4. 444
Que son las ACL?
• Las ACLs son condiciones que se aplican al
trafico que viaja a través de las interfaces del
router.
• Las ACLs permiten la administración del trafico y
aseguran el acceso hacia y desde una red.
• Se pueden crear ACLs para todos los posibles
protocolos enrutados y aplicar esta para el
trafico entrante y el trafico saliente. Por lo que
cada interfaz acepta 2 ACLs por cada protocolo
enrutado una para la entrada y otra para la
salida.
5. 555
Razones para crear ACLs
• Limitar el tráfico de red y mejorar el rendimiento de la red.
• Brindar control de flujo de tráfico, para preservar el ancho
de banda.
• Proporcionar un nivel básico de seguridad para el acceso
a la red.
• Decidir qué tipos de tráfico se envían o bloquean en las
interfaces del router. Permitir que se enrute el tráfico de
correo electrónico, pero bloquear todo el tráfico de telnet.
• Permitir que un administrador controle a cuáles áreas de
la red puede acceder un cliente.
• Analizar ciertos hosts para permitir o denegar acceso a
partes de una red. Otorgar o denegar permiso a los
usuarios.
8. 888
Función de la mascara wildcard
• Una mascara wildcard es una cantidad de 32
bits que se divide en 4 octetos y se usa para
definir que bits de la dirección de red del
trafico entrante o saliente se deben comparar
con el valor de comparación.
• Si el valor de cualquier bits del wildcard es
cero lógico; el bits correspondiente del valor
de comparación y de la dirección de red del
trafico se deben de comparar, por el contrario
si es uno lógico este bits se ignorara.
Ignorar
Comparación exitosa
Aplicar la condición
No hay coincidencia
Comparación no exitosa
Buscar la siguiente ACL
Las opciones ANY y HOST
10. 101010
ACL estándar
Valores de código para mensajes de destino inalcanzable• Las ACLs estándar solo verifican la dirección
origen de los paquetes IP para permitir o
rechazar el acceso a todo el conjunto de
aplicaciones soportados por el protocolo.
• Los rangos de números que identifican a las
ACLs estándar van desde 1 a 99 y para los
IOS 12.1 o superiores del 1300 a 1999.
• Debido a que estas ACLs filtran basado en la
dirección origen, en la mayoría de los casos
funcionan mejor al colocarlas mas cerca del
destino del trafico.
11. 111111
ACL extendidas
• Las ACLs extendidas verifican las direcciones
de origen y destino además de los protocolos
y números de puerto de la aplicación a filtrar.
• Estas ACLs soportan además operadores
lógicos para lograr ajustar de forma mas
precisa los filtros que se desean configurar.
• Debido a que ofrecen mayor control se utilizan
mas frecuentemente que las ACLs estándar.
• La sentencia es mas larga y por lo tanto mas
engorrosa.
Operador
eq: igual, gt: mayor que, lt: menor que y neq: no igual
Protocolo de capa 4 o 3
12. 121212
ACL nombradas
• Fueron introducidas a partir del IOS version
11.2, para permitir que las ACLs tuvieran
nombres en lugar de números.
• Identifican intuitivamente el filtro usando
nombres.
• No tienen limitaciones de cantidad de ACLs
que pueden crearse.
• Presentan mayores facilidades de
modificación que las ACLs numeradas.
En modo de configuración global
13. 131313
Ubicación de las ACLs
• La regla común es ubicar las lista de control
de acceso extendidas mas cerca del origen
del trafico; por otro lado las estandar al
filtrar basado en la dirección origen debe
ubicarse preferentemente mas cerca del
destino.
Origen del trafico
Destino del trafico
14. 141414
Firewalls
• Un firewalls es una estructura arquitectónica lógica
que existe entre el usuario y el mundo exterior, con
el propósito de proteger la red interna de los
intrusos.
• En esta arquitectura el router conectado a Internet o
router exterior obliga a que todo el trafico entrante
pase por el gateway de aplicación.
• El router interior acepta entonces solo los paquetes
que vienen del gateway, generando con el firewalls
un aislamiento de la red interna.
• Las ACLs se usan en los firewalls para crear el
modelo de seguridad de la red interna.
15. 151515
Como restringir el acceso VTY hacia el
router
• Las ACLs están diseñadas para aplicarse a
paquetes que viajan a través del router y no
para los paquetes que tienen su origen o
destino en el router mismo.
• Por tanto si el propósito es permitir o
bloquear el trafico que se origina por las
sesiones de telnet, es necesario aplicar la
lista a los puertos lógicos donde residen las
sesiones.
• Las restricciones para sesiones telnet solo
pueden aplicarse con ACLs numeradas.