Access Control List
Modulo 11, Semestre 2 CCNA.
Introducción

Las listas de control de Acceso (ACLs) son
un conjunto de condiciones que se aplican al
tráfico que viaja a traves de la interfaz de un
enrutador.

Las ACLs le dicen al entutador que tipos de
paquetes aceptar o negar.

Con estas listas podemos habilitar el manejo
del tráfico y accesos seguros desde y hacia
una red ya sea interna o externa.
Búsqueda secuencial.
Rango de ACLs según el protocolo.
Basic Rules.

Una lista de acceso por protocolo por dirección.

Las ACLs estándares deben aplicarse lo mas cerca al destino.

Las ACLs extendidas deben aplicarse lo mas cerca a la fuente.

Para saber si la aplicación de la lista sera de entrada o de salida
tenemos que visualizar como el router ve el tráfico.

Los enunciados son procesados de forma secuencial desde el
inicio hasta que el tráfico coincide con alguno. Si no coincide con
ningún enunciado entonces el paquete es negado.

Existe un “implicit deny” al final de todas las ACLs.

Los enunciados de las ACLs deben escribirse de lo especifico a lo
general (hosts especificos deben negarse primero y grupos o
filtros mas generales después).
Rules.






Primero se evalua si el tráfico coincide con alguna regla, si
coincide con alguna, entonces se realiza la función de permitir o
negar.
Nunca trabajar con una ACL que se encuentra aplicada y
funcionando en una interfaz.
Se recomienda utilizar un editor de texto para crear comentarios
sobre las condiciones que se estan evaluando para corrobar
que es la lógica correcta.
Al añadir nuevas lineas a una ACL, se agregarán al final de la
lista. El comando no access-list x removerá toda la lista, no se
pueden seleccionar únicamente líneas para borrar.
Una IP ACL enviará un “ICMP host unreachable message” a
quien envía un paquete que fue rechazado y descartará el
paquete.
Hay que tener cuidado al remover una ACL. Si esta se
encuentra aplicada a una interfaz en producción y es removida
puede que el IOS (varia segun la version) niegue todo el tráfico.
Wildcard y palabras especiales.

Wildcard mask es una cantidad de 32 bits dividida en 4 octetos.

Los 0s y los 1s se utilizan para identificar como se deben tratar los bits
correspondientes de la IP.

Existen algunas palabras con las que se pueden sustituir las wildcard
masks. La palabra host sustituye a la wildcard mask 0.0.0.0 y any
sustituye a 255.255.255.255.
Verificando ACLs

Comandos show que nos permiten verificar la
creación y aplicación de nuestras ACLs:
– show ip interface
– show access-lists
– show running-config
Standard ACLs.
Extended ACLs.
Extended ACLs.
Named ACLs

IP named ACLs se introdujeron a partir de los Cisco
IOS 11.2, permitiendo las ACLs standard y extended
pudieran definirse con nombres en lugar de números.

Ventajas:
– Es mas fácil identificar a una ACL por un nombre.
– Elimina las reestricciones de la numeración por tipo de ACL.
– Provee la habilidad de modificar las ACLs sin borrarlas. Se
pueden añadir líneas al final de las ya creadas.
Named ACLs
Placing ACLs.

Recordar: Un administrador sólo puede colocar una ACL en un
router sobre el cual tenga control, por lo tanto el lugar donde se
coloca debe ser determinado por el contexto en el que nos
encontramos.
Firewalls.

Recordando:
– Un firewall es una estructura que existe entre el usuario y el mundo
exterior para proteger nuestra red interna de intrusos. Las ACLs
pueden funcionar como Firewalls.
Restricting VTYs

Para aplicar una ACL a una interfaz utilizamos el
comando ip access-group, para aplicarla a una
terminal virtual utilizamos el comando access-class.

Consideraciones al configurar lineas VTY:
– Solo pueden ser aplicadas “numbered ACLs”.
– Se tienen que establecer reestricciones idénticas en todas
las terminales virtuales, ya que un intruso puede tratar de
conectarse a cualquiera de ellas.
Restricting VTYs
TAREA

Leer:
– Modulo 11, CCNA Semestre 2.
Descargar

Access Control List