] Filtros IPX SAP Router(config)#access-list [1000-1099] [permit/demy] [dirección IPX origen] [servicio] Nota: el valor 0 en el campo servicio indica “todos los servicios”. Router(config)#interface serial 1 Router(config-if)#ipx [input/output]-sap-filter [1000-1099] Filtros aplicados a terminales virtuales Se pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estándar a fin de limitar las direcciones IP a partir de las cuales se podrá conectar al dispositivo vía telnet. Un ejemplo: Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in Comandos especiales En algunos casos especiales, un comando puede reemplazar una máscara de wilcard, con el mismo efecto: xxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx 0.0.0.0 255.255.255.255 = any -1 = any IPX network remark utilizado en lugar de la opción permit/deny, permite insertar comentarios en una lista de acceso. Si no se especifica una máscara por defecto, el sistema operativo asume la máscara por defecto: 0.0.0.0 En consecuencia, las siguientes formas son equivalentes: Router(config)#access-list 10 permit 172.16.10.3 0.0.0.0 APUNTE BÁSICO DE NETWORKING – V. 1.0 - 118
  • 6. Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#access-list 10 permit 172.16.10.3 Monitoreo de las listas Router#show access-list [#] muestra las listas y el contenido de todas las ACL o una en particular. No permite verificar a qué interfase están aplicadas. Router#show ip access-list muestra solamente la configuración de ACL IP. Router#show ipx access-list muestra solamente la configuración de ACL IPX. Router#show ip interface muestra los puertos que tienen aplicadas ACL IP. Router#show ipx interface muestra los puertos que tienen aplicadas ACL IPX. Router#show running-config muestra tanto las listas de acceso configuradas, como la que se encuentran aplicadas a cada interfase. Para ver un detalle de la información brindada por cada comando show, vea el “Anexo 1 – Comandos IOS para Monitoreo”. Tips de aplicación ! Antes de comenzar a trabajar sobre una lista de acceso existente, desvincúlela de todas las interfases a las que se encuentre asociada. ! No se puede remover una única línea de una lista de acceso numerada (no son editables). ! Ya que las listas numeradas no son editables, es una buena práctica -para mantener un proceso de edición más simple-, recurrir al uso de un editor de texto. ! Cada vez que agrega una línea a la lista de acceso, esta se ubicará a continuación de las líneas existentes, al final. ! Organice su lista de acceso de modo que los criterios más específicos estén al comienzo de la misma, y luego las premisas más generales. ! Coloque primero los permisos y luego las denegaciones. ! Toda lista debe incluir al menos un comando permit. ! Las listas no filtran el tráfico originado en el router. ! Una misma lista de acceso puede ser asignada a varias interfaces en el mismo dispositivo, tanto en modo entrante como saliente. ! Las listas de acceso estándar deben colocarse lo más cerca posible del destino del tráfico. ! Las listas de acceso extendidas deben colocarse lo más cerca posible del origen del tráfico que será denegado. APUNTE BÁSICO DE NETWORKING – V. 1.0 - 119