Ing.

María Isabel Maidana Salcedo

 INTRODUCCIÓN
La seguridad de la red es un tema muy amplio y una
buena parte de él va más allá del alcance de este curso.
No obstante, una de las capacidades más importantes
que un administrador de red necesita es el dominio de
las listas de control de acceso(ACL).
Los administradores utilizan
las ACL para detener el
tráfico o permitir sólo el
tráfico específico y, al mismo
tiempo, para detener el resto
del tráfico en sus redes.
 INTRODUCCIÓN
Los diseñadores de red utilizan firewalls para proteger
las redes contra el uso no autorizado.
Los firewalls son soluciones de hardware o software que
hacen cumplir las políticas de seguridad de la red.
Es como la cerradura de la puerta de la habitación de un
edificio.
La cerradura sólo permite que
Ingresen los usuarios
autorizados con una llave o
tarjeta de acceso.
 INTRODUCCIÓN
Los firewalls filtran el ingreso a la red de los paquetes
no autorizados o potencialmente peligrosos.
En un router Cisco,
puede configurar un
simple firewall que
proporcione
capacidades básicas
de filtrado de tráfico
mediante las ACL.
 ¿Qué es una ACL?
Una lista de control de
acceso o ACL (del inglés,
access control list) es un
concepto de seguridad
informática usado para
determinar los permisos
de acceso dentro de una
red.
Las ACL permiten controlar
el flujo del tráfico en
equipos de redes, tales
como enrutadores y
conmutadores.
Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico
de red de acuerdo a alguna condición.
 Tareas de una ACL
1. Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo,
si la política corporativa no permite el tráfico de video en la red, se pueden configurar y aplicar
ACL que bloqueen el tráfico de video. Esto reduciría considerablemente la carga de la red y
aumentaría su rendimiento.
2. Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega
de actualizaciones de routing para asegurar que las actualizaciones provienen de un origen
conocido.
3. Proporcionan un nivel básico de seguridad para el acceso a la red.
Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro host acceda
a la misma área.
4. Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir
el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.
5. Filtran a los hosts para permitirles o denegarles el acceso a los
servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a
determinados tipos de archivos, como FTP o HTTP.
Características de una ACL
Las ACL se representan como un
conjunto de reglas identificadas
con un número (o un nombre) y
cada regla especifica una acción y
una condición, las acciones a
aplicar son permitir o denegar
todos los paquetes que cumplan la
condición asociada a la regla .
Todas las reglas que tengan el
mismo número hacen parte de una
misma ACL.
Características de una ACL
Un ejemplo de cómo es conceptualmente una
ACL es el siguiente:
 Lista-de-acceso X ACCION1 CONDICION1
 Lista-de-acceso X ACCION2 CONDICION2
 Lista-de-acceso X ACCION3 CONDICION3
X es el nombre o número que identifica la ACL,
por lo tanto todas las reglas anteriores componen
la ACL X, una sola ACL.
La lógica de funcionamiento de las ACLs es
secuencial de arriba hacia abajo, una vez que se
cumpla una condición, se aplica su acción
correspondiente y no se examinan más reglas de
la ACL. (disminuir la cantidad de procesamiento)
Características de las ACL´s
El proceso de comparación sigue hasta llegar al
final de la lista, si el paquete no cumple con
alguna condición, éste será descartado
implícitamente (instrucción “deny any” al final).
Es así que el orden en que figuran las
instrucciones en la lista de acceso es esencial.
Por lo tanto, es necesario que en toda lista de
acceso exista al menos una instrucción permit;
en caso contrario, la lista bloquearía todo el
tráfico. Otra solución sería finalizar el listado de
acceso con una condición de permiso
implícito de todo.
Características de las ACL´s
Una regla importante al establecer ACL sera, que se debe listar
los comandos desde los casos más específicos, hasta los
más generales. ¡Las reglas más específicas deben estar
antes de la regla general!
Si no encuentra una coincidencia en ninguno de los
reglones, rechaza automáticamente el tráfico.
10.10.10.1/24 x
¿Cómo trabajan las ACL´s?
Mascara Wildcard Repaso…
Máscara comodín, también conocidas como máscara de subred
inversa, es una secuencia de 32 dígitos binarios que indican a
un router que parte de una dirección de red debe coincidir
para llevar a cabo determinada acción. Permite establecer
condiciones para un grupo, rango de direcciones IP, o para una
dirección IP individual. Utilizan dos reglas sencillas.
• Un bit de máscara 0 significa que al comprobar el valor del
bit correspondiente, éste debe coincidir, sólo así se llevara a
cabo la acción establecida.
• Un bit de máscara a 1 significa ignorar el bit correspondiente.
Por lo tanto, para establecer un filtro para la subred
200.90.20.0/24 utilizaremos una wildcard de 0.0.0.255.
00000000.000000000.00000000.11111111
Mascara Wildcard
Repaso…
 Repaso…
¿Cómo obtener la Wildcard?
Dada la subred 172.16.3.0/25, imagine que la máscara wildcard
es lo inverso a una máscara de subred o más bien lo restante de
dicha máscara, ya que a la máscara de subred por default
255.255.255.255 le restaremos la máscara de subred de la red
que queremos publicar, en este caso:
255.255.255.255----------> Máscara por default
- 255.255.255.128----------> Máscara de la subred 172.16.3.0
0. 0. 0.127----------> Máscara Wildcard
Otro ejemplo: Encontrar la máscara wildcard de 10.1.0.0/16
255.255.255.255----------> Máscara por default
- 255.255. 0. 0----------> Máscara de la subred 10.1.0.0
0. 0.255.255----------> Máscara Wildcard
¿Para qué usar Wildcard en ACL?
La máscara de wildcard permite definir qué bits son relevantes
para la ejecución de una determinada acción y cuáles no deben
ser considerados o tomados en cuenta (0 y 1).
En el grafico se muestran los resultados de la aplicación de una
máscara wildcard 0.0.255.255 a una dirección IPv4 de 32 bits.
¿Para qué usar Wildcard en ACL?
¿Para qué usar Wildcard en ACL?
¿Para qué usar Wildcard en ACL?
La máscara de wildcard permite definir qué bits son relevantes
para la ejecución de una determinada acción y cuáles no deben
ser considerados o tomados en cuenta (0 y 1).

Ejemplo 1: access-list 20 permit 192.17.3.10 0.0.0.0

Ejemplo 2: access-list 10 deny 10.17.3.10 0.0.0.0
Ejemplo 3: access-list 30 deny 172.17.3.0 0.0.0.255
Ejemplo 4: access-list 40 permit 10.1.2.10 255.255.255.255
Ejemplo 5: access-list 40 permit 0.0.0.0 255.255.255.255
Palabras clave mascaras wildcard
Las palabras clave host y any ayudan a identificar los usos más
comunes de las máscaras wildcard. Estas palabras clave eliminan la
necesidad de introducir máscaras wildcard para identificar un host
específico o toda una red.
• La palabra clave host reemplaza la wildcard 0.0.0.0. Esta máscara indica que
todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección
de host.

• La opción any sustituye la dirección IP y la wildcard 255.255.255.255. Esta

máscara establece que se omita la dirección IPv4 completa o que se acepte
cualquier dirección
Tipos de ACL´s
Hay dos tipos generales de listas de acceso:
• Listas de Acceso Estándar(1-99) : Comprueban únicamente las
direcciones de origen de los paquetes que solicitan
enrutamiento. Opera en la capa 3. Deben ubicarse cerca del
destino del tráfico. Esto se debe a sus limitaciones.
Ej. access-list 1 permit 172.17.3.10 0.0.0.0
• Listas de Acceso Extendidas(100-199) : Comprueban tanto la
dirección de origen como la de destino en cada paquete.
También pueden verificar protocolos específicos, números de
puerto y otros parámetros. Opera en las capas 3 y 4. Se colocan
cerca del origen del tráfico, por eficiencia, para evitar tráfico
innecesario en el resto de la red
Ej. Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
telnet
Aplicación de ACL´s
Las listas de acceso pueden aplicarse de las siguientes formas:
 Listas de Acceso de Entrada (in): Los paquetes entrantes
son procesados antes de ser enrutados a una interfaz de
salida. Resulta más eficaz dado que evita la sobrecarga
asociada a las búsquedas en las tablas de enrutamiento.
 Listas de Acceso de Salida (out): Los paquetes entrantes
son enrutados a la interfaz de salida y después son
procesados por medio de la lista de acceso de salida antes de
su transmisión.

10.10.10.1/24
Aplicación de ACL´s
Las listas de acceso pueden aplicarse de las siguientes formas:
 Listas de Acceso de Entrada (in): Los paquetes entrantes
son procesados antes de ser enrutados a una interfaz de
salida. Resulta más eficaz dado que evita la sobrecarga
asociada a las búsquedas en las tablas de enrutamiento.
 Listas de Acceso de Salida (out): Los paquetes entrantes
son enrutados a la interfaz de salida y después son
procesados por medio de la lista de acceso de salida antes de
su transmisión.
Configuración e Implementación
de una ACL
Pasos para determinar tipo y ubicación de las ACLs:
• Determinar los requisitos del filtrado de tráfico
• Decidir qué tipo de ACL utilizar (estándar o extendida)
• Determinar el router y la interfaz a los cuales aplicar la ACL
• Determinar en qué dirección filtrar el tráfico
Pautas de Configuración e
Implementación de una ACL
Configuración de una ACL estandar
Sintaxis (en modo de configuración global):
access-list (1-99) (deny | permit) (ip origen) (wildcard origen)
Ejemplo: Dada una red compleja, bloquear solo la subred 172.17.3.0/24,
excepto la máquina 172.17.3.10.
access-list 1 permit 172.17.3.10 0.0.0.0
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit 0.0.0.0 255.255.255.255
{access-list 1 deny 0.0.0.0 255.255.255.255 } implícito
Utilizando términos any, host:
access-list 1 permit host 172.17.3.10
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any
{access-list 1 deny any} implícito
Luego debe asignarse la ACL a una o más interfaces:
interface Fa0/0
ip access-group 1 out
Configuración de una ACL estandar
El administrador desea impedir que el tráfico que se origina en la red
192.168.10.0/24 llegue a la red 192.168.30.0/24.
Configuración de una ACL estandar
Ej. 192.168.16.0/24

192.168.14.0/24 192.168.17.0/24

Crear una ACL que solo permita ingresar los paquetes de la subred
192.168.16.0/24 a la subred 192.168.14.0/24.
Router1(config)# access-list 1 permit 192.168.16.0 0.0.0.255
Router1(config)# interface fa 0
Router1(config-if)# ip-access-group 1 out
Configuración de una ACL estandar
Ej. 192.168.16.0/24

192.168.14.0/24 192.168.17.0/24

Crear una ACL en que niegue el acceso a la subred 192.168.17.0/24 a todos

los paquetes que provengan de 192.168.14.11
Router(config)# access-list 5 deny 192.168.14.11 0.0.0.0
Router(config)# access-list 5 permit any
Router(config)# interface fa 0
Router(config-if)# ip-access-group 5 ___
Configuración de una ACL estandar
Ej. 192.168.16.0/24

192.168.14.0/24 192.168.17.0/24

Crear una ACL en que niegue el acceso a la subred 192.168.17.0/24 a todos

los paquetes que provengan de 192.168.14.11
Router3(config)# access-list 5 deny 192.168.14.11 0.0.0.0
Router3(config)# access-list 5 permit any
Router3(config)# interface fa 0
Router3(config-if)# ip-access-group 5 out
Configuración de una ACL estándar
Ej. Descartar todo el trafico de A cuyo destino sea internet.
Configuración de una ACL extendida
Sintaxis (en modo de configuración global):
access-list (100-199) (deny|permit) (protocolo) (IP origen)
(wildcard origen) (IP destino) (wildcard destino) [(operador)
(operando)]
• El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP),
TCP, UDP, ICMP.
• El “operador” puede ser eq(equal to), neq(not equal to), lt (Less than), gt
(greater than), range (range of port numbers).
• El "operando" puede ser un número de puerto (por ejemplo 21), o una
sigla conocida, por ejemplo, "ftp". Otros puertos conocidos son:
21 – ftp (TCP) 23 - telnet (TCP)
25 – smtp (TCP) 53 – domain - DNS(UDP - TCP)
69 – tftp – (UDP) 80 – www – HTTP (TCP)
Configuración de una ACL extendida
192.168.16.0/24

192.168.14.0/24 192.168.17.0/24

Ej. Cree una lista de acceso para permitir que el tráfico de la red
192.168.14.0/24 sólo pueda ingresar a la red 192.168.17.0/24
Router (config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255
Router(config)# interface FastEthernet0
Router(config-if)# ip access-group 101 __
Configuración de una ACL extendida
192.168.16.0/24

192.168.14.0/24 192.168.17.0/24

Ej. Cree una lista de acceso para permitir que el tráfico de la red
192.168.14.0/24 sólo pueda ingresar a la red 192.168.17.0/24
Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255
Router1(config)# interface FastEthernet0
Router1(config-if)# ip access-group 101 in
Configuración de una ACL extendida

Ej. Realizar una

ACL que no permita
que el tráfico de
Telnet se envie
desde la subred
172.16.4.0/24 a la
subred
172.16.3.0/24.
Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router(config)# access-list 101 permit ip 172.16.4.0 0.0.0.255 0.0.0.0 255.255.2552.255
(implicito deny any)
Router(config)# interface FastEthernet1
Router(config-if)# ip access-group 101 __
Configuración de una ACL extendida

Ej. Realizar una

ACL que no permita
que el tráfico de
Telnet se envie
desde la subred
172.16.4.0/24 a la
subred
172.16.3.0/24.
Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router(config)# access-list 101 permit ip 172.16.4.0 0.0.0.255 0.0.0.0 255.255.2552.255
(implicito deny any)
Router(config)# interface FastEthernet1
Router(config-if)# ip access-group 101 in
Configuración de una ACL extendida
192.168.16.0/24

192.168.14.0/24 192.168.17.0/24

Ej. Cree una lista de acceso para denegar sólo el tráfico de correo
electrónico, ping y TFTP que vaya de la red 192.168.16.0/24 al host
192.168.17.5/24
Router(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25
Router(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0
Router(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69
Router(config)# access-list 111 permit ip any any
Router(config)# interface FastEthernet0
Router(config-if)# ip access-group 111 __
Configuración de una ACL extendida
192.168.16.0/24

192.168.14.0/24 192.168.17.0/24

Ej. Cree una lista de acceso para denegar sólo el tráfico de correo
electrónico, ping y TFTP que vaya de la red 192.168.16.0/24 al host
192.168.17.5/24
Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25
Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0
Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69
Router2(config)# access-list 111 permit ip any any
Router2(config)# interface FastEthernet0
Router2(config-if)# ip access-group 111 in
Configuración de una ACL extendida
Ej. Cree una lista de acceso para cerrar todos los puertos excepto los puertos
TCP 20, 21 y 25, y UDP 69.
Configuración de una ACL extendida
Ej. Cree una lista de acceso para cerrar todos los puertos excepto los puertos
TCP 20, 21 y 25, y UDP 69.

Router(config)#ip access-list extended 100

Router(config)# access-list 100 permit tcp any any range 20 21
Router(config)# access-list 100 permit tcp any any eq 25
Router(config)# access-list 100 permit udp any any eq tftp
Router(config)# access-list 100 deny ip any any
Router(config)#exit
Router(config)#interface serial 5/0
Router(config-if)#ip access-group 100 in
Listas de Control de Acceso nombradas
Las ACL nombradas permiten que las ACL estándar y
extendidas se identifiquen con una cadena alfanumérica
(nombre) en lugar de la representación numérica.
Entre sus ventajas se tiene:
• Pueden usarse para eliminar entradas individuales de una
ACL específica. Esto permite modificar sus ACL sin
eliminarlas y luego reconfigurarlas. Permiten eliminar
sentencias pero sólo permiten que las sentencias se
agreguen al final de la lista
• Permiten identificar intuitivamente las ACL utilizando un
nombre alfanumérico.
• Existen más de 99 ACL simples y 100 extendidas que se
pueden configurar en un router.
Listas de Control de Acceso nombradas
Antes de implementar las ACL nombradas, se debe considerar
que:
• Las ACL nombradas no son compatibles con las
versiones de Cisco IOS anteriores a la versión 11.2.
• No se puede usar el mismo nombre para múltiples ACL.
Además, las ACL de diferentes tipos no pueden tener el
mismo nombre.
Sintaxis de ACL nombradas
Para nombrar la ACL, se utiliza la siguiente sintaxis:
Router(config)# ip access-list {standard | extended} name
En el modo de configuración de ACL, se especifica una o más
condiciones de permitir o denegar, de acuerdo a la sintaxis
establecida para ACL estándar o extendida

ACL ESTANDAR:
Router(config-std-nacl)#(deny | permit) (ip origen) (wildcard origen)
ACL EXTENDIDA:
Router(config-ext-nacl)# (deny|permit) (protocolo) (IP origen) (wildcard
origen) (IP destino) (wildcard destino) [(operador) (operando)]
Sintaxis de ACL nombradas
ACL ESTANDAR:
Router(config-std-nacl)#(deny | permit) (ip origen) (wildcard origen)
ACL EXTENDIDA:
Router(config-ext-nacl)# (deny|permit) (protocolo) (IP origen) (wildcard
origen) (IP destino) (wildcard destino) [(operador) (operando)]
Luego se asocia la ACL a una interfaz con el siguiente comando:
Router(config-if)# ip access-group [nombre][in|out]
Ejemplos de ACL nombradas
Crear una ACL con el nombre INTRANET que niegue todo trafico
FTP de cualquier origen a cualquier destino. Asociarla a la
interfaz ethernet 1 como trafico saliente.

Router(config)#ip access-list extended INTRANET

Router(config-ext-nacl)#deny tcp any any eq 21
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface ethernet 1
Router(config-if)#ip access-group INTRANET out
Ejemplos de ACL nombradas
Configurar una ACL estándar nombrada que niegue el acceso del
host 192.168.11.10 a la red 192.168.10.0
Ejemplos de ACL nombradas
Ejemplos de ACL nombradas
Crear una ACL nombrada extendida que restringa el acceso a la
subred 192.168.10.0/24, de manera que sólo se le permita la
navegación Web.
Ejemplos de ACL nombradas
Ejemplos de ACL nombradas
¿Qué es lo que hace la ACL TEST?

Router(config)# ip access-list extended TEST

Router(config-ext-nacl)# permit ip host 2.2.2.2 host 3.3.3.3
Router(config-ext-nacl)# permit tcp host 1.1.1.1 host 5.5.5.5
eq www
Router(config-ext-nacl)# permit icmp any any
Router(config-ext-nacl)#exit
Router(config)#interface ethernet 0
Router(config-if)#ip access-group TEST out
Comandos de verificación
Los comandos que permiten verificar la configuración de ACL
son:
 Show access-lists [access-list-number], muestra
los detalles de la configuración de la ACL.
 Show ip access-list [access-list-number], muestra
las listas de accesso IP.
 Show ip interface [type number], muestra que ACL
ha sido habilitada para la interfaz.
 Show running-config.
Posibles problemas
 Mayor carga en el router
 Posible interrupción de la red por ACL´s mal diseñadas
 Consecuencias no esperadas a causa de una incorrecta ubicación,
como dejar pasar tráfico prohibido o bloquear tráfico permitido
 Comprobar y verificar todas la ACL configuradas

Para borrar una ACL:

no access-list [list number]
Para desasociar una ACL:
no ip access-group interface
Ing. María Isabel Maidana Salcedo
1. Uso de ACL para acceso VTY
Se puede mejorar parcialmente la seguridad de las líneas administrativas
restringiendo el acceso VTY, permitiendo definir qué direcciones IP tienen
acceso Telnet y al proceso EXEC del router. Permite controlar qué
estación de trabajo administrativa o qué red administra el router mediante
la configuración de una ACL y una instrucción access-class en las líneas
VTY.
El comando access-class configurado en el modo de configuración de
línea restringe las conexiones de entrada y salida entre una VTY
determinada y las direcciones en una lista de acceso.

La sintaxis del comando access-class es la siguiente:

Router (config)# access-class número-lista-acceso in

1. Uso de ACL para acceso VTY
Para configurar listas de acceso en los VTY, se debe tener en cuenta lo
siguiente:
• Solamente se pueden aplicar listas de acceso numeradas a los VTY.
• Se deben establecer restricciones idénticas en todos los VTY, porque un
usuario puede intentar conectarse a cualquiera de ellos.
• Debido a que sólo se verifica la dirección origen, se utiliza una ACL
estándar.
• Se configuran en la línea de comando VTY y de entrada.
Ejemplo ACL para acceso VTY
Como administrador de red, debe tener acceso remoto al router. Este acceso no
debe estar disponible para otros usuarios de la red. Por lo tanto, debe configurar y
aplicar una lista de control de acceso (ACL) que permita el acceso del host 10.0.0.1
a las líneas Telnet, pero que deniegue el resto de las direcciones IP de origen.

10.0.0.1 10.0.0.2
2. Bloqueo de Direcciones IP
• Es importante bloquear el posible acceso a nuestra red de paquetes
originados en direcciones IP que no se consideran legítimas (anti-
spoofing).

DIRECCIONES IP PRIVADAS
• Es frecuente que quienes desean ocultar su identidad utilicen con
este propósito direcciones IP privadas (RFC 1918) u otro tipo de
direcciones IP reservadas o especiales.
• La RFC 1918 (Request For Comments) contiene la documentación
de protocolos y tecnologías de Internet, referidas a la direcciones
privadas, en las que se establece junto a la IANA (Internet Assigned
Numbers Authority) la reserva de bloques de direcciones IP para
el uso en redes privadas, mismas que no pueden ser utilizadas en
internet.
2. Bloqueo de Direcciones IP
• Como no es posible realizar conexiones entre distintas redes
privadas a través de Internet, distintas compañías pueden usar el
mismo rango de direcciones privadas sin riesgo de que se
generen conflictos con ellas, es decir, no se corre el riesgo de que
una comunicación le llegue por error a un tercero que esté usando la
misma dirección IP.
• Si un dispositivo de una red privada necesita comunicarse con otro
dispositivo de otra red privada distinta, es necesario que cada red
cuente con una puerta de enlace con una dirección IP pública, de
manera que pueda ser alcanzada desde fuera de la red y así se
pueda establecer una comunicación, ya que un router podrá tener
acceso a esta puerta de enlace hacia la red privada. Esta puerta de
enlace será un dispositivo de traducción de dirección de red
(NAT) o un servidor proxy.
2. Bloqueo de Direcciones IP
• La "Autoridad de Números Asignados en Internet“, (IANA), ha
reservado los tres siguientes bloques de direcciones IP para el uso
en redes privadas:
10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
192.168.0.0 - 192.168.255.255 (192.168.0.0/16)
2. Bloqueo de Direcciones IP
DIRECCIONES DE RED ESPECIALES
• La dirección de loopback tiene el rango 127.0.0.0/8 (127.0.0.1)se
utiliza para identificar interfaces de red virtual creadas por
software que representan al propio dispositivo independiente de
la dirección IP que se la haya asignado, no existe físicamente en el
equipo, pero realiza todas las funciones de un interfaz física. Se
pueden crear tantos interfaces loopback como sean requeridas. Se
utiliza en tareas de diagnóstico de conectividad (estado de
interfaces, tarjetas de red, etc) y validez del protocolo de
enrutamiento, así como para indicar que el destino del protocolo
solicitado es el mismo host.
2. Bloqueo de Direcciones IP
2. Bloqueo de Direcciones IP
• Dirección de Broadcast, en toda red existe un mecanismo para
enviar un mensaje o paquete que reciben todas las computadoras
de la red. Este mecanismo se llama broadcast. En las redes IP, la
dirección de broadcast es 255.255.255.255. Pero Internet es una red
de redes, no es práctico ni deseable que cualquier broadcast se
propague por el mundo entero. Por tanto, un mensaje con
dirección de destinatario 255.255.255.255 solamente se difunde en
la red local (la red al cual pertenece la computadora o dispositivo
emisor). En este sentido, las redes que ingresan de internet a
nuestra red privada no pueden tener como origen la dirección de
broadcast 255.255.255.255.
2. Bloqueo de Direcciones IP
• Dirección de Multicast: Una dirección multicast está asociada con
un grupo de receptores interesados. De acuerdo al RFC 3171 las
direcciones desde la 224.0.0.0 a la 239.255.255.255 (224.0.0.0/3)
están destinadas para ser direcciones de multicast, por lo que no
es posible recibir información proveniente de esta subred en
nuestra red privada.
2. Bloqueo de Direcciones IP
La configuración del bloqueo de éstas direcciones IP con una ACL
extendida:
Router#configure terminal
Router(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router(config)#access-list 100 deny ip host 255.255.255.255 any
Router(config)#access-list 100 deny ip 224.0.0.0 31.255.255.255 any
Router(config)#access-list 100 permit ip any any
Router(config)#exit
Router(config)#interface serial0/0
Router(config-if)#ip access-group 100 in
2. Bloqueo de Direcciones IP
La configuración del bloqueo de éstas direcciones IP con una ACL
extendida nombrada será:
Router#configure terminal
Router(config)#ip access-list extended ANTISPOOF
Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any
Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any
Router(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)#deny ip host 255.255.255.255 any
Router(config-ext-nacl)#deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface serial0/0
Router(config-if)#ip access-group ANTISPOOF in
3. Uso de claves robustas y encriptadas
• Asegúrese de utilizar claves largas y con caracteres alfanuméricos, lo
que reduce la posibilidad de que sean violadas por un ataque de
fuerza bruta. Este comando Cisco IOS le permite asegurar una
longitud de caracteres mínima para cada clave:
Router(config)# security passwords min-length 10
• Asegúrese de que todas las claves estén encriptadas, al menos con
un algoritmo de encripción básico:
Router(config)# service password encryption
RESUMEN DE SERVICIOS BASICOS
SERVICIO PROTOCOLO PUERTO SIGLA DESCRIPCION

FTP (File Transfer Protocol - Protocolo de transferencia de archivos)" se

21
utiliza para transferir archivos desde y a un sistema PC remoto. Permite
FTP TCP ftp manejar archivos, crear carpetas, eliminar ficheros, carpetas, poner
atributos y definir tipos de acceso a fichero.

SMTP (Simple Mail Transport Protocol - Protocolo de transporte de e-

SMTP TCP 25 smtp mail simple) se utiliza en Internet para enviar e-mails a un servidor de e-
mails, y para intercambiar e-mails entre 2 servidores.

TFTP (Trivial File Transfer Protocol - Protocolo trivial de transferencia de

TFTP UDP 69 tftp archivos) es un protocolo sencillo para la transferencia de archivos. Tftp
solo se basa en el envió y recepción de ficheros.

23
Con Telnet puede crear una sesión de terminal sobre un servidor Telnet
TELNET TCP telnet con el cliente Telnet. Administración remota
DNS (Domain Name Server - Servidor de nombres de dominio) es el
DNS UDP/TCP 53 domain/udp responsable de la asignación y la resolución de nombres en las redes
basadas en IP.
HTTP (Hypertext Transfer Protocol - Protocolo de transferencia de

80
hipertextos) es un protocolo de transferencia para transferir información
HTTP TCP www en la World Wide Web (WWW). Con el HTTP tendrá acceso a una
página HTML guardada.
Mensajes ICMP (Protocolo de mensajes de control de Internet) es un protocolo que
ICMP ICMP - - permite administrar información relacionada con errores de los equipos
(ping) en red.
Ing. María Isabel Maidana Salcedo