You are on page 1of 32

Listas de Control de Acceso by Mozqueda German

Contenido 1. Introduccin 2. Pasos para la configuracin 3. Tipos de listas de acceso 4. Configuracin y ubicacin 5. Verificacin

1. Introduccin 2. Pasos para la configuracin 3. Tipos de listas de acceso 4. Configuracin y ubicacin 5. Verificacin

Qu son las listas de control de acceso?


Una Lista de control de acceso o ACL es una coleccin secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior

Qu son las listas de control de acceso?


Las ACL son listas de instrucciones que se aplican a una interfaz del enrutador. Estas listas indican al enrutador qu tipos de paquetes se deben aceptar y qu tipos de paquetes se deben denegar.

Qu parmetros describen las ACLs? Las ACLs pueden contener informacin de:
Direccin de origen (red o host) Direccin de destino (red o host) Protocolo de capa superior (ej. IP, IPX, TCP, IGRP) Puerto de capa superior (23, 80 ...)

Qu parmetros describen las ACLs?

Nmero de puerto Protocolo Direccin origen Direccin destino

Cmo se evalan las ACLs?

Cmo se evalan las ACLs? Las listas de control de acceso se evalan en el orden en el que estn escritas. Si se cumple una regla, las dems no se evalan.

Cmo se evalan las ACLs?

Cmo se evalan las ACLs?

1. Introduccin 2. Pasos para la configuracin 3. Tipos de listas de acceso 4. Configuracin y ubicacin 5. Verificacin

Cmo se configuran las listas de acceso? 1. Se crea la lista 2. Se coloca en una interfaz a la entrada o a la salida

1. Introduccin 2. Pasos para la configuracin 3. Tipos de listas de acceso 4. Configuracin y ubicacin 5. Verificacin

Cuntos tipos de listas de acceso existen? Existen dos tipos: 1. Estndar 2. Extendidas

Cul es la diferencia? Las listas de acceso estndar trabajan nicamente en la capa de red, y por dir. origen Las listas de acceso extendidas trabajan adems en la capa de Transporte y capas superiores

Cmo se identifican las listas de acceso? Las listas de acceso se pueden identificar por nombre o por nmero Las listas por nombre slo en IOS mayor o igual a 11.2

Cmo se identifica el tipo de lista? Las listas de acceso estndar IP van de 1 a 99 Las listas de acceso extendidas IP van de 100 a 199 En IPX van de 800 a 899 y de 900 a 999 respectivamente

Existen lista de acceso para otros protocolos? Si, veamos la tabla completa:

1. Introduccin 2. Pasos para la configuracin 3. Tipos de listas de acceso 4. Configuracin y ubicacin 5. Verificacin

Ejemplo de listas de acceso estndar


Direccin de Esduna lista estndar Mscara * re IP

Router(config)#access-list 1 permit 172.16.134.0 0.0.0.255 Router(config)#access-list 1 permit 172.16.235.0 0.0.0.255


La Rouenci(ccorfig)a access-list 1 deny any sec ter a onrect # ltima lnea implcita es de suma importancia ANY es lo mismo que El mismo nmero 0.0.0.0 255.255.255.255 que tiene la lista

Router(config-if)#ip access-group 1 out

Se coloca en la salida

Cmo se define la mscara? No tiene el mismo significado que la mscara de subred IP Los ceros significan : pruebe el bit respectivo Los unos significan : ignore el bit respectivo

Ejemplo de listas de acceso extendida


Especifica eLo m mo qtee l trfico de u lnet hacia e172.st61734.1 034..0.0 l ho 1 .1 2.16.1 .0 1
Router(config)#access-list 101 deny tcp 172.16.134.0 0.0.0.255 host 172.16.134.1 eq 23 Router(config)#access-list 101 permit ip any any

Permite el resto del trafico

Router(config)#access-list 101 deny any

Implcito

El mismo nmero que tiene la lista Router(config-if)#ip access-group 101 in

Se coloca en la entrada

Cmo se ubican las listas de acceso? Las reglas para ubicarlas son Las listas estndar : cerca del destino Las listas extendidas : cerca de la fuente

Ejercicio 1: crear lista de acceso para: Permitir el trfico saliente de mi propia red Bloquear el trfico entrante de mi propia red Mi red es 172.16.21.0

Solucin al ejercicio 1 de ACL


Internet

La ACL Se coloca en la interfaz e0

Solucin al ejercicio 1 de ACL


Direccin de mEs ed lista estndar IP i r una

Router(config)#access-list 1 deny 172.16.21.0 0.0.0.255 Router(config)#access-list 1 permit any Router(config)#access-list 1 deny any
Bloquea el trfico Permite el resto

Router(config)#access-list 2 permit 172.16.21.0 0.0.0.255 Router(config)#access-list 2 deny any Bloquea el trfico no


permitido hacia mi red Router(config)#interface e0 Permite el trfico de Router(config-if)#ip access-group 1 out mi red hacia afuera Router(config-if)#ip access-group 2 in

Ejercicio 2: crear lista de acceso para: Bloquear el trfico telnet desde cualquier host impar al enrutador Permitir el trfico telnet desde cualquier host par al enrutador Mi enrutador es 172.16.21.1

Solucin al ejercicio 2:

Selecciona a todos los hosts impares; 1/2 de la Internet

Router(config)#access-list 101 deny tcp 0.0.0.1 255.255.255.254 host 172.16.21.1 eq 23 Router(config)#access-list 101 permit ip any any

Aplleccion nsc en Se icamosala lii tamente Noeoltriadl ed ne latadmerrifa em ru in o la n v daa o s p er t i t r z el resto del trfico IP Router(config-if)#ip access-group 101 in

1. Introduccin 2. Pasos para la configuracin 3. Tipos de listas de acceso 4. Configuracin y ubicacin 5. Verificacin

Cmo se verifican las listas de acceso?


Show access lists Show ip interface (muestra si estn instaladas y en que direccin out o in) Con la opcin log al crear la lista (muestra el primer paquete al cual se aplica y luego cada 5 minutos)

FIN