16
FUNDAMENTOS DE ACCESS CONTROL LIST (ACL)

Fundamentos ACL

Embed Size (px)

Citation preview

Page 1: Fundamentos ACL

FUNDAMENTOS DE ACCESS CONTROL LIST (ACL)

Page 2: Fundamentos ACL

Las ACL son listas secuenciales de sentencias de

permiso o rechazo que se aplican a una interfaz del

router.

La aceptación y rechazo se pueden basar en ciertas

especificaciones, como dirección origen, dirección

destino y número de puerto.

Cualquier tráfico que pasa por la interfaz debe de cumplir

ciertas condiciones que forman parte de la ACL.

Cada ACL sobre cada interfaz, actúa en un sentido,

distinguiendo tanto sentido de entrada como de salida.

QUE ES UNA LISTA DE ACCESO

Page 3: Fundamentos ACL

Limitar el tráfico de red y mejorar el desempeño

de la red.

Brindar control de flujo de tráfico.

Proporcionar un nivel básico de seguridad para el

acceso a la red. Por ejemplo: Al Host A se le

permite el acceso a la red de Recursos Humanos,

y al Host B se le deniega el acceso a dicha red.

Se debe decidir que tipos de tráfico se envían o bloquean en

las interfaces del router.

RAZONES PARA EL USO

Page 4: Fundamentos ACL

RAZONES PARA EL USO

Limitación del tráfico de red

Page 5: Fundamentos ACL

Una ACL (Lista de Control de Acceso) es un grupo

de sentencias que define cómo los paquetes:

• Entran a las interfaces de entrada.

• Se reenvían a través del router.

• Salen de las interfaces de salida del router.

COMO FUNCIONAN LAS LISTAS DE ACCESO

Page 6: Fundamentos ACL

FUNCIONAMIENTO DE LAS ACL

Page 7: Fundamentos ACL

1. Definir la ACLRouter(config)# access-list Nro-ACL {permit|deny} {condición}Ejemplo:

Router(config)# Access-list 1 permit 192.168.3.10 Router(config)# Access-list 1 deny any

2. Aplicar las ACL en una interfazRouter(config-if)# Protocolo access-group Nro-ACL/Nombre-ACL In/OutEjemplo:

Router(config)# Interface fastethernet 0/0Router(config)# IP Access-group 1 out

CONFIGURACION DE LAS ACL

Page 8: Fundamentos ACL

Cuando se usa, un número para identificar una ACL el

número debe de estar de acuerdo a los siguiente:

Protocolo Intervalo

IP 1-99

IP extendido 100-199

Appletalk 600-699

IPX 800-899

IPX extendido 900-999

Protocolo de publicación de servicio IPX 1000-1099

PROTOCOLOS CON ACL ESPECIFICADAS POR NUMEROS

Page 9: Fundamentos ACL

EJEMPLO:

Políticas:

Router(config)# access-list 1 permit 200.20.20.3

Router(config)# access-list 1 deny 200.20.20.0 0.0.0.255

Aplicando: a una Interface fastethernet 0/0

Router(config)# interface fastethernet 0/0

Router(config-if)# ip access-group 1 out

TAREAS DE CONFIGURACION DE LAS ACL

Page 10: Fundamentos ACL

• Una máscara wildcard es una cantidad de 32 bits que se

divide en cuatro octetos, en la que cada octeto contiene 8

bits.

• Un bit de máscara wildcard de 0 significa "verificar el valor

de bits correspondiente“.

• Un bit 1 de una máscara wildcard significa "no verificar

(ignorar) el valor de bit correspondiente".

• Una máscara wildcard se compara con una dirección IP.

• Las máscaras wildcard y las máscaras de subred IP operan

de manera diferente.

MASCARA WILDCARD

Page 11: Fundamentos ACL

MASCARA WILDCARD

Bits de máscara wildcard

Page 12: Fundamentos ACL

MASCARA WILDCARD

Bits de máscara wildcard

Page 13: Fundamentos ACL

Esta política no verifica ningún BIT de la dirección IP de la

red, ya que la wildcard esta compuesto por bits de “1”.

En el segundo caso la política es permitir el acceso a todas

las redes usando la palabra reservada “ANY”.

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

se puede usar esto:

Router(config)# access-list 1 permit any

MASCARA WILDCARD

Page 14: Fundamentos ACL

Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

Router(config)# access-list 1 permit 172.30.16.29

Router(config)# access-list 1 permit host 172.30.16.29

Las 3 definiciones de la lista 1 son iguales.

WILDCARD PARA UN HOST ESPECIFICO

Page 15: Fundamentos ACL

El host 2 (200.20.20.2) tendrá acceso a la red 210.10.10.0 y el resto de hosts de la red 200.20.20.0 se deniega su acceso a dicha red (210.10.10.0).

Router A

WANIP: 201.1.1.0

Mask. 255.255.255.0

PPPRouter B

Host 1

Host 2

Host 4

Host 5IP=200.20.20.0Mask=255.255.255.0

access-list 20 permit 200.20.20.2access-list 20 deny any….….interface FatsEthernet 0/0ip access-group 20 Out

.1

IP=210.10.10.0Mask=255.255.255.0

S0 (DTE) .2S0 (DCE)

IP=210.20.20.0Mask=255.255.255.0

Router C

OUT

EJEMPLO DE ACL

F0/0

Page 16: Fundamentos ACL

El host 2 tendrá acceso a la red 210.10.10.0 y el resto de los hosts de la red 200.20.20.0 se deniega su acceso a la red 210.10.10.0

Router A

WANIP: 201.1.1.0

Mask. 255.255.255.0

PPPRouter B

Host 1

Host 2

Host 4

Host 5

IP=200.20.20.0Mask=255.255.255.0

access-list standard Lista1 permit 200.20.20.2 deny 200.20.20.0 0.0.0.255….….interface FastEthernet 0/0ip access-group Lista1 Out

.1

IP=210.10.10.0Mask=255.255.255.0

S0/0 (DTE)

.2

S0/0 (DCE)

IP=210.20.20.0Mask=255.255.255.0

Router C

Out

EJEMPLO DE ACL

200.20.20.2

S0/1

S0/1

WANIP: 201.2.2.0

Mask. 255.255.255.0

PPP

DTE

DCE

F0/0

F0/0

F0/0