acls
Páginas: 5 (1113 palabras)
Publicado: 12 de noviembre de 2013
ACL (Listas de Control de Acceso)
Resumen, para el curso de Cisco
Por Hilmar Zonneveld
Propósito
Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna manera debe ser considerado como un sustituto de la lectura del capítulo correspondiente, de la asistencia a la presentación del instructor o - ¡peor aun! - de participar en las prácticas.
Bibliografía
En laversión 2 del del curso CCNA, el tema de las ACL aparece en el semestre 3.
En la versión 3 del curso CCNA, el tema aparece en el semestre 2.
Una búsqueda en www.cisco.com puede ser muy provechosa. Por ejemplo, http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml contiene una descripción general de las ACL.
Protocolos IP y números de puerto: RFC 1700, enhttp://www.ietf.org/rfc/rfc1700.txt?number=1700.
Propósito de las ACL
Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junton con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).
Puntos varios, que se deben recordar
Una ACL es una lista de una o más instrucciones.
Se asigna una lista a una o másinterfaces.
Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.
El router analiza cada paquete, comparándolo con la ACL correspondiente.
El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantesrenglones.
Es por eso que hay que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!
Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.
Cualquier línea agregada a una ACL se agrega al final. Paracualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.
Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.
También podemos usar ACLnombradas en vez de usar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones). No trataré las listas nombradas en este resumen.
Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
Sugerencia para el examen: Se deben conocer losrangos de números de las ACL, incluso para protocolos que normalmente no nos interesan.
Wildcards
"Wildcard" significa "comodín", como el joker en el juego de naipes.
Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la dirección de destino, se especifican las direcciones como dos grupos de números: un número IP, y una máscara wildcard.
Si se traduce a binario, los "1"en la máscara wildcard significan que en la dirección IP correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los "0" por "1" y los "1" por "0" (en binario).
Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden denegar todas las máquinas con números IP impares, o permitir elrango de IP 1-31, en varias subredes a la vez.
Ejemplos:
Permitir o denegar un IP específico: 172.16.0.1 0.0.0.0. Se puede abreviar como host 172.16.0.1.
Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo corresponde a una subred /24, es decir, máscara de subred = 255.255.255.0.)
Permitir o denegar a todos: 0.0.0.0 255.255.255.255. Se puede abreviar como any.
Colocación de las...
Resumen, para el curso de Cisco
Por Hilmar Zonneveld
Propósito
Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna manera debe ser considerado como un sustituto de la lectura del capítulo correspondiente, de la asistencia a la presentación del instructor o - ¡peor aun! - de participar en las prácticas.
Bibliografía
En laversión 2 del del curso CCNA, el tema de las ACL aparece en el semestre 3.
En la versión 3 del curso CCNA, el tema aparece en el semestre 2.
Una búsqueda en www.cisco.com puede ser muy provechosa. Por ejemplo, http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml contiene una descripción general de las ACL.
Protocolos IP y números de puerto: RFC 1700, enhttp://www.ietf.org/rfc/rfc1700.txt?number=1700.
Propósito de las ACL
Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junton con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).
Puntos varios, que se deben recordar
Una ACL es una lista de una o más instrucciones.
Se asigna una lista a una o másinterfaces.
Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.
El router analiza cada paquete, comparándolo con la ACL correspondiente.
El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantesrenglones.
Es por eso que hay que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!
Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.
Cualquier línea agregada a una ACL se agrega al final. Paracualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.
Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.
También podemos usar ACLnombradas en vez de usar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones). No trataré las listas nombradas en este resumen.
Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
Sugerencia para el examen: Se deben conocer losrangos de números de las ACL, incluso para protocolos que normalmente no nos interesan.
Wildcards
"Wildcard" significa "comodín", como el joker en el juego de naipes.
Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la dirección de destino, se especifican las direcciones como dos grupos de números: un número IP, y una máscara wildcard.
Si se traduce a binario, los "1"en la máscara wildcard significan que en la dirección IP correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los "0" por "1" y los "1" por "0" (en binario).
Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden denegar todas las máquinas con números IP impares, o permitir elrango de IP 1-31, en varias subredes a la vez.
Ejemplos:
Permitir o denegar un IP específico: 172.16.0.1 0.0.0.0. Se puede abreviar como host 172.16.0.1.
Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo corresponde a una subred /24, es decir, máscara de subred = 255.255.255.0.)
Permitir o denegar a todos: 0.0.0.0 255.255.255.255. Se puede abreviar como any.
Colocación de las...
Leer documento completo
Regístrate para leer el documento completo.