Listas de Acceso

Cisco Networking Academy Program
Semestre 3
Listas de Control de Acceso

ACL
Ricardo
Ricardo Anchante
Anchante
Julio
Julio 2003
2003

qu son?
Esencialmente son listas de condiciones para poder acceder a

una red o dispositivo.
Son una herramienta muy poderosa para controlar el acceso
en ambos sentidos: tanto desde como hacia la red.
Pueden filtrar trfico no deseado, y son utilizadas para
implementar polticas de seguridad.
Al aplicar una lista de acceso, se obliga al router a analizar
cada paquete que atraviesa la interface en una direccin
especfica, reduciendo de esta manera la perfomance del
dispositivo.

Cmo trabajan?
Camino que deben seguir los paquetes al ser comparados con
una lista de acceso:
access-list 101 permit icmp any host 172.16.79.129 echo
Cada
paquete
any
Cadaecho-reply
paquete es
es comparado
comparado con
con cada
cada
access-list 101 permit icmp any
lnea
de
en
lnea172.16.105.2
de la
la lista
lista de
de acceso
acceso
en orden
orden
access-list 101 permit tcp any host
eq www
secuencial
segn
secuencial
segn han
han
sido
172.16.105.2
eqsido
ftp-data
ingresadas.
ingresadas.
172.16.105.2 eq ftp
echo
La
se
any
La comparacin
comparacin
se realiza
realiza hasta
hasta que
que
access-list 102 permit tcp any any
eq
telnet
se
se encuentra
encuentra una
una coincidencia.
coincidencia.
NO
El
implcito
host
NO OLVIDAR
OLVIDAR
El final
finalecho
implcito de
de
172.16.105.2
todo
lista
todoecho-reply
lista de
de acceso
acceso es
es una
una
access-list 101 permit icmp any any
denegacin
de
denegacin
de todo
todo trfico:
trfico:
deny any
any
172.16.105.2
eq wwwdeny
access-list 101 permit tcp any host 172.16.105.2 eq ftp-data
access-list 101 permit tcp any host 172.16.105.2 eq ftp
access-list 102 permit icmp any any echo
access-list 102 permit tcp any any eq telnet

Tipos
Listas de Acceso Estndar
IP Filtran paquetes IP considerando solamente la
direccin IP de origen.
IPX Filtran teniendo en cuenta tanto la direccin IPX de
origen como la de destino.
Listas de Acceso Extendidas
IP Filtran paquetes IP considerando tanto la direccin de
origen como la de destino, y los nmeros de puerto del
encabezado de capa de transporte.
IPX Filtran teniendo en cuenta tanto la direccin IPX de
origen como la de destino adems del nmero de socket
del encabezado de capa de transporte.

Aplicacin
Listas de Acceso de Ingreso

El paquete es procesado por la lista de acceso antes
de ser enrutado al puerto de salida
Listas de Acceso de salida
El paquete es conmutado hacia el puerto de salida y
all es procesado por la lista de acceso.
Aplicacin de la ACL
Lista de acceso de ingreso
TABLA DE ENRUTAMIENTO
C 172.16.1.0
C 172.16.2.0
R 172.16.3.0
R 172.17.4.0
PAQUETE
IP
s0
s1
s1
s1
PAQUETE
IP
Aplicacin de la ACL
Lista de acceso de ingreso
ip access-group
ip access-group
ip access-group
ip access-group
ip access-group
ip access-group
ip access-group
ip access-group
ip access-group
ip access-group
PAQUETE
ip access-group
IP
ip access-group
ip access-group
ip access-group
access-group
DipROP
ip access-group
ip access-group
101
in DE ENRUTAMIENTO
TABLA
101 in
101
in
C 172.16.1.0
s0
C 172.16.2.0
s1
101
in
R 172.16.3.0
s1
101
in
R 172.17.4.0
s1
101
in
101 in
101 in
101 in
101 in
101 in
101 in
101 in
101 in
101 in
101 in
101 in
Aplicacin de la ACL
Lista de acceso de salida
ip access-group 101 out
TABLA DE ENRUTAMIENTO
C 172.16.1.0
C 172.16.2.0
R 172.16.3.0
R 172.17.4.0
PAQUETE
IP
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
access-group
access-group
s0
s1
access-group
s1
access-group
s1
access-group
access-group
access-group
access-group
access-group
access-group
access-group
access-group
access-group
access-group
DROP
access-group
access-group
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
out
out
out
out
out
out
out
out
out
out
out
out
out
out
out
out
Aplicacin de la ACL
TIPS
Solo
Solo se
se puede
puede asignar
asignar una
una lista
lista de
de acceso
acceso por
por interface
interface
Organice
Organice su
su lista
lista de
de acceso
acceso de
de modo
modo que
que los
los criterios
criterios ms
ms
especficos
especficos estn
estn al
al inicio.
inicio.
Si
Si en
en algn
algn momento
momento agrega
agrega una
una nueva
nueva lnea
lnea aa la
la lista,
lista,
esta
esta se
se ubicar
ubicar al
al final
final de
de la
la misma.
misma.
No
No se
se puede
puede remover
remover una
una lnea
lnea de
de una
una lista
lista de
de acceso.
acceso.
Al
Al menos
menos que
que su
su lista
lista termine
termine con
con un
un comando
comando permit,
permit,
todo
todo los
los paquetes
paquetes que
que no
no coincidan
coincidan con
con alguno
alguno de
de los
los
criterios
criterios sern
sern descartados.
descartados.
Aplicacin de la ACL
TIPS
Toda
Toda lista
lista de
de acceso
acceso debe
debe tener
tener al
al menos
menos un
un comando
comando
permit.
permit.
Primero
Primero cree
cree la
la lista
lista de
de acceso,
acceso, yy luego
luego aplquela
aplquela aa la
la
interface.
interface.
Las
Las listas
listas de
de acceso
acceso estn
estn diseadas
diseadas para
para filtrar
filtrar el
el trfico
trfico
que
que atraviesa
atraviesa el
el router.
router. No
No filtran
filtran el
el trfico
trfico originado
originado en
en el
el
router.
router.
Ubique
Ubique las
las listas
listas de
de acceso
acceso estndar
estndar lo
lo ms
ms cerca
cerca posible
posible
del
del destino.
destino.
Ubique
Ubique las
las listas
listas de
de acceso
acceso extendidas
extendidas lo
lo ms
ms cerca
cerca
posible
posible del
del origen.
origen.
Lista de acceso estndar

Configuracin
Utilice
Utilice el
el comando
comando access-list....
access-list....
Router(config)#access-list
<1-99>
IP
<1-99>
IP standard
standard
??
access
access list
list

Configuracin
Utilice
Utilice el
el comando
access-list....
Debe
Debe indicar
indicar si
si va
va aa introducir
introducir un
un comando
comando de
de permiso
permiso oo denegacin
denegacin de
de
acceso
acceso
Router(config)#access-list 10
10 ??
deny
Specify
deny
Specify packets
packets to
to
Permit
Specify
Permit
Specify packets
packets to
to
reject
reject
forward
forward

Configuracin
Utilice
Utilice el
el comando
access-list....
Debe
Debe indicar
indicar si
si va
va aa introducir
introducir un
un comando
comando de
de permiso
denegacin de
de
acceso
acceso
Puede
Puede filtrar
filtrar tanto
tanto un
un host
host especfico
especfico como
como un
un grupo
grupo de
de direcciones
direcciones oo referirse
referirse
aa cualquier
cualquier host
host de
de origen.
origen.
10 deny
deny ??
Hostname
Address
Hostname or
or A.B.C.D
A.B.C.D
Address to
to match
match
any
Any
any
Any source
source host
host
host
A
single
host
host
A single host address
address

Configuracin
El
El uso
uso de
de mscaras
mscaras de
de wildcard
wildcard permite
permite especificar
especificar tanto
tanto un
un host
host individual
individual
como
como un
un grupo
grupo de
de hosts,
hosts, subred
subred oo red
red de
de origen.
origen.
La
La mscara
mscara de
de wildcard
wildcard debe
debe acompaaba
acompaaba la
la direccin
direccin de
de la
la red,
red, subred
subred oo
host
host que
que se
se desea
desea filtrar.
filtrar.
En
En esta
esta mscara,
mscara, el
el dgito
dgito binario
binario en
en 00 indica
indica que
que los
los mismos
mismos dgitos
dgitos de
de la
la
direccin
direccin IP
IP deben
deben coincidir
coincidir exactamente.
exactamente.
10 deny
deny 192.168.2.10
192.168.2.10 0.0.0.0
0.0.0.0
Mscara de wildcard
Direccin IP de origen

Configuracin
El
El uso
uso de
de mscaras
mscaras de
de wildcard
wildcard permite
permite especificar
especificar tanto
tanto un
un host
host individual
individual
como
como un
un grupo,
grupo, subred
subred oo red
red de
de origen.
origen.
Aplique
Aplique la
la lista
lista de
de acceso
acceso aa la
la interface
interface
Router(config)#interface
Router(config)#interface serial
serial 00
Router(config-if)#ip
Router(config-if)#ip access-group
access-group 10
10 out
out
Mscara de wildcard
Direccin
Direccin binaria
binaria de
de 32
32 dgitos
dgitos divididos
divididos en
en 44 octetos.
octetos.
A
A diferencia
diferencia de
de las
las mscaras
mscaras de
de subred,
subred, los
los 00 indican
indican los
los dgitos
dgitos significativos
significativos
aa considerar.
considerar.
host reemplaza
0.0.0.0
El
El comando
comando host
reemplaza aa una
una mscara
mscara de
de wildcard
wildcard 0.0.0.0
any reemplaza
255.255.255.255
El
El comando
comando any
reemplaza aa una
una mscara
mscara de
de wildcard
wildcard 255.255.255.255
La
La mscara
mscara de
de wildcard
wildcard no
no necesariamente
necesariamente toma
toma una
una red
red oo subred
subred completa,
completa,
puede
puede tambin
tambin considerar
considerar bits
bits aislados.
aislados.
00000000.00000000.11111111.11111111
00000000.00000000.11111111.11111111
00
..
00
.. 255
..
255
255
255
10011001.00111010.00110111.11000011
10011001.00111010.00110111.11000011
00000000.00000000.11111111.11111111
00000000.00000000.11111111.11111111
10011001.00111010.00110111.11000011
10011001.00111010.00110111.11000011
00000000.00000000.00000000.00000000
00000000.00000000.00000000.00000000
10011001.00111010.00110111.11000011
10011001.00111010.00110111.11000011
host
host
11111111.11111111.11111111.11111111
11111111.11111111.11111111.11111111
any
any
10011001.00111010.00110111.11000011
10011001.00111010.00110111.11000011
11111111.11111111.11111111.11111110
11111111.11111111.11111111.11111110
Lista de acceso extendida

Configuracin
Como
Como para
para las
las listas
listas de
de acceso
acceso estndar,
estndar, utilice
utilice el
el comando
access-list....
Router(config)#access-list ??
<100-199>
IP
<100-199>
IP extended
extended access
access list
list

Configuracin
Como
Como para
para las
las listas
listas de
de acceso
acceso estndar,
estndar, utilice
utilice el
el comando
access-list....
Ahora,
Ahora, debe
debe indicar
indicar si
si va
va aa introducir
introducir un
un comando
comando de
de permiso
denegacin de
de
acceso.
acceso.
105
deny
Specify
deny
Specify packets
packets
Permit
Specify
Permit
Specify packets
packets
??
to
to
to
to
reject
reject
forward
forward

Configuracin
Como
Como para
para las
las listas
listas de
de acceso
acceso estndar,
estndar, utilice
utilice el
el comando
access-list....
Ahora,
Ahora, debe
debe indicar
indicar si
si va
va aa introducir
introducir un
un comando
comando de
de permiso
denegacin de
de
acceso.
acceso.
Si
Si desea
desea establecer
establecer un
un filtro
filtro utilizando
utilizando criterios
criterios de
de capa
capa de
de aplicacin,
aplicacin, debe
debe
seleccionar
seleccionar ahora
ahora el
el protocolo
protocolo que
que desea
desea filtrar
filtrar
105 deny
deny ??
eigrp
Ciscos
eigrp
Ciscos EIGRP
EIGRP routing
routing protocol
protocol
gre
Ciscos
gre
Ciscos GRE
GRE tunneling
tunneling
--more---more--

Configuracin
A
A continuacin
continuacin debe
debe ingresarse
ingresarse la
la direccin
direccin IP
IP de
de origen
origen que
que se
se desea
desea filtrar,
filtrar,
utilizando
utilizando la
la mscara
mscara de
de wildcard
wildcard para
para indicar
indicar un
un host,
host, red,
red, subred
subred oo grupo.
grupo.
105
A.B.C.D
Source
A.B.C.D
Source address
address
Any
Any
Any
Any source
source host
host
Host
A
single
source
Host
A single source
deny
deny tcp
tcp ??
host
host

Configuracin
A
A continuacin
continuacin debe
debe ingresarse
ingresarse la
la direccin
direccin IP
IP de
de origen
origen que
que se
se desea
desea filtrar,
filtrar,
utilizando
utilizando la
la mscara
mscara de
de wildcard
wildcard para
para indicar
indicar un
un host,
host, red,
red, subred
subred oo grupo.
grupo.
Luego
Luego debe
debe ingresar
ingresar la
la direccin
direccin IP
IP de
de destino,
destino, con
con los
los mismos
mismos criterios.
criterios.
105
A.B.C.D
source
A.B.C.D
source address
address
Any
any
Any
any source
source host
host
Host
A
single
source
Host
A single source
deny
deny tcp
tcp host
host 192.168.2.5
192.168.2.5 ??
host
host

Configuracin
A
A continuacin
continuacin debe
debe ingresarse
ingresarse la
la direccin
direccin IP
IP de
de origen
origen que
que se
se desea
desea filtrar,
filtrar,
utilizando
utilizando la
la mscara
mscara de
de wildcard
wildcard para
para indicar
indicar un
un host,
host, red,
red, subred
subred oo grupo.
grupo.
Luego
Luego debe
debe ingresar
ingresar la
la direccin
direccin IP
IP de
de destino,
destino, con
con los
los mismos
mismos criterios.
criterios.
Finalmente,
Finalmente, el
el sistema
sistema le
le requerir
requerir que
que ingrese
ingrese el
el puerto
puerto TCP
TCP de
de destino
destino
105 deny
deny tcp
tcp host
host 192.168.2.5
192.168.2.5 any
any ??
eq
Match
eq
Match only
only packets
packets on
on aa give
give port
port numer
numer
gt
Match
only
packets
with
a
grater
port
gt
Match only packets with a grater port number
number
--more---more--

Configuracin
105 deny
deny tcp
tcp host
host 192.168.2.5
192.168.2.5 any
any eq
eq 21
21
ACL IP extendida
Deniega el acceso
Paquetes TCP
Puerto TCP de destino
Direccin IP de destino
Direccin IP de origen
Por qu no interesa filtrar tambin segn puerto TCP de origen?
Lista de acceso nombradas

Tips
Pueden
Pueden ser
ser tanto
tanto listas
listas de
de acceso
acceso estndar
estndar como
como
extendidas.
extendidas.
No
No se
se identifican
identifican por
por un
un nmero
nmero sino
sino por
por un
un
nombre.
nombre.
Se
Se crean
crean dentro
dentro de
de un
un sub-modo
sub-modo de
de configuracin
configuracin
de
de las
las listas
listas de
de acceso
acceso nombradas.
nombradas.
Permiten
Permiten editar
editar las
las lneas
lneas de
de la
la lista
lista sin
sin necesidad
necesidad
de
de borrarlas.
borrarlas.
Lista de acceso nombradas

Configuracin
1.
1.
Cree
Cree la
la lista
lista de
de acceso
acceso nombrada
nombrada
Rter(config)#ip
Rter(config)#ip access-list
access-list extended
extended
Rter(config-ext-nacl)#permit
Rter(config-ext-nacl)#permit tcp
tcp any
any
Rter(config-ext-nacl)#permit
udp
any
Rter(config-ext-nacl)#permit udp any
Rter(config-ext-nacl)#Ctrl+Z
Rter(config-ext-nacl)#Ctrl+Z
2.
2.
server-access
server-access
host
host 131.108.101.99
131.108.101.99
host
131.108.101.99
host 131.108.101.99
Aplquela
Aplquela aa la
la interface
interface que
que corresponda
corresponda
Rter(config)#interface
Rter(config)#interface ethernet
ethernet
Rter(config-if)#ip
access-group
Rter(config-if)#ip access-group
Rter(config-if)#Ctrl+Z
Rter(config-if)#Ctrl+Z
00
server-access
server-access out
out
eq
eq
eq
eq
smtp
smtp
domain
domain
Wildcards
Le permite indicar un host, subred, red o
rango de direcciones IP
Los dos nmeros binarios tienen diferentes
significados:
0 = Debe coincidir exactamente
1 = Ignora
Mscara de wildcard
un ejemplo de cmo opera
Mscara de wildcard
un ejemplo de cmo opera
Mscara de wildcard
otro ejemplo de cmo opera
Objetivo: permitir solo direcciones IP impares
Mscara de wildcard
otro ejemplo de cmo opera
Objetivo: permitir solo direcciones IP pares
Ejemplos
Formato de LCA Estndar
access-list # permit/deny IP Origen wildcard
Ejemplo:
A(config)#access-list 5 deny 172.22.5.2 0.0.0.0
A(config)#access-list 5 permit any
Y qu hace la Lista de Acceso?

Hace lo siguiente:
deny
172.22.5.2
Accin
IP Origen
Hace
Address
acepta
0.0.0.0
Wildcard
Compara la IP Origen
Exactamente
Si el paquete de 172.22.5.2 llega a este router ser descartado. De acuerdo

con la segunda lnea un paquete del host 172.22.5.3 deber tambin ser
descartado
La ltima lnea permite todo otro trfico a travs del router
Ejemplos
Ejemplo:
Qu pasa si ahora tipea lo siguiente:
A(config)#access-list 5 deny 172.22.5.4 0.0.0.0?
Ejemplos
Resultado de la nueva lnea de la lista de acceso:
Por qu la ltima lnea no tiene efecto?

Cmo podra corregirse esta situacin?
Ejemplos de Wildcard
IP Origen
195.34.5.12
Wildcard
0.0.0.0
Consecuencia: Compara los cuatro octetos

195.34.5.12 es comparado totalmente
Podra tambin host 195.34.5.12 en lugar del wildcard.
Host
comparacin exacta.
Ejemplos de Wildcard
IP Origen
172.16.10.0
Resultado:
Wildcard
0.0.0.255
Compara los primeros 3 octetos
exactamente
(valores 0 en Wd= compara exactamente)

pero ignora el ltimo octeto (255=todos los 1 en binarios)
172.16.10.0 hasta 172.16.10.255 es comparado, cualquier
valor entre estos dos es reconocido.
Cualquier paquete desde la subred 172.16.10.0 es
reconocido.
Ejemplos Wildcard
IP Origen
172.16.10.0
Wildcard
0.0.31.255
Observe el tercer octeto

31 en binario es 000 11111
debe comparar
no debe

De esta manera los primeros 3 bits deben ser 0s y los ltimos
5 bits no importan, son 1s. De esta forma son aceptables los
valores entre 172.16.0.0 y 172.16.31.255
Son aceptables los valores entre 172.16.0.0 y 172.16.31.255

El valor de 172.16.32.0 no sera comparado porque
32 en binario = 00100000 y esto nos coloca en los
primeros tres dgitos
debe comparar
no debe
Fluctuacin de 10 a 64
IP Origen
172.16.64.0
Wildcard
0.0.31.255
Concentrarse en el tercer octeto

debe comparar
no debe

De tal modo que los 3 primeros bits deben ser 010 y
los ltimos 5 bits no interesan. De esta manera los
valores son aceptables?
Fluctuacin de 10 a 64
IP Origen
172.16.64.0
Wildcard
0.0.31.255
Concentrarse en el tercer octeto

debe comparar
no debe

Los valores aceptables son 01000000 = 64 hasta
01011111 = 95
Probar ste
IP Origen
10.0.0.0
Wildcard
0.0.255.255
Los primeros dos octetos deben comprobar que

todas las direcciones IP que comienzan con 10.0
sean comparadas. El rango es 10.0.0.0 hasta
10.0.255.255
Resumen: Wildcards
Son utilizadas para sealar un host, subnet, red o rango
de direcciones IP.
1 = Ignora (un 1 se ve como una I en Ignorar)
0 = Debe comparar exactamente

Listas de Acceso

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Listas de Acceso

Caricato da

Copyright:

Formati disponibili

Cisco Networking Academy Program

Listas de Control de Acceso

Listas de Control de Acceso

Esencialmente son listas de condiciones para poder acceder a

Listas de Control de Acceso

Listas de Control de Acceso

Listas de Control de Acceso

Listas de Acceso de Ingreso

Lista de acceso estndar

Lista de acceso estndar

Lista de acceso estndar

Lista de acceso estndar

Lista de acceso estndar

Lista de acceso extendida

Lista de acceso extendida

Lista de acceso extendida

Lista de acceso extendida

Lista de acceso extendida

Lista de acceso extendida

Lista de acceso extendida

Puerto TCP de destino

Por qu no interesa filtrar tambin segn puerto TCP de origen?

Lista de acceso nombradas

Lista de acceso nombradas

A(config)#access-list 5 deny 172.22.5.2 0.0.0.0

Si el paquete de 172.22.5.2 llega a este router ser descartado. De acuerdo

Por qu la ltima lnea no tiene efecto?

Consecuencia: Compara los cuatro octetos

(valores 0 en Wd= compara exactamente)

Observe el tercer octeto

10 en binario es 000 01010

Son aceptables los valores entre 172.16.0.0 y 172.16.31.255

10 en binario es 000 01010

Concentrarse en el tercer octeto

64 en binario es 010 00000

Concentrarse en el tercer octeto

64 en binario es 010 00000

Los primeros dos octetos deben comprobar que

Potrebbero piacerti anche