Curso de Actualizacin

Listas de Control de
Acceso
Ricardo Gonzalez

Listas de Control de Acceso
Curso de Actualizacin
Listas de Control de Acceso

Los diseadores de red utilizan firewalls para proteger las redes contra el uso no
autorizado. Los firewalls son soluciones de hardware o software que hacen
cumplir las polticas de seguridad de la red.

En un router Cisco, puede configurar un simple firewall que proporcione
capacidades bsicas de filtrado de trfico mediante las ACL.

Una ACL es una lista secuencial de sentencias de permiso o denegacin que se
aplican a direcciones o protocolos de capa superior.

Las ACL brindan una manera poderosa de controlar el trfico de entrada o de
salida de la red. Puede configurar las ACL para todos los protocolos de red
enrutados.





Listas de Control de Acceso
Curso de Actualizacin
Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control
puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sin
embargo, las ACL tambin pueden configurarse para controlar el trfico de red segn
el puerto TCP que se utiliza.


Para comprender cmo funciona una ACL con TCP, observemos el dilogo durante
una conversacin TCP cuando descarga una pgina Web a su equipo.
Listas de Control de Acceso
Curso de Actualizacin
Listas de Control de Acceso
Curso de Actualizacin
Listas de Control de Acceso
Curso de Actualizacin
Listas de Control de Acceso
Curso de Actualizacin
Listas de Control de Acceso
Curso de Actualizacin
x
Listas de Control de Acceso
El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla el
acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su
ingreso segn un criterio establecido.

Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para
determinar la autorizacin o denegacin del trfico segn las direcciones IP de origen
y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas
reglas se definen mediante las listas de control de acceso o ACL.










Listas de Control de Acceso

Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican
a direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente
informacin del encabezado del paquete, probarla respecto de las reglas y decidir si
"permitir" o "denegar" el ingreso segn los siguientes criterios:

Direccin IP de origen

Direccin IP de destino

Tipo de mensaje ICMP


La ACL tambin puede extraer informacin de las capas superiores y probarla respecto
de las reglas. La informacin de las capas superiores incluye:

Puerto TCP/UDP de origen

Puerto TCP/UDP de destino



Listas de Control de Acceso
Curso de Actualizacin
Hay dos tipos de ACL Cisco: estndar y extendidas.

ACL estndar

Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de
origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo
permite todo el trfico desde la red 192.168.30.0/24.

Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico
se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin
global.







Listas de Control de Acceso
Curso de Actualizacin
ACL extendidas

Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo:
tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o
UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de
protocolo para una mejor disparidad de control.

En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin en la
red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL
extendidas se crean en el modo de configuracin global.







Listas de Control de Acceso
Curso de Actualizacin
Lgica de las ACL estndar

En la figura, se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255



Si los paquetes tienen permiso, se enrutan a travs del router hacia una interfaz de salida.

Si se les niega el permiso, se los descarta en la interfaz de entrada.


Listas de Control de Acceso
Listas de Control de Acceso
Mscaras wildcard

Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard.
Una mscara wildcard es una secuencia de dgitos binarios que le indican al router qu
partes del nmero de subred observar. La mscara determina qu parte de la direccin
IP de origen y destino aplicar a la concordancia de direcciones. Los nmeros 1 y 0 de la
mscara identifican cmo considerar los bits de direcciones IP correspondientes.








Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin

Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin



Listas de Control de Acceso
Curso de Actualizacin
Listas de Control de Acceso
Curso de Actualizacin
Procedimientos de configuracin de las ACL estndar

Luego de configurar una ACL estndar, se la vincula a una interfaz con el comando
ip access-group:

Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de
acceso} {in | out}








Listas de Control de Acceso








Listas de Control de Acceso








Listas de Control de Acceso
Prueba de puertos y servicios

La posibilidad de filtrar protocolos y nmeros de puerto le permite crear ACL
extendidas muy especficas. Mediante el nmero de puerto adecuado, puede
especificar una aplicacin al configurar el nmero de puerto o el nombre de un puerto
bien conocido.













Listas de Control de Acceso













Listas de Control de Acceso









Listas de Control de Acceso