Listas de Acceso, proceso
octubre 30, 2019
Desde la primera vez que se conectaron varios sistemas para formar una red, ha existido una necesidad de restringir el acceso a determinados sistemas o partes de la red por motivos de seguridad, privacidad y otros. Mediante la utilización de las funciones de filtrado de paquetes del software IOS, un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de direcciones y servicios, basándose en una serie de criterios. La capacidad de restringir el acceso cobra mayor importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas o Internet.
Administración básica del trafico IP
Los router se sirven de las listas de control de acceso (ACL) para identificar el tráfico. Esta identificación puede usarse después para filtrar el tráfico y conseguir una mejor administración del tráfico global de la red. Las listas de acceso constituyen una eficaz herramienta para el control de la red. Las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router.
El filtrado de paquetes permite controlar el movimiento de estos dentro de la red. Este control puede ayudar a limitar el tráfico originado por el propio router.
Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP o a protocolos IP de capa superior. Las listas de acceso identifican tráfico que ha de ser filtrado en su transito por el router, pero no pueden filtrar el trafico originado por el propio router.
Las listas de acceso pueden aplicarse también pueden aplicarse a los puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente, no es posible bloquear el acceso Telnet desde el mismo router.
Se pueden usar listas de acceso IP para establecer un control más fino o la hora de separar el tráfico en diferentes colas de prioridades y personalizadas. Una lista de acceso también pueden utilizarse para identificar el tráfico “interesante” que sirve para activar las llamadas del enrutamiento por llamada telefónica bajo demanda (DDR). Las listas de acceso son mecanismos opcionales del software Cisco IOS que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino, o bien descartados.
Cuando un paquete llega a una interfaz, el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. Si no existe ninguna ruta hasta la dirección de destino, el paquete es descartado. A continuación, el router comprueba si la interfaz de destino esta agrupada en alguna lista de acceso. De no ser así, el paquete puede ser enviado al búfer de salida. Si el paquete de salida está destinado a un puerto, que no ha sido agrupado a ninguna lista de acceso de salida, dicho paquete será enviado directamente al puerto destinado. Si el paquete de salida está destinado a un puerto ha sido agrupado en una lista de acceso saliente, antes de que el paquete pueda ser enviado al puerto destinado será verificado por una serie de instrucciones de la lista de acceso asociada con dicha interfaz. Dependiendo del resultado de estas pruebas, el paquete será admitido o denegado.
Para las listas salientes un permit significa enviar al búfer de salida, mientras que deny se traduce en descartar el paquete.
Para las listas entrantes un permit significa continuar el procesamiento del paquete tras su recepción en una interfaz, mientras que deny significa descartar el paquete.
Cuando se descarta un paquete IP, ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable.
Prueba de las condiciones de una ACL
Las instrucciones de una lista de acceso operan en un orden lógico secuencial. Evalúan los paquetes de principio a fin, instrucción a instrucción. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso, el resto de las instrucciones de la lista serán omitidas, y el paquete será permitido o denegado según se especifique en la instrucción competente.
Si la cabecera de un paquete no se ajusta a una instrucción de la lista de acceso, la prueba continua con la siguiente instrucción de la lista.
El proceso de comparación sigue hasta llegar al final de la lista, cuando el paquete será denegado implícitamente.
Una vez que se produce una coincidencia, se aplica la opción de permiso o denegación y se pone fin a las pruebas de dicho paquete. Esto significa que una condición que deniega un paquete en una instrucción no puede ser afinada en otra instrucción posterior.
La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. Esta condición final se aplica a todos esos paquetes y se traducen en una condición de denegación del paquete.
En lugar de salir por alguna interfaz, todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados.
Esta instrucción final se conoce como la denegación implícita de todo, al final de cada lista de acceso. Aunque esta instrucción no aparece en la configuración del router, siempre esta activa. Debido a dicha condición, es necesaria que en toda lista de acceso exista al menos una instrucción permit, en caso contrario la lista de acceso bloquearía todo el tráfico.
- Publicado en : General
- Autor : Ernesto
Este blog no persigue fines económicos, sin embargo necesitamos de la publicidad para que podamos seguir adelante. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir en marcha. A ti no te costará nada y a nosotros nos será de gran ayuda.
Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»
Gracias por la informacion que me brindaron fue de mucha ayuda.
hola quisiera que me recomendara como puedo desarrollar la manera de crear lista de acceso soy estudiante del segundo modulo y quisiera dominar bien este tema pero existen diferentes sintaxis en las que he encontrado en la internet y eso ha hecho que tengas muchas dudas por favor si me pueden ayudar a encontrar una pagina que me ayude gracias.
Ana: existen muchos tipos de ACL algunas un tanto complejas. Para el CCNA es suficiente el temario que se vuelca en este blog. Si quieres mas informacion puedes consultar «Fundamentos de Seguridad de Redes» de Cisco Press.
Un saludo
HOLA QUE TAL MI NOMBRE ES ROCIO Y LA VERDAD ME AGRADARIA DEMCIADO QUE PUDIESES ESTABLECER UN TUTORIAL RESPECTO A LAS LISTAS DE ACCESO PASO POR PSAO PARALA REAIZACION DE LAS MISMAS YA QUE ESTOY EN PROCESO DE UN PROYECTO Y ME ES DE MUCHA AYUDA SABER ESTO , YA QUE TENGO ALGUNAS DUDS GRACIAS……
Rocio, he puesto en este blog diferentes post «paso a paso» de las ACL. Espero te sean de utilidad.
Un saludo
Hola antes que nada felicidades por tan buen blog.
Bueno mi peticion es la siguiente quisiera que el examen de diagnostico CCNA se actualizara para probar las habilidades que tenemos y sobre todo saber si estamos listos para el examen CCNA
Gracias anticipadas
hola tengo una duda de como configurar acl en switches a nivel de direcciones ip y mac , a ver si me podias ayudar
gracias
Anita, en los switches puedes configurar en los puertos cierto nivel de seguridad filtrando tramas, respecto a acl en switches no es temario del CCNA puesto que son dispositivos multicapa (se configuran igual que en los routers).
Un saludo
hola mi nombre es robert y veo que los switchs vienen con licencias predefinidas ya sea SMI o EMI , mi aplicacion es para video de seguridad a travásde etherenet, puedes decirme tips que hacen una licencia más adecuada que la otra. Gracias.
Bueno, el artículo. Estoy en CCNA modulo IV y mi único problema ha sido la cración de ACL’s. Y aqui en esta página he encontrado lo que me hacia falta para enterderlas lógicamente y poder ver sus alcances. Honestamente hablando, aqui aprendí de verdad a bregar con las ACL’s.
hola. queria saber si se pueden hacer listas de acceso en redes WIMAX.. muchas gracias
De nuevo gracias excelente aporte compañero
hola
Tengo un ejercicio donde hay una vlan con 40 equipos pero de esos 40 – 20 de ellos son del area de informatica. Debo configurar esos 20 que puedan ver todas las redes que tengo con sus respectivos Host pero los demas no pueden ver a estos 20.
Como lo configuro con acls??
Agradezco la ayuda
Hola tengo un cisco 6509 necesito bloquear el acceso por telnet a el de toda mi re a ecepcion de 2 o 3 maquinas, pero no entiendo muy bien lo de las ACL
Ali, debes leer y buscar el el indice tematico, se explica tu caso.
Suerte
Ernesto
Mi problema son las wildcard, por ejemplo: en un problema NAT, para los hosts que van en el rango 192.168.6.65 – 192.168.6.126/26, la wilcard debe ser 0.0.0.62 (según testking)
¿Por quá, si deberí¬a ser la 0.0.0.63?