Las listas de acceso tienen muchas funciones dentro de los Routers , Switches y dispositivos de Seguridad (QoS, VPN , PBR…) , pero el más
común es para filtrar paquetes.
Las ACLs permiten a los ingenieros una manera de identificar los paquetes
en varias formas (IP, TCP, UDP) o por origen y destino ya sea por IP o puerto.
Desde el punto de vista lógico, las listas de acceso pueden ser
aplicadas para los paquetes entrantes a la interfaz o para los paquetes
salientes.
Una vez el router tenga las listas de acceso configuradas inspeccionara
cada paquete y dependiendo de la regla de la lista determinara si deja pasar o
no a ese paquete.
Las listas de acceso solo permiten 2 acciones, permitir y denegar.
ACLs usan “first-match logic”,
esto significa que una vez un paquete coincide
con una línea del ACL , el router tomara la acción y no buscara por mas
entradas en la lista de acceso.
Si un paquete no coincide con ningún ACL , el paquete es descartado. La
razón es que todas las ACL tienen una denegación implícita al final.
Tipos de listas de acceso
Cisco IOS contiene las siguientes listas de acceso :
·
Estándar
numeradas (1–99)
·
Extendidas numeradas (100–199)
·
Números
adicionales (1300–1999 estándar,
2000–2699 extendidas)
·
ACL nombradas
Listas de acceso
Estándar ACL solo filtra los paquetes por su dirección de origen ,
utiliza numero en lugar de nombres.
Access-list {1-99 | 1300-1999}
{permit | deny} matching-parameters
Ejemplo:
Access-list 5 permit 192.168.2.0 255.255.255.0
Access-list 5 deny 192.168.3.0 255.255.255.0
Mascaras Comodin “Wildcard Masks”
0.0.0.255, 0.0.255.255, 0.255.255.255
En los routers para identificar las redes , o los hosts de de esas redes
que necesitamos filtrar es necesario hacer el proceso de subneteo mediante
estas mascaras.
El valor de un “Wildcard mask” puede ser obtenido , substrayendo la
mascara actual a la mascara de Broadcast 255.255.255.255
Por ejemplo si queremos filtrar la subred 192.168.1.0 255.255.255.0 , restamos la mascara original a la mascara
de Broadcast , dándonos como resultado la mascara comodín 0.0.0.255
Otro ejemplo:
Si queremos filtrar la red 172.16.32.0 255.255.248.0 , usaríamos la
mascara comodín 0.0.7.255 en nuestra lista de acceso.
Ejemplo:
Access-list 101 permit 172.16.32.0 0.0.7.255 any
En algunos casos vamos a
necesitar permitir/denegar todo el trafico , con la palabra “any” vamos a ser
posible esto dentro del ACL.
Listas de acceso extendidas
Muy similar a las listas de acceso estándar, deben ser habilitadas en la
interfaz para los paquetes salientes o entrantes. IOS busca secuencial mente y
usa la lógica de “first-match”.
Las listas de acceso extendidas se diferencian de las estándar , por la
gran cantidad de paquetes con diferentes encabezados que permiten filtrar, una
sola lista de acceso extendida puede filtrar múltiples puertos de aplicaciones
en TCP/UDP .
Ejemplos
Access-list 101 deny icmp any any
Access-list 101 permit tcp eq
https any any
Access-list 101 deny udp eq 2436 any
any
Listas de Acceso Nombradas
Al igual que las listas de acceso estándar y extendidas, las listas de
acceso nombradas son usadas para filtrar paquetes.
Las listas de acceso nombradas tienen 3 diferencias fundamentales en comparación
a las anteriores:
•Usan nombres en lugar de números , facilitando el recordar la funcion del ACL
• Usan subcomandos para las ACL , no comandos globales.
• Funciones de edición en la ACL permiten al usuario eliminar lineas
independientes y agregar nuevas lineas a la existente ACL.
Ejemplo de un ACL Nombrada:
Router(config)# ip access-list
extended Test
Router(config-ext-nacl)# permit
tcp host 10.1.1.2 eq www any
Router(config-ext-nacl)# deny udp
host 10.1.1.1 10.1.2.0 0.0.0.255
Router(config-ext-nacl)# deny ip 10.1.3.0
0.0.0.255 10.1.2.0 0.0.0.255
Router(config-ext-nacl)# deny ip
10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255
Router(config-ext-nacl)# permit ip
any any
Router(config-ext-nacl)# exit
Router(config)# interface
fastethernet 0/0
Router(config)# ip access-group
test out
Espero sea de ayuda
- Randy -
