You are on page 1of 42

Listas de Control de

Acceso
(ACL)
Qué son las ACL
 ACLs:
 Condiciones aplicadas al tráfico que viaja a través
de la interfaz del router.
 Indican al router qué tipo de paquetes aceptar o
rechazar basándose en condiciones específicas.
 Permiten la administración del tráfico y aseguran el
acceso hacia y desde una red.
 Se puede crear en todos los protocolos de red
enrutados: IP, IPX ...
 Se pueden configurar en el router para controlar el
acceso a una red o subred.
Qué son las ACL
 Las ACL se definen según el protocolo, la
dirección o el puerto.

 Para controlar el flujo de tráfico en una interfaz:


 Se debe definir ACL para cada protocolo enrutado
habilitado
 Se necesita crear ACLs por separado para cada
dirección del tráfico, una para el tráfico entrante y
otra para el saliente.
Qué son las ACL
 Razones para crear ACLs:
 Limitar el tráfico de red y mejorar el rendimiento de la
red: Por ejemplo, restricción de video
 Brindar control de flujo de tráfico. P.e: restringir el envío
de actualizaciones de enrutamiento.
 Proporcionar nivel básico de seguridad para el acceso a
la red.

 Si ACL no están configuradas en el router:


 Todos los paquetes tendrán acceso a todas las partes de
la red.
Funcionamiento de las ACL

siguiente
Tipos de ACLs
Tipos de ACLs
ACL Estándar
 Verifican dirección origen de los paquetes IP.

 Permiten o rechazan el acceso a todo un conjunto


de protocolos, según las direcciones de red, subred o
host origen

 Las ACL estándar no especifican las direcciones


destino, de modo que se deben colocar lo más cerca
posible del destino.
Creación de ACLs Estándar
1. Ingresar al modo de configuración global.
Router(config)#

2. Decidir número de la ACL que identifique que es


estándar (1-99 o 1300-1999)

3. Ingresar sentencias de ACL utilizando comando


access-list, con los parámetros necesarios.

Router(config)#access-list número-lista {deny | permit |


remark} dirección-origen [wildcard ] [log]
Máscara Wilcard.
 Cantidad de 32-bits: cuatro octetos de 1s y 0s.
 Se compara contra una dirección IP.
 1 y 0 identifican cómo tratar los bits de la
dirección IP
 0: Comprueba el valor del bit correspondiente
 1: Ignora ignora el valor del bit correspondiente
 1s y 0s filtran direcciones IP individuales o en
grupos, permitiendo o rechazando el acceso a
recursos según el valor de las mismas.
 Ejemplo:
Máscara Wilcard.
Valor de dirección y posición
128 64 32 16 8 4 2 1 en el octeto de cada bit

Ejemplos

0 0 0 0 0 0 0 0 = Comprobar todos los bits


de dirección

Ignorar los últimos 6 bits


0 0 1 1 1 1 1 1 = de dirección

Ignorar los últimos 4 bits


0 0 0 0 1 1 1 1 = de dirección

Comprobar los últimos 2


1 1 1 1 1 1 0 0 = bits de dirección

No Comprobar la
1 1 1 1 1 1 1 1 = dirección (ignorar los bits
del octeto
Máscara Wilcard.
Access-list 1 permit 172.16.0.0 0.0.255.255
1 01 011 00 0 00 100 00 0 00 000 00 0 00 000 00

0 00 000 00 0 00 000 00 1 11 111 11 1 11 111 11

1 01 011 00 0 00 100 00

Paquete entrante: 172.18.4.2


1 01 011 00 0 00 100 10 0 00 001 00 0 00 000 10

1 0 1 0 1 10 0 0 0 0 1 0 0 1 0

Paquete descartado
Máscara Wilcard.
 Palabras claves especiales utilizadas en las ACL:
 Any:
 Reemplaza la dirección IP con 0.0.0.0 y la máscara
wildcard por 255.255.255.255.
 Esta opción concuerda con cualquier dirección con la
que se la compare.
 Host:
 Reemplaza la máscara 0.0.0.0.
 Esta máscara necesita todos los bits de la dirección ACL
y la concordancia de dirección del paquete.
 Esta opción sólo concuerda con una dirección.
Creación de ACLs Estándar
 Remark:
 Similar a un comentario
 Facilita entendimiento de la ACL.
 Limitado a 100 caracteres.

access-list 1 remark Permit only Jones workstation

access-list 1 permit 171.69.2.88


Creación de ACLs Estándar

4. Asignar la lista a la interfaz apropiada:


 Usar el comando ip access-group.
 Especificar ubicación entrante o saliente de la
ACL
 Entrante: filtra el tráfico que entra por una interfaz
 Saliente: filtra el tráfico que sale por una interfaz
 Para decidir si ACL es entrante o saliente, mire las
interfaces como si se observara desde dentro del
router
Creación de ACLs Estándar

Router(config)#ip access-group {número-lista-


acceso | nombre-lista-acceso} {in | out}

Recordar:
 Sentencias se procesan de forma secuencial
hasta que se encuentre una concordancia.
 Si no hay concordancia, se rechaza el paquete.
 Hay un deny any (denegar cualquiera) implícito
al final de todas las ACLs.
Creación de ACLs Estándar
 Reglas básicas a la hora de crear ACLs
 Deben filtrar desde lo particular a lo general:
 Primero filtrar hosts específicos
 Luego grupos (filtros generales).
 Primero se examina la condición de concordancia.
El permiso o rechazo se examina SÓLO si la
concordancia es cierta.
 Nunca trabaje con una ACL que se utiliza de forma
activa.
 Siempre, las líneas nuevas se agregan al final de la
lista de acceso.
Creación de ACLs Estándar
 Reglas básicas a la hora de crear ACLs (2)
 El comando no access-list x elimina la lista X.
 No es posible agregar y quitar líneas de manera
selectiva en las ACL numeradas.
 Los filtros salientes no afectan al tráfico que se
origina en el router local.
ACL Estándar
 Eliminar ACL estándar:

Router(config)#no access-list número-lista-acceso


ACL Extendida
 Utilizadas con más frecuencia que las estándar
porque ofrecen un mayor control.
 Verifican: Direcciones origen y destino de
paquetes, protocolos y números de puerto.
 Mayor flexibilidad para establecer qué verifica la
ACL.
 Sintaxis es engorrosa.
 Se utilizan también las palabras any y host
 Regla General: Aplicarlas lo más cerca posible al
origen.
ACL Extendida
access-list número-lista-acceso {deny | permit} protocolo ip-origen
wildcard-origen ip-destino wildcard-destino operador
puerto-o-nombre-de-aplicación

 Protocolo:
 Nombre o número de un protocolo de Internet: eigrp, icmp,
igrp, ip, tcp, udp, ...
 Para referirse a cualquier protocolo de Internet utiliza palabra
clave ip
ACL Extendida

 Operadores lógicos: eq, neq, gt, lt


ACL Extendida
Algunos números TCP/UDP reservados

Número Puerto Descripción


20 ftp-data
21 ftp
23 telnet
25 Smtp
69 Tftp
80 http
Ubicación de las ACL
Importante
 Si las ACL se colocan en el lugar correcto:
 Filtran el tráfico
 Toda la red se hace más eficiente.
 Regla:
 Colocar ACL extendidas lo más cerca posible del
origen del tráfico denegado.
 Las ACL estándar no especifican las direcciones
destino, de modo que se deben colocar lo más cerca
posible del destino.
Creación de ACLs Extendidas
1. Ingresar al modo de configuración global.
Router(config)#

2. Decidir número de la ACL que identifique


que es estándar (100-199 o 2000-2699)

3. Ingresar sentencias de ACL utilizando


comando access-list, con los parámetros
necesarios.
Creación de ACLs Extendidas

4. Asignar la lista a la interfaz apropiada:


 Usar el comando ip access-group.
 Especificar ubicación entrante o saliente de la
ACL
 Entrante: filtra el tráfico que entra por una interfaz
 Saliente: filtra el tráfico que sale por una interfaz
 Para decidir si ACL es entrante o saliente, mire las
interfaces como si se observara desde dentro del
router
Verificación de las ACLs.
 show ip interface:
 Muestra información de la interfaz IP e indica si se
ha establecido alguna ACL.
 show access-lists:
 Muestra el contenido de todas las ACL en el router.
 Para ver una lista específica, agregue el nombre o
número ACL como opción a este comando.
 show running-config
 Muestra las listas de acceso en el router y la
información de asignación de interfaz.
Ejercicios
Crear ACL estándar que
deniegue el tráfico desde el
host 192.5.5.25 a la red
210.93.105.0 pero permita
el tráfico desde todos los
demás hosts. Escríbala de
3 formas. Dónde se debe
aplicar?
Ejercicios

Router(config)# access-list 22 deny 192.5.5.25 0.0.0.0


Router(config)# access-list 22 permit any

Router(config)# access-list 22 deny host 192.5.5.25


Router(config)# access-list 22 permit any
Ejercicios

Crear una lista de acceso que impida que el host 192.5.5.148 acceda a
un sitio web ubicado en 210.93.105.50. Dónde se debe ubicar esta ACL?
Ejercicios

access-list 100 deny tcp 192.5.5.148 0.0.0.0 210.93.105.50 0.0.0.0 eq 80


access-list 100 permit tcp any any
Ejercicios

Qué hace la anterior ACL?


Escriba los comandos que aplican la ACL del diagrama
Ejercicios

Router2(config)# interface ethernet 0


Router2(config-if)# ip access-group 10 out
Ejercicios

Qué hace la siguiente lista de acceso?.

access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21


access-list 111 permit tcp any any

¿Escriba los comandos que colocan esta ACL en la ubicación correcta?


Ejercicios

Router2(config)# interface fa0/0


Router2(config-if)# ip access-group 111 in
Ejercicios
Se introdujeron los siguientes comandos en un router:

Router(config)# access-list 2 deny 172.16.5.24


Router(config)# access-list 2 permit any

¿Qué se puede concluir acerca de este conjunto de comandos?

•Las sentencias de la lista de acceso están mal configuradas

•Se denegará acceso a todos los nodos en 172.16.0.0 cuando se


apliquen estas sentencias.

•Se asume la máscara wildcard por defecto, 0.0.0.0.

•Se asume la máscara wildcard por defecto, 255.255.255.255


Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, ¿qué efecto


tiene la ACL en el tráfico de red?

•Se deniega el acceso ftp del host 192.168.15.4 a cualquier destino, pero se
permite todo el acceso restante

•Todo el tráfico ftp al host 192.168.15.4 se denegará

•Todo el tráfico desde esa interfaz se denegará

•No se denegará ningún tráfico porque no existe una sentencia de "permit"


en esta ACL
Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, ¿qué efecto


tiene la ACL en el tráfico de red?

•Todo el tráfico a la red 172.16.0.0 se denegará


•Se permitirá todo el tráfico TCP hacia y desde la red 172.16.0.0
•Se denegará todo el tráfico telnet desde la red 172.16.0.0 a cualquier
destino
•Todo el tráfico de puerto 23 a la red 172.16.0.0 se denegará
•Todo el tráfico desde la red 172.16.0.0 se denegará a cualquier otra red
ACL Nombradas
 Introducidas en el Cisco IOS Versión 11.2
 Permiten que ACL extendidas y estándar tengan
nombres en lugar de números.
 Ventajas de ACLs nombradas:
 Identifica ACL usando un nombre alfanumérico.
 No limita número de ACL nombradas configuradas.
 Tienen la capacidad de modificar las ACL sin tener que
eliminarlas y luego reconfigurarlas.
 Permiten eliminar sentencias pero sólo permiten que las
sentencias se agreguen al final de la lista.
ACL Nombradas
 Tener en cuenta:

 ACL nombradas no son compatibles con versiones


de Cisco IOS anteriores a la versión 11.2.
 No se puede utilizar el mismo nombre para varias
ACL.
 Se crean con el comando ip access-list.
Acceso a Terminales Virtuales
 ACLs extendidas y estándar se aplican a paquetes que
viajan a través de un router.
 No diseñadas para bloquear paquetes que se originan
dentro del router.
 Una lista de acceso extendida Telnet saliente, por
defecto no impide las sesiones Telnet iniciadas por el
router.
Acceso a Terminales Virtuales