Listas de acceso, cisco.
Páginas: 7 (1659 palabras)
Publicado: 10 de noviembre de 2011
ACL : Permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junton con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).
Puntos varios, que se deben recordar
* Una ACL es una lista de una o más instrucciones.
* Se asigna una lista a una o más interfaces.
* Cada instrucción permite o rechaza tráfico, usandouno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.
* El router analiza cada paquete, comparándolo con la ACL correspondiente.
* El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones.
* Es por eso que hay que listar loscomandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!
* Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.
* Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación,se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
* Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.
* Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.
* También podemos usar ACL nombradas en vez deusar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones). No trataré las listas nombradas en este resumen.
* Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
Wildcards
Una máscara wildcard es una cantidad de 32-bitsque se divide en cuatro octetos. Una máscara wildcard se compara con una dirección IP. Los números uno y cero en la máscara se usan para identificar cómo tratar los bits de la dirección IP correspondientes. El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el “wildcard” (comodín) que equivale a cualquier otro naipeen un juego de póquer. Las máscaras wildcard no guardan relación funcional con las máscaras de subred. Se utilizan con distintos propósitos y siguen distintas reglas. Las máscaras de subred y las máscaras de wildcard representan dos cosas distintas al compararse con una dirección IP. Las máscaras de subred usan unos y ceros binarios para identificar las porciones de red, de subred y de host de unadirección IP. Las máscaras de wildcard usan unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos según el valor de las mismas. La única similitud entre la máscara wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros.
Tanto en la dirección de origen, como (en el caso de las ACL extendidas)en la dirección de destino, se especifican las direcciones como dos grupos de números: un número IP, y una máscara wildcard.
Si se traduce a binario, los "1" en la máscara wildcard significan que en la dirección IP correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los "0" por "1" y los "1" por "0"(en binario).
Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden denegar todas las máquinas con números IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.
Ejemplos:
Permitir o denegar un IP específico: 172.16.0.1 0.0.0.0. Se puede abreviar como host 172.16.0.1.
Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo corresponde a una...
Puntos varios, que se deben recordar
* Una ACL es una lista de una o más instrucciones.
* Se asigna una lista a una o más interfaces.
* Cada instrucción permite o rechaza tráfico, usandouno o más de los siguientes criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.
* El router analiza cada paquete, comparándolo con la ACL correspondiente.
* El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones.
* Es por eso que hay que listar loscomandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!
* Si no encuentra una coincidencia en ninguno de los renglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.
* Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación,se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí.
* Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.
* Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen; la dirección de destino; y el protocolo utilizado.
* También podemos usar ACL nombradas en vez deusar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones). No trataré las listas nombradas en este resumen.
* Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
Wildcards
Una máscara wildcard es una cantidad de 32-bitsque se divide en cuatro octetos. Una máscara wildcard se compara con una dirección IP. Los números uno y cero en la máscara se usan para identificar cómo tratar los bits de la dirección IP correspondientes. El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el “wildcard” (comodín) que equivale a cualquier otro naipeen un juego de póquer. Las máscaras wildcard no guardan relación funcional con las máscaras de subred. Se utilizan con distintos propósitos y siguen distintas reglas. Las máscaras de subred y las máscaras de wildcard representan dos cosas distintas al compararse con una dirección IP. Las máscaras de subred usan unos y ceros binarios para identificar las porciones de red, de subred y de host de unadirección IP. Las máscaras de wildcard usan unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos según el valor de las mismas. La única similitud entre la máscara wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros.
Tanto en la dirección de origen, como (en el caso de las ACL extendidas)en la dirección de destino, se especifican las direcciones como dos grupos de números: un número IP, y una máscara wildcard.
Si se traduce a binario, los "1" en la máscara wildcard significan que en la dirección IP correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los "0" por "1" y los "1" por "0"(en binario).
Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden denegar todas las máquinas con números IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.
Ejemplos:
Permitir o denegar un IP específico: 172.16.0.1 0.0.0.0. Se puede abreviar como host 172.16.0.1.
Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo corresponde a una...
Leer documento completo
Regístrate para leer el documento completo.