Cuestionario: ACL (Listas de Control de Acceso)

¿Qué es una lista de control de acceso?

Definición: Son condiciones que se aplican al tráfico de red que entra y sale por medio de una interfaz.

Definición CISCO: Son listas de condiciones usadas para verificar el tráfico de red que atraviesa una interfaz de un router. Esta lista le dice al router que tipo de paquetes son aceptados o rechazados.

¿Qué es una ACL estándar?

Son listas de control de acceso con características basadas en:

Rango numérico de 1 hasta 99 y de 1300 a 1999
Filtran solamente por la fuente de la dirección IP
Usan máscaras WILCARD
Están más cerca del destino (ya que nos indican un destino, siempre que estén asociadas van en modo salida)

¿Qué es una ACL extendida?

Son listas de control de acceso cuyas características se basan en:

Rango numérico de 100 hasta 199 y de 2000 a 2699
Fuente y destino envían una dirección IP
Número de protocolo: capa 4 (TELNET, FTP)
Están más cerca a la fuente de origen y van en modo entrada
Aplica a servicios o puertos (capa 4)

¿Qué es una máscara WILCARD?

Es un tipo de máscara diseñada para filtrar IPs de forma individual o múltiple.

¿Cómo se aplica una ACL dentro de la configuración de un router?

Las ACL se crean en el modo de configuración global. Existen varias clases diferentes de ACLs: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de lista.

Router en Modo Global

Clases de ACLs

Después de ingresar al modo de comando apropiado y que se decide el número de tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parámetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de número de lista, el usuario tipea las condiciones usando el comando access-list seguido de los parámetros apropiados. Este es el primero de un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada.

En TCP/IP, las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, usando el comando ip access-group en el modo de configuración de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicación entrante o saliente. Es posible establecer la dirección del filtro para verificar los paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL controla el tráfico entrante o saliente, el administrador de red necesita mirar las interfaces como si se observara desde dentro del router. Este es un concepto muy importante. Una lista de acceso entrante filtra el tráfico que entra por una interfaz y la lista de acceso saliente filtra el tráfico que sale por una interfaz. Después de crear una ACL numerada, se la debe asignar a una interfaz. Una ACL que contiene sentencias ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla.

Recreando una ACL

Es necesario utilizar estas reglas básicas a la hora de crear y aplicar las listas de acceso.

Una lista de acceso por protocolo y por dirección.
Se deben aplicar las listas de acceso estándar que se encuentran lo más cerca posible del destino.
Se deben aplicar las listas de acceso extendidas que se encuentran lo más cerca posible del origen.
Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router.
Las sentencias se procesan de forma secuencial desde el principio de la lista hasta el final hasta que se encuentre una concordancia, si no se encuentra ninguna, se rechaza el paquete.

Hay un deny any (denegar cualquiera)implícito al final de todas las listas de acceso. Esto no aparece en la lista de configuración.

Las entradas de la lista de acceso deben realizar un filtro desde lo particular a lo general. Primero se deben denegar hosts específico y por último los grupos o filtros generales.

Primero se examina la condición de concordancia. El permiso o rechazo se examina SÓLO si la concordancia es cierta.

Nunca trabaje con una lista de acceso que se utiliza de forma activa.

Utilice el editor de texto para crear comentarios que describan la lógica, luego complete las sentencias que realizan esa lógica.

Siempre, las líneas nuevas se agregan al final de la lista de acceso. El comando no access-listx elimina toda la lista. No es posible agregar y quitar líneas de manera selectiva en las ACL numeradas.

Una lista de acceso IP envía un mensaje ICMP llamado de host fuera de alcance al emisor delpaquete rechazado y descarta el paquete en la papelera de bits.

Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de acceso se aplica a una interfaz de producción y se la elimina, según sea la versión de IOS, puede haber una deny any (denegar cualquiera) por defecto aplicada a la interfaz, y se detiene todo el tráfico.

Los filtros salientes no afectan al tráfico que se origina en el router local.

Visto en CISCO CCNA 1-2

marzo 25, 2011
Categorías: Uncategorized . Etiquetas:ACL, estándar, extendida, IP, router, WILCARD . Autor: Andres Suárez

Deja un comentario

No hay comentarios aún.

Comments RSS TrackBack Identifier URI

D	L	M	X	J	V	S
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Suscripción por correo electrónico

Entradas recientes

Ver posts de