cisco ccna acl

Author: alfredo-claros

Post on 07-Apr-2018

253 views

Category:

Documents


1 download

Embed Size (px)

TRANSCRIPT

  • 8/4/2019 CISCO CCNA ACL

    1/19

    ACL

    Access List

    A continuacin aprenderemos a configurar las listas de acceso en los routers Cisco.Las mismas son empleadas las redes de datos permanentemente, porque

    restringen el ingreso de usuarios a ciertos dominios que deben mantenerseprotegidos.

    Adicionalmente, las access list pueden vincularse con otro proceso dentro del

    router, a los fines de seleccionar trfico interesante a aplicar alguna poltica enparticular.

  • 8/4/2019 CISCO CCNA ACL

    2/19

    ACL

    Access-List

  • 8/4/2019 CISCO CCNA ACL

    3/19

    ACL

    Access List -Sentencias-

    Un Access List es una serie de lneas, que permite la categorizacin de paquetes a nivel de capa 3-, alos fines de que estos puedan ser tratados por otro proceso, tal como sucede en el Network Address

    Translation.

    Una forma simple de comprender el uso que podemos realizar de estas, puede verse en situacionesen donde deseamos permitir la navegacin de ciertos usuarios a Internet, pero a otros no. O bien ensituacin inversa, permitimos a ciertas IPs conectarse a nuestra Lan, y a otros los denegamos.

    Como se mencion, las listas pueden aplicar dos polticas:

    Permitir -permit- : habilitan al flujo de informacin, a continuar en la direccin solicitada.

    Denegar -deny- : eliminan o dropean el trfico IP, TCP o UDP a la hora de entrar o salir de unainterface.

    PaqueteIP

    PaqueteIP

    Lista de Acceso SalientePaquete

    IP

  • 8/4/2019 CISCO CCNA ACL

    4/19

    ACL

    Access List -Clases-

    Las listas de acceso, no realizan ninguna accin hasta que las aplicamos en algn sentido en algunainterface. Por lo mencionado, es que tenemos dos sentidos para aplicar la ACL.

    Inbound Access List: aplicar la ACL en este sentido, implica que el trfico entrante, antes de serruteado por la interface de salida, es procesado y aplicado a la ACL. En caso de que sea denegado, elmismo directamente no es ruteado.

    Outbound Acces List: este tipo de listas, aplica la poltica al trfico que intenta salir por unainterface, de manera de procesarlo antes de enviarlo.

    PaqueteIP

    PaqueteIP

    PaqueteIP

    PaqueteIP

  • 8/4/2019 CISCO CCNA ACL

    5/19

  • 8/4/2019 CISCO CCNA ACL

    6/19

  • 8/4/2019 CISCO CCNA ACL

    7/19

    ACL

    Access List -Wilcards-

    Las ACL no emplean las mscaras de red para determinar el espacio de direcciones a filtrar opermitir. Al contrario, emplean las denominadas wildcards, que bsicamente funcionan de la mismamanera que las otras, pero invierten los 1s por 0s. Es de importancia que recuerde que los

    bloques en las direcciones IP, son de forma exponencial. Esto es: bloques de 1 IP, 2 IPs, 4 IPs, 8 IPs,etc.

    Entonces si deseamos filtrar 12 host, vamos a tener que configurar la wildcard para 16 host, por ser elbloque ms prximo.

    Por ejemplo: 172.16.240.0 0.0.0.255. Hace referencia a la red 172.16.240.0/24, porque dijimos que lawildcard inverta todos los ceros por unos, y viceversa. Adems observe que el bloque es de 256 IPs yla wildcard es 255.

    Ejemplo 2: 192.168.20.0 0.0.0.7. La red es la 192.168.20.0/29, la cual posee un bloque de 8 IPs, por

    ende la wildcard terminar en 7, SIEMPRE UNO MENOS QUE LA EXTENSION DEL BLOQUE.

    Ejemplo 3: 172.16.16.0 0.0.3.255. La red la 172.16.16.0/22, la cual posee un bloque en el tercer octeto de4 IPs (simil a la /30, pero en el tercer octeto), por ende el tercer octeto ser 3, SIEMPRE UNO MENOS.

  • 8/4/2019 CISCO CCNA ACL

    8/19

    ACL

    Access List

    Hay dos tipos de ACL, segn la granularidad de las misma. Estas son:

    Standard Access List: solo emplean la direccin IP de origen para verificar si cumplen o no la

    condicin. Esto es, todos los paquetes que lleguen con x origen, aplicar la poltica de trfico y.Bsicamente configura el acceso permit o deny, y no ve protocolos de capa superior, ms que la IPorigen. Estas comprenden los nmeros 1 al 99 y 1300 al 1999.

    La sintaxis de este tipo de listas es la mostrada a continuacin:

    ip access-list standard [N]

    permit [red] [wildcard]

    deny [any]

    Extended Access List: este tipo de listas soporta verificar campos adicionales del Header de nivel 3,

    ms algunos parmetros del Header de nivel 4, como son los ports TCP/UDP sobre el final.Permite manejar el trfico de manera ms granular. Estas van desde 100 a 199 y desde 2000 a 2699.

    La sentencia de este tipo de listas es la mostrada a continuacin:

    ip access-list [N] permit [tcp] [red origen] [wildcard origen]

    [red destino] [wildcard destino]ip acces-list [N] deny [any] [any]

  • 8/4/2019 CISCO CCNA ACL

    9/19

    ACL

    Access List -ST-

    Como hemos mencionado, este tipo de ACL solo filtran por origen. Se pueden crear Listas de AccesoST usando los nmeros 1-99, y 1300-1999, siendo el segundo conocido como extended range. Alconfigurar un ACL, con los mencionados nmeros, le indicamos al router, que estamos creando una

    ACL de este tipo.

    Primero debemos crear la ACL en el router, realizando esta de la siguiente manera:

    tlmx01rt06#conf t

    Enter configuration commands, one per line. End with CNTL/Z.

    tlmx01rt06(config)#ip acctlmx01rt06(config)#ip access-list ?

    extended Extended Access List

    standard Standard Access List

    tlmx01rt06(config)#ip access-list sta

    tlmx01rt06(config)#ip access-list standard ?

    Standard IP access-list numberWORD Access-list name

    tlmx01rt06(config)#ip access-list standard 1 ?

    tlmx01rt06(config)#ip access-list standard 1

    tlmx01rt06(config-std-nacl)#

  • 8/4/2019 CISCO CCNA ACL

    10/19

    ACL

    Access List -ST-

    Luego de esto, debemos agregar el trfico interesante a clasificar.

    Primero debemos crear la ACL en el router, realizando esta de la siguiente manera:

    tlmx01rt06(config-std-nacl)#?

    default Set a command to its defaults

    deny Specify packets to reject

    exit Exit from access-list configuration mode

    no Negate a command or set its defaults

    permit Specify packets to forwardremark Access list entry comment

    tlmx01rt06(config-std-nacl)#permit ?

    A.B.C.D Address to match

    any Any source host

    host A single host address

    tlmx01rt06(config-std-nacl)#permit 10.10.10.0 ?

    A.B.C.D Wildcard bits

    tlmx01rt06(config-std-nacl)#permit 10.10.10.0 0.0.0.255 ?

    tlmx01rt06(config-std-nacl)#permit 10.10.10.0 0.0.0.255

    Con este ejemplo, permitimos el trfico solo de la red 10.10.10.0/24, ya que el resto se filtra debido aldeny implcito en toda ACL. Solo resta, aplicarla a una interface.

  • 8/4/2019 CISCO CCNA ACL

    11/19

    ACL

    Access List -ST-

    Ahora veamos un ejemplo, para fijar conceptos. En la figura, lo que debemos lograr es que Ventas,no pueda ingresar a Finanzas, pero si a Marketing e Internet. Marketing debe ingresar a la LAN de

    Finanzas.

    tlmx01rt06(config)#ip access-list 10 deny 172.16.10.0 0.0.0.255

    tlmx01rt06(config)#ip access-list 10 permit any

    tlmx01rt06(config)#int f0/0

    tlmx01rt06(config-if)#ip access-group 10 out

    Internet

    f0/0

    172.16.10.0/24

    Ventas

    Marketing

    172.16.100.0/24

    192.168.14.0/24

    Finanzas

    f0/1

    s0/0/0

    f1/0/2

    Paquete

    IP

  • 8/4/2019 CISCO CCNA ACL

    12/19

    ACL

    Access List -ST-

    Con esta ACL, ahora filtramos los paquetes que quieran salir por la interface f0/0 del router (LANMarketing), que tengan origen, la LAN de Ventas.

    Solo debemos tener en cuenta que al aplicar la ACL en la interface, el comando correcto es access-group.

  • 8/4/2019 CISCO CCNA ACL

    13/19

    ACL

    Access List -ST-

    Podemos filtrar el acceso de cualquier host por telnet a nuestro equipo. Para esto, antes agregbamosun password en la line vty 0 4. Esto permita que cualquier usuario de una red, que conozca la claveacceso, pueda ingresar a nuestro router.

    Ahora podemos adems de agregar un password, filtrar que solo ingresen a nuestro equipo, un host deuna determinada red.

    Para esto, debemos configurar el ACL, y aplicarla en la line vty 0 4, o bien en la que queramos. Esto se

    hace de la siguiente manera:

    tlmx01rt06(config)#access-list 10 permit 172.16.10.3 0.0.0.0

    tlmx01rt06(config)#line vty 0 4

    tlmx01rt06(config-line)#access-class 10 in

    Solo cabe aclarar, que en las interfaces se aplican los access-group, pero en las lneas vty, estas ACL sedenominan access-class.

    El access-class es in, debido a que las sesiones de telnet son siempre entrantes.

  • 8/4/2019 CISCO CCNA ACL

    14/19

    ACL

    Actividad

    Con el fin de evitar, que cualquier equipo realice una conexin por telnet a R3, configure una ACLestndar de 3 lneas, que permita solo conectarse a R2.

    Escrbala y explique, donde la aplicara y en que sentido.

    172.16.10.0/24

    172.16.11.0/24

    172.16.12.0/24

    192.168.0.0/30

    192.168.0.4/30

    R1 R2 R3

  • 8/4/2019 CISCO CCNA ACL

    15/19

    ACL

    Actividad

    Configure una ACL estndar que filtre el ingreso hacia la LAN 192.168.100.0/24, con orgenes las redesque comienzan con el prefijo 200.

    La lista de acceso, debe tener solo 2 lneas, ser lo ms precisa posible, e indique donde la aplicara.

    200.60.128.0/26

    200.60.128.64/27 R1 R2

    192.168.0.0/30 192.168.100.0/24

  • 8/4/2019 CISCO CCNA ACL

    16/19

    ACL

    Access List -Extended-

    Las listas de acceso extendidas, tienen la capacidad de mirar 1 capa ms del modelo OSI, pudiendo llegara identificar hasta la capa 4 del mismo.

    Al poder llegar a identificar la capa de transporte, estas access list son pasibles de filtrar los protocolos anivel de aplicacin, ya que estos siempre poseen un identificador TCP/UDP.

    Otra caracterstica de este tipo de filtros, es que no solo pueden ver la direccin IP origen, sino que soncapaces de analizar la direccin IP Destino.

    Por lo mencionado, es que las listas de acceso extendidas poseen las siguientes caractersticas:

    Pueden observar la direccin IP Origen. Pueden observar la direccin IP Destino. Pueden observar los puertos TCP Origen y Destino.

    La sintaxis de configuracin, es la siguiente:

    access-list [N] permit/deny [tcp/icmp] [IP Origen] [Wildcard] [IP

    Destino] [Wildcard] eq [Port]

  • 8/4/2019 CISCO CCNA ACL

    17/19

    ACL

    Access List -Extended-

    Antes configuramos el filtrado de los usuarios de Ventas hacia Marketing. Ahora puede ser que estosempleados, no deban ingregar a la LAN de Marketing en lneas generales, pero si quizs deban ingresar aun host en particular o bien a una aplicacin en particular.

    Para esto, debemos configurar este tipo de access list ms precisa.

    La access list correcta para lograr el objetivo sera la siguiente:

    tlmx01rt06#conf t

    tlmx01rt06(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 logtlmx01rt06(config)#int f0/0

    tlmx01rt06(config-if)#ip access-group 110 out

    Con esta ACL, filtramos o sea denegamos el trfico saliente TCP, ms precisamente telnet, desdecualquier origen a el host 172.16.30.2.

  • 8/4/2019 CISCO CCNA ACL

    18/19

    ACL

    Access List -Extended-

    Empleando el mismo grfico, configuremos la ACL, e interpretemos para que la realizamos.

    tlmx01rt06#conf t

    tlmx01rt06(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21

    tlmx01rt06(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23

    tlmx01rt06(config)#access-list 110 permit ip any any

    tlmx01rt06(config)#int f0/0

    tlmx01rt06 (config-if)#ip access-group 110 out

    Con esta ACL, filtramos las conexiones de Telnet y FTP hacia el host con IP 172.16.30.5. El resto de losservicios desde hacia cual uier destino estn ermitidos.

    Internet

    f0/0

    172.16.10.0/24Ventas

    Marketing172.16.100.0/24

    192.168.30.0/24

    Finanzas

    f0/1

    s0/0/0

    f1/0/2

    PaqueteIP

  • 8/4/2019 CISCO CCNA ACL

    19/19

    ACL

    Actividad

    Configure una lista de acceso extendida, con el objetivo que los usuarios de Ventas, solo puedannavegar hacia Internet.

    Adems configure una ACL extendida, para que los usuarios de Marketing solo puedan entrar al servidorde Finanzas, ubicado en la red de Ventas. Donde aplicara cada lista de acceso? En que sentido lo hara?

    Internet

    192.168.30.0/24

    Ventas

    192.168.10.0/24

    Marketing

    10.10.10.0/30

    .4