You are on page 1of 23

Curso de Actualizacin

Listas de Control de Acceso Ricardo Gonzalez

Listas de Control de Acceso


Listas de Control de Acceso Los diseadores de red utilizan firewalls para proteger las redes contra el uso no autorizado. Los firewalls son soluciones de hardware o software que hacen cumplir las polticas de seguridad de la red. En un router Cisco, puede configurar un simple firewall que proporcione capacidades bsicas de filtrado de trfico mediante las ACL. Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el trfico de entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados.

Curso de Actualizacin

Listas de Control de Acceso


Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se utiliza.

Para comprender cmo funciona una ACL con TCP, observemos el dilogo durante una conversacin TCP cuando descarga una pgina Web a su equipo.

Curso de Actualizacin

Listas de Control de Acceso

Curso de Actualizacin

Listas de Control de Acceso

Curso de Actualizacin

Listas de Control de Acceso

Curso de Actualizacin

Listas de Control de Acceso

Curso de Actualizacin

Listas de Control de Acceso


x

Curso de Actualizacin

Listas de Control de Acceso


El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla el acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso segn un criterio establecido.
Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn las direcciones IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL.

Listas de Control de Acceso


Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente informacin del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios: Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de las reglas. La informacin de las capas superiores incluye: Puerto TCP/UDP de origen

Puerto TCP/UDP de destino

Listas de Control de Acceso


Hay dos tipos de ACL Cisco: estndar y extendidas. ACL estndar Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global.

Curso de Actualizacin

Listas de Control de Acceso


ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control. En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuracin global.

Curso de Actualizacin

Listas de Control de Acceso


Lgica de las ACL estndar En la figura, se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255


access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255

Si los paquetes tienen permiso, se enrutan a travs del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz de entrada.

Curso de Actualizacin

Listas de Control de Acceso

Listas de Control de Acceso


Mscaras wildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. Una mscara wildcard es una secuencia de dgitos binarios que le indican al router qu partes del nmero de subred observar. La mscara determina qu parte de la direccin IP de origen y destino aplicar a la concordancia de direcciones. Los nmeros 1 y 0 de la mscara identifican cmo considerar los bits de direcciones IP correspondientes.

Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin

Listas de Control de Acceso

Curso de Actualizacin

Listas de Control de Acceso


Procedimientos de configuracin de las ACL estndar Luego de configurar una ACL estndar, se la vincula a una interfaz con el comando ip access-group: Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out}

Curso de Actualizacin

Listas de Control de Acceso

Listas de Control de Acceso

Listas de Control de Acceso


Prueba de puertos y servicios
La posibilidad de filtrar protocolos y nmeros de puerto le permite crear ACL extendidas muy especficas. Mediante el nmero de puerto adecuado, puede especificar una aplicacin al configurar el nmero de puerto o el nombre de un puerto bien conocido.

Listas de Control de Acceso

Listas de Control de Acceso

Listas de Control de Acceso

You might also like