jueves, 25 de agosto de 2011

Introducción a Listas de Acceso o ACL



las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router, siendo un listado secuencial de condiciones de admitir o denegar que se aplican a direcciones Internet o protocolos de capa superior. Las listas de acceso no actúan sobre los paquetes originados en el propio router, como las actualizaciones de enrutamiento o las sesiones Telnet salientes. Hay dos tipos generales de listas de acceso:
  • Listas de Acceso Estándar: Comprueban solo las direcciones de origen de los paquetes que solicitan enrutamiento. Opera únicamente en la capa 3.
  • Listas de Acceso Extendidas. Comprueban tanto la dirección de origen como la de destino en cada paquete. También pueden verificar protocolos específicos, números de puerto y otros parámetros. Opera bajo las capas 3 y 4.
Las listas de acceso pueden aplicarse de las siguientes formas:

  • Listas de Acceso de Entrada. Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento.
  • Listas de Acceso de Salida. Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.
Las instrucciones de una lista de acceso operan en un orden lógico secuencial. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso, el resto de las instrucciones de la lista serán omitidas, y el paquete será permitido o denegado. El proceso de comparación sigue hasta llegar al final de la lista, cuando el paquete será denegado implícitamente. La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Cuando se descarta un paquete, ICMP devuelve un paquete notificando al remitente que el destino es inalcanzable.

Debido a que las listas de acceso se procesan de arriba a abajo hasta que se encuentra una condición verdadera, si coloca las pruebas más restrictivas y frecuentes al comienzo de la lista, se reducirá la carga de procesamiento.

Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores, mediante el cual todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Debido a dicha condición, es necesario que en toda lista de acceso exista al menos una instrucción permit; en caso contrario, la lista bloquearía todo el tráfico. Otra solución sería finalizar el listado de acceso con una condición de permiso implícito de todo.

Un listado de acceso puede asociarse a una o varias interfaces. De hecho, se puede asociar el mismo listado de acceso a una interfaz para que filtre los paquetes entrantes y a otra interfaz para que filtre los paquetes salientes. Sin embargo, sólo puede asociarse un único listado de acceso a cada interfaz, para cada protocolo. Es decir, podemos tener un listado de acceso IP y otro IPX para la misma interfaz, pero nunca dos listados de acceso IP.
Utilice los números de listas de acceso dentro del rango definido por Cisco para el protocolo y el tipo de lista que va a crear.

Lista de AccesoRango numérico
IP – Estándar1 a 99
IP – Extendida100 a 199
IP – Con nombreNombre (Cisco IOS 11.2 o posterior)
IPX – Estándar800 a 899
IPX – Extendida900 a 999
IPX – Filtros SAP1000 a 1099
IPX – Con nombreNombre (Cisco IOS 11.2F o posterior)


Construir un listado de acceso se limita a especificar un conjunto de condiciones permit y denyque forman el propio listado. Necesitará crear la lista de acceso antes de aplicarla a una interfaz. La comprensión de los comandos de configuración de listas de acceso se reduce a dos elementos generales:
  • El comando de configuración global access-list añade condiciones a una lista de acceso.
  • El comando de configuración de interfaz ip access-group activa una lista de acceso IP en una interfaz.
Puede ser necesario probar condiciones para un grupo o rango de direcciones IP, o bien para una dirección IP individual. Por esa razón, debe haber algún método de identificar cuáles son los bits de una dirección IP dada que deben ser verificados, para lo que se utilizan máscaras comodin (wildcards), también conocidas como máscaras de subred inversas, en las direcciones de la lista de acceso.
  • Un bit de máscara a 0 significa comprobar el valor del bit correspondiente.
  • Un bit de máscara a 1 significa ignorar el bit correspondiente.
Por lo tanto, para establecer un filtro para la subred 200.90.20.0/24 utilizaremos una máscara comodín de 0.0.0.255. En caso de una dirección de nodo, utilizaremos la máscara comodín de 0.0.0.0, o la reemplazaremos por la palabra clave host. Otra condición habitual es la máscara 255.255.255.255 para indicar todo, que puedereemplazarse por la palabra clave any, como sería permit any o deny any. Conforme se vayan creando instrucciones para un determinado listado de acceso, se irán agregando al final de la lista. Puede consultar el listado de acceso ejecutando el comando show access-list [#listado]. Utilizando show access-list sin parámetros, se muestran todos los listados de acceso del router. También suele ser útil el comando show ip interface, ya que muestra información de la interfaz IP e indica si se ha configurado alguna lista de acceso para dicha interfaz, así como si se ha configurado en modo entrante o saliente.

No se permite eliminar una única condición de una lista de acceso, por lo que si nos fuera necesario alterar una lista de acceso, deberíamos eliminarla y volverla a crear. En primer lugar debemos desasociar la lista de las interfaces mediante el comando de configuración de interfaz no ip access-group en la interfaz deseada. A continuación, introduzca el comando de configuración global no access-list [#listado].

La práctica recomendada consiste en crear las listas de acceso en un servidor TFTP usando un editor de texto y descargarlas después en el router vía TFTP. Como alternativa puede usar un emulador de terminal o una sesión telnet en un PC para cortar y pegar la lista de acceso en el router desde el modo de configuración.

No hay comentarios:

Publicar un comentario en la entrada

Nuevo Sitio

Este sitio ya no se actualizara mas, nos mudamos a IpArea.NET




Articulos Relacionados