Please enable JavaScript.
Coggle requires JavaScript to display documents.
listas de control de acceso - Coggle Diagram
listas de control de acceso
Configurar ACL
Crear una ACL
En el módulo anterior aprendió acerca de lo que hace una ACL y por qué es importante. En este tema, aprenderá a crear ACL.
Todas las listas de control de acceso (ACL) deben planificarse. Sin embargo, esto es especialmente cierto para las ACL que requieren varias entradas de control de acceso (ACE).
Sintaxis de ACL IPv4 extendida numerada
Los pasos del procedimiento para configurar ACL extendidas son los mismos que para las ACL estándar. Primero se configura la ACL extendida y, a continuación, se activa en una interfaz. Sin embargo, la sintaxis de los comandos y los parámetros son más complejos, a fin de admitir las funciones adicionales proporcionadas por las ACL extendidas.
Protocolos y números de puerto
Las ACL extendidas pueden filtrar en muchos tipos diferentes de protocolos y puertos de Internet. Haga clic en cada botón para obtener más información acerca de los protocolos de Internet y los puertos en los que las ACL extendidas pueden filtrar.
ACL extendida establecida por TCP
TCP también puede realizar servicios básicos de firewall stateful utilizando la palabra clave TCP established. La palabra clave permite que el tráfico interno salga de la red privada interna y permite que el tráfico de respuesta devuelta entre en la red privada interna, como se muestra en la figura.
Enmascaramiento wildcard
Tipos de máscaras comodín (wildcard)
Usar máscaras wildcard tomará algo de práctica. Consulte los ejemplos para obtener información sobre cómo se utiliza la máscara wildcard para filtrar el tráfico de un host, una subred y un rango de direcciones IPv4.
Cálculo de máscara wildcard
El cálculo de máscaras de wildcard puede ser difícil. Un método abreviado es restar la máscara de subred a 255.255.255.255. Consulte los ejemplos para aprender a calcular la máscara wildcard mediante la máscara de subred.
Palabras clave de una máscara wildcard
Trabajar con representaciones decimales de los bits binarios de máscaras wildcard puede ser tedioso. Para simplificar esta tarea, Cisco IOS proporciona dos palabras clave para identificar los usos más comunes del enmascaramiento de wildcards. Las palabras clave reducen las pulsaciones de teclas de la ACL pero, lo que es más importante, facilitan la lectura de la ACE.
Mitigar ataques con ACL
Mitigar los ataques de suplantación de identidad
Las ACL pueden utilizarse para mitigar muchas amenazas de red, tales como la suplantación de direcciones IP y los ataques de denegación de servicio (DoS). La mayoría de los ataques de DoS utilizan algún tipo de suplantación. La suplantación de direcciones IP anula el proceso normal de creación de paquetes mediante la inserción de un encabezado IP personalizado con una dirección IP de origen diferente.
Permitir el tráfico necesario a través de un firewall
Una estrategia eficaz para mitigar los ataques es permitir explícitamente solo ciertos tipos de tráfico a través de un firewall. Por ejemplo, el Sistema de Nombres de Dominio (DNS), el Protocolo Simple de Transferencia de Correo (SMTP) y el Protocolo de Transferencia de Archivos (FTP) son servicios que a menudo se deben permitir a través de un firewall. También es común configurar un firewall para que los administradores puedan tener acceso remoto a través del firewall.
Mitigar los ataques de ICMP
Los hackers pueden utilizar paquetes de eco (pings) del Protocolo de Mensajes de Control de Internet (ICMP) para descubrir subredes y hosts en una red protegida y para generar ataques de inundación DoS. Los hackers pueden usar mensajes de redireccionamiento ICMP para alterar las tablas de routing de host.
Mitigar los ataques de SNMP
Los protocolos de administración, como SNMP, son útiles para la supervisión remota y la administración de dispositivos en red. Sin embargo, aún pueden ser explotados. Si el SNMP es necesario, la explotación de las vulnerabilidades del SNMP se puede mitigar aplicando ACLs de interfaz para filtrar los paquetes SNMP de los sistemas no autorizados.
Implementar ACL
Pautas de configuración de ACL
Una ACL está formada por una o más entradas de control de acceso (ACE) o instrucciones. Al configurar y aplicar una ACL, tenga en cuenta las pautas resumidas en esta lista:
Cree una ACL a nivel global y luego aplíquela.
Asegúrese de que la última declaración sea un deny any implícito o deny ip any any.
Recuerde que el orden de las instrucciones es importante porque las ACL se procesan de arriba hacia abajo.
En cuanto una sentencia coincide, se sale de la ACL.
Dónde ubicar las ACL
Cada ACL debe colocarse donde sea más eficiente.
La figura ilustra dónde deben ubicarse las ACL estándar y extendidas en una red empresarial. Suponga que el objetivo es evitar que el tráfico que se origina en la red 192.168.10.0/24 llegue a la red 192.168.30.0/24.
Ejemplo de ubicación de una ACL extendida
Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar. Esto evita que el tráfico no deseado se envíe a través de varias redes y luego sea denegado cuando llegue a destino.
Sintaxis de ACL con nombre estándar IPv4
Dos métodos para modificar una ACL
Después de configurar una ACL, es posible que deba modificarse. Las ACL con varias ACE pueden ser complejas de configurar. A veces, el ACE configurado no produce los comportamientos esperados. Por estos motivos, las ACL pueden requerir inicialmente un poco de prueba y error para lograr el resultado de filtrado deseado.
En esta sección se analizarán dos métodos que se utilizarán al modificar una ACL:
Utilice un editor de texto.
Utilice Números de secuencia
Método del editor de texto
Las ACL con varias ACE deben crearse en un editor de texto. Esto le permite planificar las ACE requeridas, crear la ACL y luego pegarla en la interfaz del router. También simplifica las tareas para editar y corregir una ACL.
Método del número de secuencia
Una ACE ACL también se puede eliminar o agregar utilizando los números de secuencia ACL. Los números de secuencia se asignan automáticamente cuando se introduce una ACE. Estos números se muestran en el comando show access-list. El comando show running-config no muestra números de secuencia.
Introducción a las Listas de Control de Acceso
¿Qué es una ACL?
Los enrutadores toman decisiones de enrutamiento basadas en la información del encabezado del paquete. El tráfico que ingresa a una interfaz de enrutador se enruta únicamente en función de la información dentro de la tabla de enrutamiento.
Filtrado de paquetes
El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios determinados. El filtrado de paquetes puede producirse en la capa 3 o capa 4
Funcionamiento de la ACL
Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router.