Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Introduccin Una ACL (lista de control de acceso -Access Control Lists) es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el trfico de entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados. Las ACLs son la especificacin de una accin a realizar sobre paquetes que cumplan ciertas condiciones. Una ACL es un conjunto de reglas identificadas con un nmero o un nombre y cada regla especifica una accin y una condicin, las acciones a aplicar son permitir o denegar todos los paquetes que cumplan la condicin asociada a la regla. Una ACL se identifica con un nmero o un nombre y todas las reglas que tengan el mismo nmero/nombre hacen parte de la ACL, stos identificadores suelen indicar tambin qu tanta expresividad tendr la ACL, es decir, qu tan especficas pueden ser las reglas. El motivo ms importante para configurar las ACL es brindar seguridad a la red. Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se utiliza. Cuando solicita datos de un servidor Web, IP se encarga de la comunicacin entre la PC y el servidor. TCP se encarga de la comunicacin entre su navegador Web (aplicacin) y el software de servidor de red. Cuando enva un correo electrnico, visita una pgina Web o descarga un archivo, TCP es el responsable de desglosar los datos en paquetes para IP, antes de enviarlos, y de integrar los datos de los paquetes al recibirlos. El proceso de TCP es muy similar a una conversacin, donde dos nodos de una red aceptan transferir datos entre s. Recuerde que TCP ofrece un servicio orientado a la conexin, confiable y de stream de bytes. El trmino "orientado a la conexin" significa que las dos aplicaciones que utilizan TCP deben establecer una conexin TCP entre s antes de intercambiar datos. TCP es un protocolo fullduplex, que significa que cada conexin TCP admite un par de streams de bytes, y cada stream fluye en una direccin. TCP incluye un mecanismo de control de flujo para cada stream de bytes que permite al receptor limitar la cantidad de datos que el transmisor puede enviar. TCP tambin implementa un mecanismo de control de congestin. El segmento de datos TCP identifica, adems, el puerto que coincide con el servicio solicitado. Por ejemplo, HTTP es puerto 80, SMTP es puerto 25 y FTP es puerto 20 y puerto 21 El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla el acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso segn un criterio establecido.

La ACL es una configuracin de router que controla si un router permite o deniega paquetes segn el criterio encontrado en el encabezado del paquete. Las ACL tambin se utilizan para seleccionar los tipos de trfico por analizar, reenviar o procesar de otras maneras. Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL se revisa lnea a lnea, y cuando una lnea coincida con el paquete entrante se le aplica esa regla. La ACL hace cumplir una o ms polticas de seguridad corporativas al aplicar una regla de permiso o denegacin para determinar el destino del paquete. Es posible configurar las ACL para controlar el acceso a una red o subred.

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra el trfico. El trfico que ingresa al router es enrutado segn la tabla de enrutamiento. Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarse a travs del router lo atraviesan hacia el prximo segmento de la red. Puede recordar una regla general para aplicar las ACL en un router mediante las tres P. Puede configurar una ACL por protocolo, por direccin y por interfaz. Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y saliente. Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, Fast Ethernet 0/0.

Funcionamiento de las ACL Las listas de acceso definen el conjunto de reglas que proporcionan control adicional para los paquetes que ingresan a las interfaces de entrada, paquetes que pasan a travs del router y paquetes que salen de las interfaces de salida del router. Las ACL no actan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al trfico entrante o saliente. ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas de enrutamiento si el paquete se descarta. Si el paquete est autorizado por las pruebas, luego se procesa para el enrutamiento. ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a travs de la ACL de salida.

Las sentencias de la ACL operan en orden secuencial. Comparan los paquetes con la ACL, de arriba hacia abajo, una sentencia a la vez.

La figura muestra la lgica para una ACL de entrada. Si coinciden un encabezado de paquete y una sentencia de ACL, se omite el resto de las sentencias de la lista y el paquete tiene permitido pasar o no, segn la sentencia coincidente. Si el encabezado del paquete no coincide con una sentencia de ACL, el paquete se prueba segn la siguiente sentencia de la lista. Este proceso de coincidencia contina hasta el final de la lista.

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

La ltima sentencia generalmente se denomina "implicit deny any statement" (denegar implcitamente una sentencia) o "deny all traffic" (denegar todo el trfico). Debido a esta sentencia, una ACL debe contar con, al menos, una sentencia de permiso; de lo contrario, la ACL bloquea todo el trfico. Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL por protocolo, por direccin y por interfaz.

La figura muestra la lgica para una ACL de salida. Antes de reenviar un paquete a una interfaz de salida, el router verifica la tabla de enrutamiento para ver si el paquete es enrutable. Si no lo es, se descarta. A continuacin, el router verifica si la interfaz de salida se agrupa a una ACL. Si la interfaz de salida no se agrupa a una ACL, el paquete puede enviarse al bfer de salida. Algunos ejemplos del funcionamiento de las ACL de salida son los siguientes. Si la interfaz de salida no se agrupa a una ACL de salida, el paquete se enva directamente a la interfaz de salida. Si la interfaz de salida se agrupa a una ACL de salida, el paquete no se enva a una interfaz de salida hasta probarlo segn la combinacin de sentencias de ACL asociadas a la interfaz. De acuerdo con el resultado de las pruebas realizadas por la ACL, el paquete se puede permitir o denegar. Para las listas de salida, "permitir" significa enviar el paquete al bfer de salida y "denegar" significa descartarlo. Cuando un paquete llega a la interfaz del router, el proceso del router es el mismo se utilicen o no las ACL: 1. el router verifica si la direccin de destino de Capa 2 concuerda con la propia o si es una trama de broadcast. 2. Si se acepta la direccin de la trama, la informacin de la trama se elimina y el router busca una ACL en la interfaz de entrada. Si existe una ACL, entonces se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete coincide con la sentencia, se acepta o se rechaza. Si no existe ACL pasa al siguiente punto 3. Si se acepta el paquete en la interfaz, se lo compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino y conmutarlo a aquella interfaz. 4. A continuacin, el router verifica si la interfaz de destino tiene una ACL. Si existe una ACL, entonces se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete coincide con la sentencia, se acepta o se rechaza.

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Si no hay ACL se pasa al siguiente paso 5. el paquete se encapsula en el nuevo protocolo de Capa 2 y se enva por la interfaz hacia el dispositivo siguiente.

Un ejemplo de cmo es conceptualmente una ACL es as Lista-de-acceso X ACCION1 CONDICION1 Lista-de-acceso X ACCION2 CONDICION2 Lista-de-acceso X ACCION3 CONDICION3 La X es el nombre o nmero que identifica la ACL, por lo tanto todas las reglas anteriores componen la ACL X, una sola ACL. Si cierto paquete cumple la condicin1 se le aplica la Accin1, si un paquete cumple la condicin 2 se le aplica la accin 2 y as sucesivamente. Las acciones son slo permitir o denegar, si una regla abarca un conjunto de direcciones y otra un subconjunto del primero, la regla de subconjunto debe estar antes de la regla del conjunto completo. En otras palabras, las reglas ms especficas deben estar al principio de la ACL para evitar que las reglas generales se apliquen siempre y nunca se examinen las especficas. Finalmente todas las ACLs terminan, implcitamente, con una regla No permitir nada ms. ACL estndar Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. Por ejemplo Access-list 10 permit 192.168.30.0 0.0.0.255 permite todo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global.

Las ACL estndar entonces especifican un slo par direccin de referencia/wildcard contra el que se comparan todos los paquetes que entren o salgan de la interfaz en la que se instale la ACL, en otras palabras, una ACL estndar filtra trfico con base en la direccin IP origen de los paquetes. Tener en cuenta siempre que las listas de acceso terminan en denegacin por defecto, por lo tanto, si una ACL slo tiene reglas de denegacin lo nico que logra es denegar TODO el trfico. Una ACL debe tener siempre por lo menos una regla de permitir Como cada regla se verifica en secuencia comenzando por la primera, si una regla es ms general debera ir despus de las ms especficas ACL extendidas

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control. Por ejemplo Access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80 la ACL 103 permite el trfico que se origina desde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuracin global. ACL complejas Dentro de las ACLs complejas tenemos 3 tipos: dinmicas, reflexivas y basadas en tiempo pero en el currculo oficial no se ven muy a fondo ni se dan mayores ejemplos. A continuacin les describo cada una de ellas y al final de la entrada describo las acl nombradas son un tipo de acl que facilita la configuracin y administracin de ACLs. ACLs dinmicas stas usan un mecanismo bsico de autenticacin, generalmente Telnet, para activar la ACL, lo que permite usar una ACL como mecanismo de autenticacin o vincular una ACL con la autenticacin de los usuarios con medios reconocidos. La idea consiste en crear una regla en la ACL que slo se activar si es disparada por algn evento, en ste caso un acceso por telnet al enrutador. La regla en cuestin agrega antes de la accin (permit/deny) las palabras reservadas dynamic testlist timeout <n>, donde n es la cantidad de minutos que la regla ser activa una vez que es disparada, luego de estos parmetros va la regla ordinaria que se har activa, por ejemplo permit ip host 10.1.1.1 any. Como esta ltima regla est asociada con un acceso por telnet como disparador, en las lneas de vty se debe poner un comando especial autocommand access-enable host timeout 5, que establece el acceso permitido al telnet como disparador de la acl dinmica. * access-list 101 permit ip any host 10.1.1.1 eq telnet * access-list 101 dynamic testlist timeout 10 permit ip 172.16.0.0 0.0.255.255 172.17.0.0 0.0.255.255 * interface fa 0/0 * ip access-group 101 in * username usuario password clave * line vty 0 4 * login local * autocommand access-enable host timeout 5 El anterior listado de comandos instala una lista de acceso dinmica de entrada en la interfaz fa 0/0 que slo despus que un usuario cesar abre exitosamente una sesin por telnet con la clave cecab123 con el enrutador se activa, permitiendo acceso de la red 172.16.0.0/16 a la 172.17.0.0/16. Valga la aclaracin que el comando autocommand cierra automticamente la sesin de telnet pero dispara la acl, es decir, la sesin de telnet es slo un disparador de la acl y no tiene que quedar activa para que la acl est en funcionamiento. ACLs reflexivas Las reflexivas son un tipo de firewall primitivo que permite el trfico slo si es iniciado en una direccin, pero sin usar las banderas de conexin de TCP. Ya en las ACLs extendidas habamos visto que en vez de ip se pueden poner otros protocolos y al final poner criterios adicionales particulares al protocolo en cuestin. Especficamente, tcp permite agregar al final del identificador de origen o destino un identificador de puerto en incluso banderas de conexin como established, que indica que la conexin ya se abri. ste caso particular de tcp es muy til cuando se tienen dos redes de las cuales una es confiable y la otra no, entonces es preferible permitir slo conexiones cuya solicitud provenga de la red confiable, es decir, que se abran desde la red interna y no se puedan abrir conexiones desde la externa. Con el truco de la bandera established (ack activo) se puede permitir de entrada slo los paquetes con sta condicin, de tal manera que si llegan paquetes solicitando una conexin desde fuera (todava no tienen el bit ack activo) se rechazan, mientras que si las conexiones se abren desde adentro, todos los paquetes entrantes debern tener el ack activo y por lo tanto se van a permitir. Pero qu pasa con UDP y otros protocolo no orientados a la conexin? Pues ah entran en juego las acl reflexivas. La idea es hacer lo mismo que el truco de established, pero basndose slo en los parmetros bsicos de capa 3 y 4.

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Las acls reflexivas son un poco complejas en su configuracin, ya que se aplican varios comandos para establecer las entradas temporales, adicionalmente las ACLs reflexivas son un caso particular de ACL nombrada extendida, por lo tanto no se pueden configurar en acl numeradas ni en acls nombradas estndar. Primero, en una de las direcciones del trfico se debe marcar la regla cuyo trfico de vuelta se va a permitir con la palabra clave reflect <nombre>, donde nombre es un identificador arbitrario que le ponemos a esta instancia, luego en la direccin de vuelta del trfico (la acl que se va a instalar en la direccin contraria) se agrega la sentencia evaluate <nombre> donde nombre es el identificador arbitrario que pusimos en la otra direccin. En otras palabras, se le pone un identificador al trfico que inicia la acl reflexiva, luego en la otra direccin se le ordena que evale si el trfico corresponde con la regla marcada para permitirlo si coincide. Finalmente se instalan las listas, una de entrada y otra de salida en la misma interfaz (el trfico entra y sale por la misma interfaz). * ip access-list extended OUTB * permit udp 172.16.0.0 0.0.255.255 any reflect UDPTRAFFIC * permit icmp 172.16.0.0.0.0.255.255 any reflect ICMPTRAFF * ip access-list extended INB * evaluate UDPTRAFFIC * evaluate ICMPTRAFF * interface ser 0/0 * ip access-group OUTB out * ip access-group INB in El listado anterior instala una lista de acceso reflexiva que permite el trfico de UDP e ICMP slo si se origin en la red 172.16.0.0/16.

ACLs basadas en fechas/horarios Finalmente, las ms simples de comprender son las basadas en fechas/horarios. La idea de estas acls son que se activan en las fechas y horarios que se hayan establecido previamente, la precondicin evidente es que el enrutador debe tener configuradas su hora y fecha correctamente, para esto se puede configurar manualmente, confiando que el equipo no se vaya a reiniciar por ningn motivo y que el administrador va a mantener actualizado el reloj en caso contrario. Otra alternativa (ms confiable) es configurar un servidor ntp para que el enrutador mantenga su tiempo actualizado. La configuracin de las acls basadas en tiempo consiste en crear un rango de tiempo (timerange) el cual es despus usado en las reglas de la ACL. * time-range NOCHES * periodic Monday Tuesday Wednesday Thursday Friday 17:00 to 00:00 * access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www time-range NOCHES * int fa 0/0 * ip access-group 101 out

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

El anterior listado crea una lista de acceso que se permite el acceso a Internet para la red 172.16.0.0 slo despus de las 17hrs en das de trabajo (Lunes a Viernes). ACL numeradas y ACL denominadas Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes ms pequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no le informa el propsito de la ACL. Por ello puede utilizar un nombre para identificar una ACL, estas son las ACL denominadas Ubicacin de las ACL La ubicacin adecuada de las ACL para filtrar el trfico no deseado proporciona un funcionamiento ms eficiente de la red. Las ACL pueden actuar como firewalls para filtrar paquetes y eliminar el trfico no deseado. El lugar donde ubique las ACL puede reducir el trfico innecesario. Por ejemplo, el trfico que se deniega en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son: Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red. Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible. Finalmente, dado que entendemos la lgica fundamental de las ACLs, debemos mirar un ltimo aspecto conceptual: cmo se aplican?. La idea es que el trfico de red circula en dos sentidos y en ambos sentidos los patrones de direccin IP origen y destino se intercambian, por lo tanto y como las ACLs se aplican a una interfaz en particular, es necesario tener en cuenta en qu sentido se aplica, porque en un sentido las reglas aplican y en otro sentido no aplicarn porque las direcciones origen no sern las mimas. Es decir, si dos PCs estn transfiriendo un archivo, hay dos flujos de datos, uno del PC1 al PC2 en el que la direccin IP origen de todos los paquetes en ese sentido tienen la direccin Ip del PC1 pero el trfico de retorno tendr como direccin IP origen la del PC2. Lo anterior nos indica que si diseamos una ACL que en una de sus reglas aplica una accin a la direccin del PC1, hay que aplicarla en una interfaz en el sentido en el que ese flujo de datos provenga del PC1. El sentido del flujo se entiende como de entrada o salida del enrutador por la interfaz, es decir, si el trfico sale del enrutador por la interfaz especfica o el trfico entra al enrutador por esa interfaz. Supongamos que el PC1 tiene la direccin 172.17.20.20/24, el PC2 tiene la direccin 192.168.200.200/24 y nuestro enrutador es el Gateway del PC1 por la interfaz Fastethernet 0/0. Si el flujo de datos hacia el PC2, sale por una interfaz serial digamos la serial 0/0, en qu interfaz y en qu sentido los paquetes de este flujo tienen como direccin IP origen la direccin IP del PC1? Si la ACL va a ser aplicada en la Fa 0/0, el flujo de datos de PC1 a PC2 entrando a Fa 0/0 tiene como direccin origen PC1, en la direccin de salida el origen es PC2 y la regla no aplicara. En la interfaz serial, el flujo de datos entrante tendra como origen PC2 y de salida tendra como origen PC1. Dado lo anterior, si yo diseo una ACL con una regla que diga permitir 172.17.20.20 0.0.0.0, sta regla slo encontrara paquetes coincidentes en la interfaz fa 0/0 si la aplico de entrada y en la interfaz serial 0/0 si la aplico de salida. Ejemplos de ACLS Supongamos la ACL formada por las siguientes 4 reglas: access-list 2 deny 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Comandos IOS Cisco Configuracin de las ACL estndar Los pasos generales para configurar ACLs son 3: 1. Crear la ACL en modo de configuracin global 2. Aplicar la ACL en una interfaz indicando la direccin del trfico al que se le va a aplicar 3. Verificar su funcionamiento La creacin de la ACL consiste en crear una secuencia de reglas con un mismo identificador, cuyo orden filtre el trfico segn los objetivos. Cada regla tiene la forma access-list <n> [ permit | deny ] <referencia1> <wildcard1>, donde n es el nmero que identifica la ACL (0 a 99 1300 a 1999 para ACLs estndar) y referenciaN/wildcardN son los pares con los que se compararn los paquetes para aplicarles la accin . Entonces una ACL tiene la forma: * access-list <n> permit <referencia1> <wildcard1> * access-list <n> deny <referencia2> <wildcard2> Como todas las reglas coinciden en el nmero (n), la ACL est compuesta por todas las reglas listadas. Para simplificar, puse permit y deny pero en las reglas se puede elegir cualquiera de las dos segn los objetivos perseguidos. Todas las ACLs terminan implcitamente en una regla deny any, es decir, al final de la lista, cualquier paquete que no haya correspondido con ninguna regla se va a descartar por defecto. Para aplicar una ACL, sta ya debe estar creada. Las listas de acceso se aplican en una interfaz, por lo tanto hay que ingresar en modo de interfaz y el comando tiene la forma ip access-group <n> [in | out] donde n es el nmero comn a todas las reglas de la ACL y las palabras in/out indican en qu sentido se aplicarn las reglas y esto tiene importantes implicaciones: el trfico en una direccin tiene ciertas direcciones IP origen pero en la otra direccin stas mismas direcciones sern IP destino. * interface serial 0/0 * ip access-group <n> [in|out] Finalmente verificar la ACL se hace con varios comandos, uno es show access-list, que muestra todas las listas de acceso activas y cuntos paquetes han correspondido (match) con cada regla. El comando que muestra si una interfaz tiene una ACL aplicada y en qu direccin

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

es show ip interface, este comando muestra mucha informacin, por la mitad de toda esa informacin dice inbound ACL Outbound ACL. * show access-list * show ip interface serial 0/0 Configurar ACL extendida A diferencia de lo que sucede con la ACL estndar, las extendidas permiten especificar hacia dnde se dirige el trfico y con sta caracterstica, yo puedo bloquear o permitir un trfico mucho ms especfico: slo trfico que proviene del host pero se dirige a una red en particular o a otro host en particular o slo el trfico de una red que se dirige a otra red en particular. El truco se logra con el hecho de permitir comparar las direcciones destino de los paquetes contra la acl, no slo las direcciones origen. Dentro de lo que hemos venido manejando, hablamos que una acl est compuesta por un conjunto de reglas todas con el mismo identificador, que cada regla era una lnea compuesta por una accin y una condicin que el paquete debe cumplir para aplicarle la accin (permitir o denegar). Las condiciones en las acl estndar estn compuestas por una direccin de referencia y una wildcard que dice qu bits de la direccin origen de los paquetes se deben comparar con la direccin de referencia, en las acls extendidas se especifica dos pares de direcciones de referencia/wildcard, un par para la direccin origen de los paquetes y otro par para la direccin destino de los mismos. Vamos a extender el ejemplo que venimos usando y usar sta idea de filtrado ms granular. El requisito dado es permitir un host de una red, el resto de la red la vamos a bloquear y cualquier otra red la vamos a permitir. Para extender el ejemplo digamos que queremos permitir el trfico del host, excepto lo que vaya a un host particular, digamos el 172.16.1.1, y que de la red completa queremos permitir lo que vaya a un servidor en especial de la empresa, digamos el 192.168.2.1. Las reglas de la acl estndar nos sirven de inicio, como de costumbre lo ms especfico lo vamos a poner de primero en la regla para evitar que las reglas ms generales incluyan a las particulares. * access-list 100 deny ip 192.168.1.1 0.0.0.0 172.16.1.1 0.0.0.0 * access-list 100 permit ip 192.168.1.1 0.0.0.0 0.0.0.0 255.255.255.255 * access-list 100 permit ip 192.168.1.0 0.0.0.63 192.168.2.1 0.0.0.0 * access-list 100 deny ip 192.168.1.0 0.0.0.63 0.0.0.0 255.255.255.255 * access-list 100 permit ip any any En sta lista observamos varias cosas nuevas: ip, las acl extendidas no slo permiten especificar las direcciones origen y destino sino discriminar por protocolos e incluso por parmetros particulares de cada protocolo pero eso lo veremos luego, por lo pronto lo importante es que ip indica que todos los protocolos que se encapsulan dentro de ip sern afectados por sta lista de acceso. En este caso, la palabra ip para los protocolos es similar a any en las direcciones, casi todo se encapsula en ip por lo tanto especificar ip es como especificar cualquier protocolo (de capa 4 en adelante). En vez de ip se puede poner un protocolo equivalente o de capa 4, por ejemplo se puede filtrar icmp, tcp o udp, cambiando la palabra ip por stas ltimas. El parmetro established permite respuestas al trfico que se origina desde una red, si se produce una coincidencia si el datagrama TCP tiene ajustados los bits ACK o reset (RST) que indican que el paquete pertenece a una conexin existente. Sin el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un servidor Web, pero no lo reciben de ese servidor. Otra cosa importante y nueva es un segundo par de direccin de referencia/mscara wildcard, ste segundo par compara la direccin destino de los paquetes con la direccin de la regla. Para las acls extendidas, el paquete debe coincidir tanto en la direccin origen como en la destino. Finalmente, la direccin de referencia 0.0.0.0 con mscara wildcard 255.255.255.255. Como esta mscara es todo unos, eso significa que ningn bit del paquete se compara con la direccin de referencia, es decir, no importa qu escriba en la direccin de referencia cualquier destino coincide. Esta mscara es lo mismo que any, debido a que la mscara es equivalente a cualquier direccin y puede usarse tanto para el origen como para el destino. Explicacin de la ACL

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

La primera regla aplica deny slo si el paquete tiene como origen la direccin 192.168.1.1 y direccin destino 172.16.1.1, por lo tanto slo el trfico especfico de entre esos host se deniega, la segunda regla permite el resto del trfico del host hacia cualquier destino. La tercera regla permite el trfico de la red 192.168.1.0/26 hacia el host 192.168.2.1. La 4a regla complementa a la anterior y niega todo el trfico de la red, como sta regla general esta despus de la especfica, el trfico comparado con sta regla ya no coincidi con el trfico dirigido al servidor, que es una condicin ms especfica dentro de la misma red. Finalmente cualquier trfico que no coincida con las reglas anteriores se permite sin importar de dnde provenga y hacia dnde vaya. Finalmente y para no dejar incompleto el ejemplo, hay que instalarla en una interfaz por la que pase el trfico que se quiere interceptar y recordar que el sentido en el que se instala la acl, indica cules sern las direcciones origen y destino (que se invierten si se invierte el sentido del trfico). * interface serial 0/0 * ip access-group 100 in Las listas de acceso extendidas no difieren de las estndar ms que en las caractersticas mencionadas, por lo tanto los comandos usados para verificar las estndar siguen siendo vlidos. * show ip interface serial 0/0 * show ip access-list Las acls extendidas son mucho ms eficientes en el filtrado que las acls estndar, pero como ya he mencionado en otras entradas, las acls son mecanismos de clasificacin de trfico y direcciones y hay algunas aplicaciones que se corresponden mejor con las acl estndar que con las extendidas, por lo tanto se siguen usando tanto como las extendidas. Eliminar ACL La forma no de este comando elimina la ACL estndar. Para eliminar la ACL, se utiliza el comando de configuracin global no access-list. La ejecucin del comando show access-list confirma que la lista de acceso ha sido eliminada. La palabra clave remark se utiliza para la documentacin y facilita considerablemente la comprensin de las listas de acceso. ACL nombrada Las ACL nombradas tienen una gran ventaja sobre las ACL numeradas porque son ms fciles de editar. A partir del software IOS de Cisco versin 12.3, las ACL IP nombradas le permiten borrar entradas individuales en una ACL especfica. Puede usar secuencias de nmeros para insertar sentencias en cualquier parte de la ACL nombrada. Si utiliza una versin anterior del software IOS de Cisco, puede agregar sentencias slo al final de la ACL nombrada. Como puede borrar entradas individuales, puede modificar su ACL sin necesidad de borrar y luego reconfigurar toda la ACL. Comentarios en las ACL Puede usar la palabra clave remark para incluir comentarios (observaciones) sobre entradas en cualquier ACL IP estndar o extendida. Las observaciones facilitan la comprensin y el anlisis de la ACL. Cada lnea de observacin est limitada a 100 caracteres. Editar ACL Las ACL nombradas tienen una gran ventaja sobre las ACL numeradas porque son ms fciles de editar. A partir del software IOS de Cisco versin 12.3, las ACL IP nombradas le permiten borrar entradas individuales en una ACL especfica. Puede usar secuencias de nmeros para insertar sentencias en cualquier parte de la ACL nombrada. Si utiliza una versin anterior del software IOS de Cisco, puede agregar sentencias slo al final de la ACL nombrada. Como puede borrar entradas individuales, puede modificar su ACL sin necesidad de borrar y luego reconfigurar toda la ACL. Para insertar una lnea basta precederla del numero de orden.