CAPITULO 5 - ACL

CAPITULO 5 - ACLCesar enrique reyes DvilaEarvin Pit Di CaprioChristian Jeovanni Rodrguez OrtegaDiana Paulina Pedroza IbarraJos de Jess Rangel palomarCarlos adrin Vargas MendozaLuis Ricardo Quezada Garca

ACL (Access control list)Una Lista de Control de Acceso o ACL (del ingls, Access Control List) es una configuracin de router que controla si un router permite o deniega paquetes segn el criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos ms comnmente utilizados en el software IOS de Cisco. Las ACL tambin se utilizan para seleccionar los tipos de trfico por analizar, reenviaro procesar de otras maneras.Las 3 pPuede configurar una ACL por protocolo, por direccin y por interfaz: Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y saliente. Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, Fast Ethernet 0/0.Las ACL realizan las siguientes tareas:Limitar el trfico de red para mejorar el rendimiento de sta. Brindar control de flujo de trfico Proporcionar un nivel bsico de seguridad para el acceso a la red. Decide qu tipos de trfico enva o bloquea en las interfaces del router. Controlar las reas de la red a las que puede acceder un cliente. Analizar los hosts para permitir o denegar su acceso a los servicios de red.Funcionamiento de las ACLLas ACL se configuran para ser aplicadas al trfico entrante o saliente. ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas de enrutamiento si el paquete se descarta. Si el paquete est autorizado por las pruebas, luego se procesa para el enrutamiento. ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a travs de la ACL de salida.Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL por protocolo, por direccin y por interfaz.

Dnde ubicar las ACLTodas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son:Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red. Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible.

Configuracin

Router(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn] Donde: 1-99Identifica el rango y la lista. Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccin especificada. Direccin de origen identifica la direccin IP de origen. Mascara comodn o wildcard identifica los bits del campo de la direccin que sern comprobados. La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits). Asociacin de la lista a una interfazRouter(config-if)#ipaccess-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|outselecciona si la lista de acceso se aplicar como filtro de entrada o de salida. Ejemplo de una ACL estndar denegando una red: Router#configure terminal Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0 Router(config)#access-list 10 permit anyRouter(config)#interface serial 0 Router(config-if)#ipaccess-group 10 in Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen, Posteriormente se asocio la ACL a la interfaz Serial 0.Configuracin ACL extendidaRouter(config)#access-list[100199][permit|deny][protocol][direccin de origen][mascara comodn][direccin de destino][mascara de destino][puerto][establisehed][log] Donde: 100-199identifica el rango y nmero de lista Permit|deny: indica si la entrada permitir o bloqueara la direccin especificada. Protocolo: como por ejemplo IP, TCP, UDP, ICMP Direccin origen y destino: identifican direcciones IP de origen y destino. Mascara wildcard origen y mascara destino: Son las mascaras comodn. Las 0 indican las posiciones que deben coincidir, y los 1 las que no importan.Puerto(opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un nmero de puerto de protocolo correspondiente. Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l rafico TCP pase si el paquete utiliza una conexin ya establecida (por ejemplo posee un conjunto de bits ACK) Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog determinado. Algunos de los nmeros de puertos ms conocidos: 20 Datos del protocolo FTP 21 FTP 23 Telnet 25 SMTP 69 TFTP 53 DNS Asociacin de la lista a una interfaz Router(config-if)#ipaccess-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. in|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.Gracias por su atencin!