Acl
4 recomendaciones1,815 vistas
Este documento proporciona recomendaciones sobre la implementación de listas de control de acceso. Las listas de control de acceso permiten filtrar el tráfico de red entrante y saliente mediante el uso de condiciones. Existen dos tipos principales: listas de acceso estándar que filtran según la dirección IP de origen, y listas de acceso extendidas que también consideran el puerto de destino. Se recomienda aplicar listas de acceso a interfaces específicas para controlar el acceso de forma granular.
Acl
- 1. Recomendaciones en la implantación de listas de control de acceso Ricardo J. Anchante Anyarin ranchante@hotmail.com 22/02/2011 1
- 2. Listas de control de Acceso ¿Qué son? • Esencialmente son listas de condiciones para poder acceder a una red o dispositivo. • Son una herramienta muy poderosa para controlar el acceso en ambos sentidos: tanto desde como hacia la red. • Pueden filtrar tráfico no deseado, y son utilizadas para implementar políticas de seguridad. • Al aplicar una lista de acceso, se obliga al router a analizar cada paquete que atraviesa la interface en una dirección específica, reduciendo de esta manera la perfomance del dispositivo. 2
- 3. Listas de Control de Acceso ¿Cómo trabajan? • Cada paquete es comparado con cada línea de la lista de acceso en orden secuencial según han sido ingresadas. • La comparación se realiza hasta que se encuentra una coincidencia. • NO OLVIDAR – El final implícito de todo lista de acceso es una denegación de todo tráfico: deny all 3
- 4. Listas de Control de Acceso Tipos • Listas de Acceso Estándar • Filtran paquetes IP considerando solamente la dirección IP de origen. • Listas de Acceso Extendidas • Filtran paquetes IP considerando tanto la dirección de origen como la de destino, y los números de puerto del encabezado de capa de transporte. 4
- 5. Listas de Control de Acceso ¿Dónde las aplico? • Listas de Acceso de Ingreso • El paquete es procesado por la lista de acceso antes de ser enrutado al puerto de salida • Listas de Acceso de salida • El paquete es conmutado hacia el puerto de salida y allí es procesado por la lista de acceso. 5
- 6. Trafico sin listas de control de acceso TABLA DE ENRUTAMIENTO C 172.16.1.0 s0 C 172.16.2.0 s1 R 172.16.3.0 s1 R 172.17.4.0 s1 PAQUETE PAQUETE IP IP 6
- 7. Trafico con Listas de Control de Acceso de ingreso ip access-group 101 in TABLA DE ENRUTAMIENTO ip access-group 101 in ip access-group 101 in C 172.16.1.0 s0 ip access-group 101 in C 172.16.2.0 s1 ip access-group 101 in R 172.16.3.0 s1 ip access-group R 172.17.4.0 101 in s1 ip access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in PAQUETE ip access-group 101 in ip access-group 101 in ip IP access-group 101 in ip access-group 101 in ip access-group 101 in ip access-group 101 in DROP ip access-group 101 in 7
- 8. Trafico con Listas de Control de Acceso de salida ip access-group 101 out TABLA DE ENRUTAMIENTO ip access-group 101 out C 172.16.1.0 ip access-group s0 101 out C 172.16.2.0 ip access-group s1 101 out R 172.16.3.0 ip access-group s1 101 out R 172.17.4.0 ip s1 access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out PAQUETE ip access-group 101 out ip access-group 101 out IP ip access-group 101 out ip access-group 101 out ip access-group 101 out ip access-group 101 out ip DROP access-group 101 out 8
- 9. Recomendaciones para la aplicación de Listas de Control de Acceso • Solo se puede asignar una lista de acceso por interface • Organice su lista de acceso de modo que los criterios más específicos estén al inicio. • Si en algún momento agrega una nueva línea a la lista, esta se ubicará al final de la misma. • No se puede remover una línea de una lista de acceso. • Al menos que su lista termine con un comando permit, todo los paquetes que no coincidan con alguno de los criterios serán descartados. 9
- 10. Recomendaciones para la aplicación de Listas de Control de Acceso • Toda lista de acceso debe tener al menos un comando permit. • Primero cree la lista de acceso, y luego aplíquela a la interface. • Las listas de acceso están diseñadas para filtrar el tráfico que atraviesa el router. No filtran el tráfico originado en el router. • Ubique las listas de acceso estándar lo más cerca posible del destino. • Ubique las listas de acceso extendidas lo más cerca posible del origen. 10
- 11. Listas de Control de Acceso Estandar Utilice el comando access-list.... Router(config)#access-list ? <1-99> IP standard access list 11
- 12. Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso Router(config)#access-list 10 ? deny Specify packets to reject Permit Specify packets to forward 12
- 13. Lista de acceso estándar Configuración • Utilice el comando access-list.... • Debe indicar si va a introducir un comando de permiso o denegación de acceso • Puede filtrar tanto un host específico como un grupo de direcciones o referirse a cualquier host de origen. Router(config)#access-list 10 deny ? Hostname or A.B.C.D Address to match any Any source host host A single host address 13
- 14. Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo de hosts, subred o red de origen. • La máscara de wildcard debe acompañaba la dirección de la red, subred o host que se desea filtrar. • En esta máscara, el dígito binario en 0 indica que los mismos dígitos de la dirección IP deben coincidir exactamente. Router(config)#access-list 10 deny 192.168.2.10 0.0.0.0 Máscara de wildcard Dirección IP de origen 14
- 15. Lista de acceso estándar Configuración • El uso de máscaras de wildcard permite especificar tanto un host individual como un grupo, subred o red de origen. • Aplique la lista de acceso a la interface Router(config)#interface serial 0 Router(config-if)#access-group 10 out 15
- 16. Máscara de wildcard (recomendaciones) • Dirección binaria de 32 dígitos divididos en 4 octetos. • A diferencia de las máscaras de subred, los 0 indican los dígitos significativos a considerar. • El comando host reemplaza a una máscara de wildcard 0.0.0.0 • El comando any reemplaza a una máscara de wildcard 255.255.255.255 • La máscara de wildcard no necesariamente toma una red o subred completa, puede también considerar bits aislados. 16
- 17. Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... Router(config)#access-list ? <100-199> IP extended access list 17
- 18. Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. Router(config)#access-list 105 ? deny Specify packets to reject Permit Specify packets to forward 18
- 19. Lista de acceso extendida Configuración • Como para las listas de acceso estándar, utilice el comando access-list.... • Ahora, debe indicar si va a introducir un comando de permiso o denegación de acceso. • Si desea establecer un filtro utilizando criterios de capa de aplicación, debe seleccionar ahora el protocolo que desea filtrar Router(config)#access-list 105 deny ? eigrp Cisco’s EIGRP routing protocol gre Cisco’s GRE tunneling --more-- 19
- 20. Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. Router(config)#access-list 105 deny tcp ? A.B.C.D Source address Any Any source host Host A single source host 20
- 21. Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. Router(config)#access-list 105 deny tcp host 192.168.2.5 ? A.B.C.D source address Any any source host Host A single source host 21
- 22. Lista de acceso extendida Configuración • A continuación debe ingresarse la dirección IP de origen que se desea filtrar, utilizando la máscara de wildcard para indicar un host, red, subred o grupo. • Luego debe ingresar la dirección IP de destino, con los mismos criterios. • Finalmente, el sistema le requerirá que ingrese el puerto TCP de destino Router(config)#access-list 105 deny tcp host 192.168.2.5 any ? eq Match only packets on a give port numer gt Match only packets with a grater port number --more-- 22
- 23. Lista de acceso extendida Configuración Router(config)#access-list 105 deny tcp host 192.168.2.5 any eq 21 Router( ACL IP extendida Deniega el acceso Paquetes TCP Puerto TCP de destino Dirección IP de destino Dirección IP de origen ¿Por qué no interesa filtrar también según puerto TCP de origen? 23
- 24. Listas de control de acceso nombradas 24
- 25. Lista de acceso nombradas recomendaciones • Pueden ser tanto listas de acceso estándar como extendidas. • No se identifican por un número sino por un nombre. • Se crean dentro de un submodo de configuración de las listas de acceso nombradas. • Permiten editar las líneas de la lista sin necesidad de borrarlas. 25
- 26. Lista de acceso nombradas Configuración 1. Cree la lista de acceso nombrada Rter(config)#ip access-list extended server-access Rter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp Rter(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain Rter(config-ext-nacl)#Ctrl+Z 1. Aplíquela a la interface que corresponda Rter(config)#interface ethernet 0 Rter(config-if)#ip access-group server-access out Rter(config-if)#Ctrl+Z 26
- 27. ¿Preguntas? 27
- 28. 28