Alumno: Jesus Yair Gregório
Rodriguez Lira
|
Fecha:
09 / 12 / 2018
|
Carrera: Tecnologias De La Información Área
Desarrollo de Software Multiplataforma.
|
Grupo: TIDSM 21
|
Asignatura: Interconexión de Redes
|
Unidad
temática: VIII
|
Profesor:
MCE. Héctor Hugo Domínguez Jaime
|
|
|
|
Título: Proceso de desarrollo de ACL
I.-
Introducción
En este reporte veremos y
comprenderemos como desarrollar los procesos para el desarrollo de las ACL, el
dominio las ACL para un administrador de redes es sumamente importante ya que
es el dominio de las listas de control ya que tener conocimiento de este es
sumamente importante si te quieres dedicar a ser un administrador de redes.
II.
Objetivos:
El alumno deberá entender el proceso
de desarrollo de las ACL y comprender el
procedimiento de las listas de acceso estándares.
III.- Desarrollo:
En un
router Cisco, puede
configurar un firewall simple que proporcione capacidades básicas de filtrado
de tráfico mediante ACL. Los
administradores utilizan las ACL para detener el tráfico o para permitir
solamente tráfico específico en sus redes.
Una ACL es una serie de comandos del IOS que controlan si un router
reenvía o descarta paquetes según la información que se encuentra en el
encabezado del paquete. Las ACL son una de las características del
software IOS de Cisco más utilizadas.
TAREAS DE LAS ACL:
1-.Limitan el
tráfico de la red para aumentar su rendimiento. Por
ejemplo, si la política corporativa no permite el tráfico de video en la red,
se pueden configurar y aplicar ACL que bloqueen el tráfico de video.
2-.Proporcionan control del flujo de tráfico. Las ACL pueden
restringir la entrega de actualizaciones de routing para asegurar que las
actualizaciones provienen de un origen conocido.
3-.Filtran el tráfico según el tipo de tráfico. Por ejemplo,
una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el
tráfico de Telnet.
4-.Filtran a los hosts para permitirles o denegarles el acceso a
los servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el
acceso a determinados tipos de archivos, como FTP o HTTP.
FILTRADO
DE PAQUETES
Una ACL
es una lista secuencial de instrucciones permit (permitir) o deny (denegar),
conocidas como “entradas
de control de acceso”
(ACE). Las ACE también se denominan comúnmente “instrucciones de ACL”. Cuando
el tráfico de la red atraviesa una interfaz configurada con una ACL, el router
compara la
información dentro del paquete con cada ACE, en orden secuencial, para
determinar si el paquete coincide con una de las ACE. Este proceso se
denomina filtrado
de paquetes.
Las ACL estándar filtran
sólo en la Capa 3. Las ACL extendidas filtran en las capas 3 y 4.
El criterio de filtrado
establecido en cada ACE de una ACL de IPv4 estándar es la dirección IPv4 de
origen. Un router configurado con una ACL de IPv4 estándar recupera la
dirección IPv4 de origen del encabezado del paquete. El router comienza en la
parte superior de la ACL y compara la dirección con cada ACE de manera
secuencial. Cuando encuentra una coincidencia, el router realiza la
instrucción, que puede ser permitir o denegar el paquete. Una vez que se halla
una coincidencia, las ACE restantes de la ACL, si las hubiera, no se analizan.
Si la dirección IPv4 de origen no coincide con ninguna ACE en la ACL, se
descarta el paquete.
La última instrucción de una ACL es siempre una denegación
implícita. Esta sentencia se inserta automáticamente al final de cada ACL,
aunque no esté presente físicamente. La denegación implícita bloquea todo el
tráfico. Debido a esta denegación implícita, una ACL que no tiene, por lo
menos, una instrucción permit bloqueará todo el tráfico.
FUNCIONAMIENTO DE LAS ACL
Las Listas de Control de
Acceso definen el conjunto de reglas que proporcionan un control adicional para
los paquetes que ingresan por las interfaces de entrada, para los que
retransmiten a través del router y para los que salen por las interfaces de
salida del router. Las ACL no operan sobre paquetes que se originan en el
router mismo.
§
ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la
interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la
sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL permiten
el paquete, este se procesa para el routing. Las ACL de entrada son ideales
para filtrar los paquetes cuando la red conectada a una interfaz de entrada es
el único origen de los paquetes que se deben examinar.
§
ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida
y después se procesan mediante la ACL de salida. Las ACL de salida son ideales
cuando se aplica el mismo filtro a los paquetes que provienen de varias
interfaces de entrada antes de salir por la misma interfaz de salida.
MÁSCARAS
WILDCARD EN ACL
Las ACE de IPv4 incluyen el uso de máscaras wildcard. Una máscara
wildcard es una cadena de 32 dígitos binarios que el router utiliza para
determinar qué bits de la dirección debe examinar para obtener una coincidencia.
Como ocurre con las
máscaras de subred, los números 1 y 0 en la máscara wildcard identifican lo que
hay que hacer con los bits de dirección IPv4 correspondientes
REGLAS PARA APLICAR LAS ACL
Se puede configurar una ACL por
protocolo, por sentido y por interfaz: Una ACL por protocolo: para
controlar el flujo de tráfico en una interfaz, se debe definir una ACL para
cada protocolo habilitado en la interfaz. (p. ej., IPv4 o IPv6)
Una ACL por sentido: Las ACL
controlan el tráfico en una interfaz de a un sentido por vez. Se deben crear
dos ACL diferentes para controlar el tráfico entrante y saliente. (es
decir, de entrada o de salida)
Una ACL por interfaz: las ACL
controlan el tráfico para una interfaz, por ejemplo, GigabitEthernet 0/0.
DÓNDE UBICAR LAS ACL
Cada ACL se debe colocar
donde tenga más impacto en la eficiencia. Como se muestra en la Imagen 12, las
reglas básicas son las siguientes:
§
ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen
del tráfico que se filtrará. De esta manera, el tráfico no deseado se deniega
cerca de la red de origen, sin que cruce la infraestructura de red.
§
ACL estándar: debido a que en las ACL estándar no se especifican las
direcciones de destino, colóquelas tan cerca del destino como sea posible. Si
coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que
ese tráfico llegue a cualquier otra red a través de la interfaz a la que se
aplica la ACL.
Nota: Aunque las ACL extendidas están
fuera del ámbito del examen de ICND1/CCENT, debe conocer las pautas generales
para colocar tanto la ACL estándar como la extendida.
Ubicación de las ACL
De acuerdo con las
pautas básicas de colocación de ACL estándar cerca del destino, en la
ilustración se muestran dos interfaces posibles del R3 a las que aplicar la ACL
estándar:
§
Interfaz S0/0/1 del R3: la aplicación de una ACL estándar
para impedir que el tráfico de 192.168.10.0/24 ingrese a la interfaz S0/0/1
evita que dicho tráfico llegue a 192.168.30.0/24 y al resto de las redes a las
que puede llegar el R3. Esto incluye la red 192.168.31.0/24. Dado que el
objetivo de la ACL es filtrar el tráfico destinado solo a 192.168.30.0/24, no
se debe aplicar una ACL estándar a esta interfaz.
§
Interfaz G0/0 del R3: al aplicar una ACL estándar al
tráfico que sale por la interfaz G0/0, se filtran los paquetes que van de
192.168.10.0/24 a 192.168.30.0/24. Esto no afecta a las otras redes a las que
puede llegar el R3. Los paquetes de 192.168.10.0/24 aún pueden llegar a
192.168.31.0/24.
El proceso de creación de una ACL se lleva a cabo
creando la lista y posteriormente asociándola a una interfaz entrante o
saliente.
Configuración de ACL estándar
Router(config)#access-list[1-99][permit|deny][dirección
de origen][mascara comodín]
§ Donde:
§ 1-99 Identifica
el rango y la lista.
§ Permit|deny indica
si esta entrada permitirá o bloqueará el tráfico a partir de la dirección
especificada.
§ Dirección de
origen identifica la dirección IP de origen.
§ Mascara comodín
o wildcard identifica los bits del campo de la dirección
que serán comprobados.
§ La mascara
predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociación de la lista a una interfaz
§ Router(config-if)#ip
access-group[nº de lista de acceso][in|out]
§ Donde:
§ Número de lista
de acceso indica el número de lista de acceso que será
aplicada a esa interfaz.
§ In|out selecciona
si la lista de acceso se aplicará como filtro de entrada o de salida.
Ejemplo de una ACL estándar denegando una red:
§ Router#configure
terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in
§ Se ha
denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,
Posteriormente se asocio la ACL a la interfaz Serial 0.
Configuración de ACL extendida
§ El proceso de
configuración de una ACL IP extendida es el siguiente:
§ Router(config)#access-list[100-199][permit|deny][protocol][dirección
de origen][mascara comodín][dirección de destino][mascara de
destino][puerto][establisehed][log]
100-199 identifica el rango y número de lista
Permit|deny: indica si la entrada permitirá o bloqueara
la dirección especificada.
Protocolo: como por ejemplo IP, TCP, UDP, ICMP
§ Dirección
origen y destino: identifican direcciones IP de origen y destino.
§ Mascara
wildcard origen y mascara destino: Son las mascaras comodín.
Las 0 indican las posiciones que deben coincidir, y los 1 las “que no
importan”.
§ Puerto:(opcional)
puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq
(distinto que) y un número de puerto de protocolo correspondiente.
§ Establisehed: (opcional) Se
usa solo para TCP de entrada. Esto permite que él rafico TCP pase si el paquete
utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK)
§ Log: (opcional)
Envía un mensaje de registro a la consola a un servidor syslog determinado.
§ Algunos de
los números de puertos más conocidos:
§ 20 Datos del
protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS
§
§ Asociación de
la lista a una interfaz
§ Router(config-if)#ip
access-group[nº de lista de acceso][in|out]
§ Donde:
§ Número de lista
de acceso indica el número de lista de acceso que será
aplicada a esa interfaz.
§ In|out selecciona
si la lista de acceso se aplicará como filtro de entrada o de salida.
§
§ Ejemplo de
una ACL Extendida denegando un host hacia el puerto 80 de una red:
§ Router(config)#access-list
120 deny tcp host 204.204.10.1 any eq 80
Router(config)#access-list 120 permit ip any any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in
§ Se ha
denegado al host 204.204.10.1, (identificándolo con la abreviatura “host”)
hacia el puerto 80 de cualquier red de destino (usando el termino any).
Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz
Serial 1 como entrante.
Aplicación de una ACL a la linea de telnet
§ Para evitar
intrusiones no deseadas en las conexiones de telnet se puede crear una
lista de acceso estándar y asociarla a la Line VTY. El proceso de creación se
lleva a cabo como una ACL estándar denegando o permitiendo un origen hacia esa
interfaz. El modo de asociar la ACL a la Línea de telnet es el siguiente:
§ router(config)#line
vty 0 4
router(config-line)#access-class[Nº de lista de acceso][in|out]
§
§ Como eliminar
las listas de acceso
§ Desde el modo
interfaz donde se aplico la lista:
§ Router(config-if)#no
ip access-group[Nº de lista de acceso]
§ Desde el modo
global elimine la ACL
§ router(config)#no
access-list[Nº de lista de acceso]
Conclusión:
En este resumen se ve que es una ACL cuáles son sus funciones donde se localiza
como es que se utiliza y lo más impórtate es como implementarla para que
funcione correctamente yo no tenía idea de que era una ACL pero ya al
investigar y al saber lo que es en realidad y como es que se compone entiendo
que es de gran importancia para que un administrador de red pueda desempeñar su
trabajo de una manera más eficaz también se mira cual es el comando o los
comandos para activar un ACL y también el comando para poder desactivarla en un
cierto momento que se necesite.
Bibliografía
Ariganello, E. (06 de noviembre de 2006). Aprende
Redes ccna. Recuperado el 30 de 03 de 2019, de Aprende Redes ccna:
http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/
Network, C. A. (52 de febrero de 2010). Netacad.
Recuperado el 30 de 03 de 2019, de Netacad:
https://static-course-assets.s3.amazonaws.com/RSE6/es/index.html#7.1.1.1