Las ACLs son una herramienta de seguridad que tienen los router, que ayudan a mitigar las amenazas internas y externas. Controla todo el trafico que entra a mi red y el que sale.
REGLAS
– Siempre se evalúa de lo Particular a lo general, es decir coloque primero una dirección de host y luego de red.
– Evalúa línea por línea.
– Si encuentra la primera coincidencia, aplica lo que la regla diga.
– Todo lo que no este implícitamente permitido, quedara implícitamente negado.
– El router examina la dirección origen y la de destino.
– Si no quiero que pase un paquete de un computador a una dirección entonces le digo DENY.
– Si quiero que los paquetes de una dirección en especial lleguen a cierto destino le digo PERMIT.
– Al final de ACL hay un Deny all.
– Puede tener como maximo de listas aplicadas el total de puertos del router multiplicado por dos, pues las listas se aplican sobre los puertos entrantes o salientes (Visto desde el interior del router)
TIPOS DE ACL
– Estandar
Me permite deny o permit, tomando como referencia la dirección de origen, source ip. acl standar se configure cerca del destino del paquete, porque solo filtra direcciones origen.
– Extendida
Me permite tomar decisiones basadas en el origen o el destino del paquete. Acl extendida se configure cerca de origen del paquete, porque si lo voy a negar, no haga que viaje.
– Named
Puede ser estandar o extendido, en vez de identificarla con un numero, se identifica con un nombre.
– Inbound.
El paquete ip será comparado con mi acl, y si cumple lo enruta a interfaz de salida.
– Outbound
Entra al router, y lo enruta hacia interfaz de destino, y antes de que salga lo compara con ACLs
LA WILLCARD
– Lo utilizo para especificarle al router, cuales de los 32 bits el tome en cuenta para deny o aprobar.
– El wildcard donde hay un cero, verifica el octero de la dirección ip, el 255 lo ignora.
– Wilcard: Tendra en cero los bits que deben ser iguales para que la reglas se cumplan y en 1 los bits que no importan para que la regla se cumpla.
CONFIGURAR WILDCARD
255.255.255.252 + 0. 0. 0. 3 =255.255.255.255
PASOS PARA CONFIGURAR ACL
A la hora de configurar siempre puede recibir mucha ayuda al ingresar el signo de interrogación después de ingresar un comando.
1. Crearlo en modo de configuración global.
2. Inicia con comando access list.
3. El tipo de acls, entre 1-99 Standard. 100-199
4. luego le digo que permita o niegue el paquete.
5. Luego colocarle dirección origen del paquete
6. El wildcard.
9. Deny all
7. Luego debo de ingresar a la interfaz donde voy aplicar la ACL
8. Lo aplico con ip access group, y luego el tipo de ACL, y finalmente le digo si es inbound o outbout.
Comandos
R1(config)#access-list 1 permit host 172.16.0.1
R1(config)#access-list 1 permit 172.16.0.0 0.0.0.252 //Crear lista.
R1(config)#access-list 1 deny 172.16.2.0 0.0.0.255 // deniega los paquetes que llega de acá.
R1(config)#access-list 1 remark y luego ingrese un comentario // para borrarlo ingrese “no” antes.
R1(config)#access-list 1 deny any //niega todo lo demás. Tambie puede colocar “permit”
R1(config)#interface fa0/1 //luego ingrese a una interfaz
R1(config-if)#ip access-group 1 out // para aplicarlo. También puede colocar “in” de Inbound. R1#show access-list //Muestra lista
R1(config)#no access-list 1 // Elimina lista
CONTROLAR ACCESO A TERMINALES VIRTUALES
R1(config)#line vty 0 4
R1(config-line)#login
R1(config-line)#password secret
R1(config-line)#access-class 1 in
Si necesitas aprender a implementar la tecnología en tu empresa, descubre precios y procedimientos, visitando nuestros servicios de tecnología para empresa.
