ACL Extendida: Control Avanzado del Tráfico de Red Mediante Filtros de Paquetes Más Específicos
1. “ACLs Extendida” Mercedes Adilene Jerónimo Pineda UNIVERSIDAD TECNOLOGICA DE LA REGION NORTE DE GUERRERO SEGURIDAD DE LA INFORMACION
2. ACL Extendida Utilizadas con más frecuencia que las estándar porque ofrecen un mayor control. Verifican: Direcciones origen y destino de paquetes, protocolos y números de puerto. Permiten especificar hacia dónde se dirige el tráfico y con ésta característica, yo puedo bloquear o permitir un tráfico mucho más específico
3. SINTAXIS ACL Extendida access-listnúmero-lista-acceso {deny | permit} protocoloip-origen wildcard-origenip-destinowildcard-destinooperador puerto-o-nombre-de-aplicación 100-199o de 2000-2699 identifica el rango y número de lista Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada. Protocolo: como por ejemplo IP, TCP, UDP, ICMP Dirección origen y destino: identifican direcciones IP de origen y destino. Mascara wildcard origen y mascara destino: Son las mascaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las “que no importan”. Puertoopcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un número de puerto de protocolo correspondiente.
5. Creación de ACLs Extendidas 1. Ingresar al modo de configuración global. Router(config)# 2. Decidir número de la ACL que identifique que es estándar (100-199 o 2000-2699) 3. Ingresar sentencias de ACL utilizando comando access-list, con los parámetros necesarios.
11. Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red: Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80Router(config)#access-list 120 permit ip any anyRouter(config)#interface serial 1Router(config-if)#ip access-group 120 in
12. Ejemplo 2: Cree una lista de acceso para denegar sólo el tráfico de correo electrónico, ping y TFTP que vaya de la red 192.168.16.0 al host 192.168.17.5 Router2(config)# access-list 111 denytcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25 Router2(config)# access-list 111 denyicmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 Router2(config)# access-list 111 denyudp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69 Router2(config)# access-list 111 permitanyanyRouter2(config)# interface FastEthernet0 Router2(config-if)# ipaccess-group 111 in