Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Introduccin
Una ACL (lista de control de acceso -Access Control Lists) es una lista secuencial de
sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa
superior. Las ACL brindan una manera poderosa de controlar el trfico de entrada o de salida
de la red. Puede configurar las ACL para todos los protocolos de red enrutados.
Las ACLs son la especificacin de una accin a realizar sobre paquetes que cumplan ciertas
condiciones. Una ACL es un conjunto de reglas identificadas con un nmero o un nombre y
cada regla especifica una accin y una condicin, las acciones a aplicar son permitir o denegar
todos los paquetes que cumplan la condicin asociada a la regla. Una ACL se identifica con un
nmero o un nombre y todas las reglas que tengan el mismo nmero/nombre hacen parte de la
ACL, stos identificadores suelen indicar tambin qu tanta expresividad tendr la ACL, es
decir, qu tan especficas pueden ser las reglas.
El motivo ms importante para configurar las ACL es brindar seguridad a la red.
Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control puede ser
tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL
tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se utiliza.
Cuando solicita datos de un servidor Web, IP se encarga de la comunicacin entre la PC y el
servidor. TCP se encarga de la comunicacin entre su navegador Web (aplicacin) y el
software de servidor de red. Cuando enva un correo electrnico, visita una pgina Web o
descarga un archivo, TCP es el responsable de desglosar los datos en paquetes para IP, antes
de enviarlos, y de integrar los datos de los paquetes al recibirlos. El proceso de TCP es muy
similar a una conversacin, donde dos nodos de una red aceptan transferir datos entre s.
Recuerde que TCP ofrece un servicio orientado a la conexin, confiable y de stream de bytes.
El trmino "orientado a la conexin" significa que las dos aplicaciones que utilizan TCP deben
establecer una conexin TCP entre s antes de intercambiar datos. TCP es un protocolo fullduplex, que significa que cada conexin TCP admite un par de streams de bytes, y cada
stream fluye en una direccin. TCP incluye un mecanismo de control de flujo para cada stream
de bytes que permite al receptor limitar la cantidad de datos que el transmisor puede enviar.
TCP tambin implementa un mecanismo de control de congestin.
El segmento de datos TCP identifica, adems, el puerto que coincide con el servicio solicitado.
Por ejemplo, HTTP es puerto 80, SMTP es puerto 25 y FTP es puerto 20 y puerto 21
El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla el acceso a
la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso segn un
criterio establecido.

La ACL es una configuracin de router que controla si un router permite o deniega paquetes
segn el criterio encontrado en el encabezado del paquete. Las ACL tambin se utilizan para
seleccionar los tipos de trfico por analizar, reenviar o procesar de otras maneras.
Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL se revisa
lnea a lnea, y cuando una lnea coincida con el paquete entrante se le aplica esa regla. La
ACL hace cumplir una o ms polticas de seguridad corporativas al aplicar una regla de
permiso o denegacin para determinar el destino del paquete. Es posible configurar las ACL
para controlar el acceso a una red o subred.

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra
el trfico. El trfico que ingresa al router es enrutado segn la tabla de enrutamiento. Si no
utiliza una ACL en el router, todos los paquetes que pueden enrutarse a travs del router lo
atraviesan hacia el prximo segmento de la red.
Puede recordar una regla general para aplicar las ACL en un router mediante las tres P. Puede
configurar una ACL por protocolo, por direccin y por interfaz.

Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definir
una ACL para cada protocolo habilitado en la interfaz.
Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de una
interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y
saliente.
Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, Fast
Ethernet 0/0.

Funcionamiento de las ACL

Las listas de acceso definen el conjunto de reglas que proporcionan control adicional para los
paquetes que ingresan a las interfaces de entrada, paquetes que pasan a travs del router y
paquetes que salen de las interfaces de salida del router. Las ACL no actan sobre paquetes
que se originan en el mismo router.
Las ACL se configuran para ser aplicadas al trfico entrante o saliente.

ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la

interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas
de enrutamiento si el paquete se descarta. Si el paquete est autorizado por las
pruebas, luego se procesa para el enrutamiento.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son
procesados a travs de la ACL de salida.

Las sentencias de la ACL operan en orden secuencial. Comparan los paquetes con la ACL, de
arriba hacia abajo, una sentencia a la vez.

La figura muestra la lgica para una ACL de entrada. Si coinciden un encabezado de paquete y
una sentencia de ACL, se omite el resto de las sentencias de la lista y el paquete tiene
permitido pasar o no, segn la sentencia coincidente. Si el encabezado del paquete no coincide
con una sentencia de ACL, el paquete se prueba segn la siguiente sentencia de la lista. Este
proceso de coincidencia contina hasta el final de la lista.

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

La ltima sentencia generalmente se denomina "implicit deny any statement" (denegar

implcitamente una sentencia) o "deny all traffic" (denegar todo el trfico). Debido a esta
sentencia, una ACL debe contar con, al menos, una sentencia de permiso; de lo contrario, la
ACL bloquea todo el trfico.
Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL por
protocolo, por direccin y por interfaz.

La figura muestra la lgica para una ACL de salida. Antes de reenviar un paquete a una interfaz
de salida, el router verifica la tabla de enrutamiento para ver si el paquete es enrutable. Si no lo
es, se descarta. A continuacin, el router verifica si la interfaz de salida se agrupa a una ACL.
Si la interfaz de salida no se agrupa a una ACL, el paquete puede enviarse al bfer de salida.
Algunos ejemplos del funcionamiento de las ACL de salida son los siguientes.
Si la interfaz de salida no se agrupa a una ACL de salida, el paquete se enva directamente a la
interfaz de salida.
Si la interfaz de salida se agrupa a una ACL de salida, el paquete no se enva a una interfaz de
salida hasta probarlo segn la combinacin de sentencias de ACL asociadas a la interfaz. De
acuerdo con el resultado de las pruebas realizadas por la ACL, el paquete se puede permitir o
denegar.
Para las listas de salida, "permitir" significa enviar el paquete al bfer de salida y "denegar"
significa descartarlo.

Cuando un paquete llega a la interfaz del router, el proceso del router es el mismo se utilicen o
no las ACL:
1. el router verifica si la direccin de destino de Capa 2 concuerda con la propia o si es
una trama de broadcast.
2. Si se acepta la direccin de la trama, la informacin de la trama se elimina y el router
busca una ACL en la interfaz de entrada.
Si existe una ACL, entonces se verifica si el paquete cumple o no las
condiciones de la lista. Si el paquete coincide con la sentencia, se acepta o se
rechaza.
Si no existe ACL pasa al siguiente punto
3. Si se acepta el paquete en la interfaz, se lo compara con las entradas de la tabla de
enrutamiento para determinar la interfaz destino y conmutarlo a aquella interfaz.
4. A continuacin, el router verifica si la interfaz de destino tiene una ACL.
Si existe una ACL, entonces se verifica si el paquete cumple o no las
condiciones de la lista. Si el paquete coincide con la sentencia, se acepta o se
rechaza.

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Si no hay ACL se pasa al siguiente paso

5. el paquete se encapsula en el nuevo protocolo de Capa 2 y se enva por la interfaz
hacia el dispositivo siguiente.

Un ejemplo de cmo es conceptualmente una ACL es as

Lista-de-acceso X ACCION1 CONDICION1
Lista-de-acceso X ACCION2 CONDICION2
Lista-de-acceso X ACCION3 CONDICION3
La X es el nombre o nmero que identifica la ACL, por lo tanto todas las reglas anteriores
componen la ACL X, una sola ACL. Si cierto paquete cumple la condicin1 se le aplica la
Accin1, si un paquete cumple la condicin 2 se le aplica la accin 2 y as sucesivamente. Las
acciones son slo permitir o denegar, si una regla abarca un conjunto de direcciones y otra un
subconjunto del primero, la regla de subconjunto debe estar antes de la regla del conjunto
completo. En otras palabras, las reglas ms especficas deben estar al principio de la ACL para
evitar que las reglas generales se apliquen siempre y nunca se examinen las especficas.
Finalmente todas las ACLs terminan, implcitamente, con una regla No permitir nada ms.
ACL estndar
Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen.
No importan el destino del paquete ni los puertos involucrados. Por ejemplo
Access-list 10 permit 192.168.30.0 0.0.0.255
permite todo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any"
(denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean
en el modo de configuracin global.

Las ACL estndar entonces especifican un slo par direccin de referencia/wildcard contra el
que se comparan todos los paquetes que entren o salgan de la interfaz en la que se instale la
ACL, en otras palabras, una ACL estndar filtra trfico con base en la direccin IP origen de los
paquetes.
Tener en cuenta siempre que las listas de acceso terminan en denegacin por defecto, por lo
tanto, si una ACL slo tiene reglas de denegacin lo nico que logra es denegar TODO el
trfico. Una ACL debe tener siempre por lo menos una regla de permitir
Como cada regla se verifica en secuencia comenzando por la primera, si una regla es ms
general debera ir despus de las ms especficas
ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de
protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen,

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor
disparidad de control. Por ejemplo
Access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
la ACL 103 permite el trfico que se origina desde cualquier direccin en la red 192.168.30.0/24
hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo
de configuracin global.
ACL complejas
Dentro de las ACLs complejas tenemos 3 tipos: dinmicas, reflexivas y basadas en tiempo pero
en el currculo oficial no se ven muy a fondo ni se dan mayores ejemplos. A continuacin les
describo cada una de ellas y al final de la entrada describo las acl nombradas son un tipo de
acl que facilita la configuracin y administracin de ACLs.
ACLs dinmicas
stas usan un mecanismo bsico de autenticacin, generalmente Telnet, para activar la ACL,
lo que permite usar una ACL como mecanismo de autenticacin o vincular una ACL con la
autenticacin de los usuarios con medios reconocidos. La idea consiste en crear una regla en
la ACL que slo se activar si es disparada por algn evento, en ste caso un acceso por telnet
al enrutador. La regla en cuestin agrega antes de la accin (permit/deny) las palabras
reservadas dynamic testlist timeout <n>, donde n es la cantidad de minutos que la regla ser
activa una vez que es disparada, luego de estos parmetros va la regla ordinaria que se har
activa, por ejemplo permit ip host 10.1.1.1 any. Como esta ltima regla est asociada con un
acceso por telnet como disparador, en las lneas de vty se debe poner un comando especial
autocommand access-enable host timeout 5, que establece el acceso permitido al telnet como
disparador de la acl dinmica.
* access-list 101 permit ip any host 10.1.1.1 eq telnet
* access-list 101 dynamic testlist timeout 10 permit ip 172.16.0.0 0.0.255.255 172.17.0.0
0.0.255.255
* interface fa 0/0
* ip access-group 101 in
* username usuario password clave
* line vty 0 4
* login local
* autocommand access-enable host timeout 5
El anterior listado de comandos instala una lista de acceso dinmica de entrada en la interfaz fa
0/0 que slo despus que un usuario cesar abre exitosamente una sesin por telnet con la
clave cecab123 con el enrutador se activa, permitiendo acceso de la red 172.16.0.0/16 a la
172.17.0.0/16. Valga la aclaracin que el comando autocommand cierra automticamente la
sesin de telnet pero dispara la acl, es decir, la sesin de telnet es slo un disparador de la acl
y no tiene que quedar activa para que la acl est en funcionamiento.
ACLs reflexivas
Las reflexivas son un tipo de firewall primitivo que permite el trfico slo si es iniciado en una
direccin, pero sin usar las banderas de conexin de TCP. Ya en las ACLs extendidas
habamos visto que en vez de ip se pueden poner otros protocolos y al final poner criterios
adicionales particulares al protocolo en cuestin. Especficamente, tcp permite agregar al final
del identificador de origen o destino un identificador de puerto en incluso banderas de conexin
como established, que indica que la conexin ya se abri. ste caso particular de tcp es muy
til cuando se tienen dos redes de las cuales una es confiable y la otra no, entonces es
preferible permitir slo conexiones cuya solicitud provenga de la red confiable, es decir, que se
abran desde la red interna y no se puedan abrir conexiones desde la externa. Con el truco de la
bandera established (ack activo) se puede permitir de entrada slo los paquetes con sta
condicin, de tal manera que si llegan paquetes solicitando una conexin desde fuera (todava
no tienen el bit ack activo) se rechazan, mientras que si las conexiones se abren desde
adentro, todos los paquetes entrantes debern tener el ack activo y por lo tanto se van a
permitir. Pero qu pasa con UDP y otros protocolo no orientados a la conexin? Pues ah
entran en juego las acl reflexivas. La idea es hacer lo mismo que el truco de established, pero
basndose slo en los parmetros bsicos de capa 3 y 4.
Las acls reflexivas son un poco complejas en su configuracin, ya que se aplican varios
comandos para establecer las entradas temporales, adicionalmente las ACLs reflexivas son un
caso particular de ACL nombrada extendida, por lo tanto no se pueden configurar en acl

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

numeradas ni en acls nombradas estndar. Primero, en una de las direcciones del trfico se
debe marcar la regla cuyo trfico de vuelta se va a permitir con la palabra clave reflect
<nombre>, donde nombre es un identificador arbitrario que le ponemos a esta instancia, luego
en la direccin de vuelta del trfico (la acl que se va a instalar en la direccin contraria) se
agrega la sentencia evaluate <nombre> donde nombre es el identificador arbitrario que
pusimos en la otra direccin. En otras palabras, se le pone un identificador al trfico que inicia
la acl reflexiva, luego en la otra direccin se le ordena que evale si el trfico corresponde con
la regla marcada para permitirlo si coincide. Finalmente se instalan las listas, una de entrada y
otra de salida en la misma interfaz (el trfico entra y sale por la misma interfaz).
* ip access-list extended OUTB
* permit udp 172.16.0.0 0.0.255.255 any reflect UDPTRAFFIC
* permit icmp 172.16.0.0.0.0.255.255 any reflect ICMPTRAFF
* ip access-list extended INB
* evaluate UDPTRAFFIC
* evaluate ICMPTRAFF
* interface ser 0/0
* ip access-group OUTB out
* ip access-group INB in
El listado anterior instala una lista de acceso reflexiva que permite el trfico de UDP e ICMP
slo si se origin en la red 172.16.0.0/16.

ACLs basadas en fechas/horarios

Finalmente, las ms simples de comprender son las basadas en fechas/horarios. La idea de
estas acls son que se activan en las fechas y horarios que se hayan establecido previamente,
la precondicin evidente es que el enrutador debe tener configuradas su hora y fecha
correctamente, para esto se puede configurar manualmente, confiando que el equipo no se
vaya a reiniciar por ningn motivo y que el administrador va a mantener actualizado el reloj en
caso contrario. Otra alternativa (ms confiable) es configurar un servidor ntp para que el
enrutador mantenga su tiempo actualizado.
La configuracin de las acls basadas en tiempo consiste en crear un rango de tiempo (timerange) el cual es despus usado en las reglas de la ACL.
* time-range NOCHES
* periodic Monday Tuesday Wednesday Thursday Friday 17:00 to 00:00
* access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www time-range NOCHES
* int fa 0/0
* ip access-group 101 out
El anterior listado crea una lista de acceso que se permite el acceso a Internet para la red
172.16.0.0 slo despus de las 17hrs en das de trabajo (Lunes a Viernes).

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

ACL numeradas y ACL denominadas

Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes ms
pequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no le
informa el propsito de la ACL. Por ello puede utilizar un nombre para identificar una ACL,
estas son las ACL denominadas

Ubicacin de las ACL

La ubicacin adecuada de las ACL para filtrar el trfico no deseado proporciona un
funcionamiento ms eficiente de la red. Las ACL pueden actuar como firewalls para filtrar
paquetes y eliminar el trfico no deseado. El lugar donde ubique las ACL puede reducir el
trfico innecesario. Por ejemplo, el trfico que se deniega en un destino remoto no debe usar
los recursos de la red en el camino hacia ese destino.
Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son:
Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta
manera, el trfico no deseado se filtra sin atravesar la infraestructura de red.
Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca
del destino posible.
Finalmente, dado que entendemos la lgica fundamental de las ACLs, debemos mirar un ltimo
aspecto conceptual: cmo se aplican?. La idea es que el trfico de red circula en dos sentidos
y en ambos sentidos los patrones de direccin IP origen y destino se intercambian, por lo tanto
y como las ACLs se aplican a una interfaz en particular, es necesario tener en cuenta en qu
sentido se aplica, porque en un sentido las reglas aplican y en otro sentido no aplicarn porque
las direcciones origen no sern las mimas. Es decir, si dos PCs estn transfiriendo un archivo,
hay dos flujos de datos, uno del PC1 al PC2 en el que la direccin IP origen de todos los
paquetes en ese sentido tienen la direccin Ip del PC1 pero el trfico de retorno tendr como
direccin IP origen la del PC2. Lo anterior nos indica que si diseamos una ACL que en una de
sus reglas aplica una accin a la direccin del PC1, hay que aplicarla en una interfaz en el
sentido en el que ese flujo de datos provenga del PC1. El sentido del flujo se entiende como de
entrada o salida del enrutador por la interfaz, es decir, si el trfico sale del enrutador por la
interfaz especfica o el trfico entra al enrutador por esa interfaz.
Supongamos que el PC1 tiene la direccin 172.17.20.20/24, el PC2 tiene la direccin
192.168.200.200/24 y nuestro enrutador es el Gateway del PC1 por la interfaz Fastethernet 0/0.
Si el flujo de datos hacia el PC2, sale por una interfaz serial digamos la serial 0/0, en qu
interfaz y en qu sentido los paquetes de este flujo tienen como direccin IP origen la direccin
IP del PC1? Si la ACL va a ser aplicada en la Fa 0/0, el flujo de datos de PC1 a PC2 entrando a
Fa 0/0 tiene como direccin origen PC1, en la direccin de salida el origen es PC2 y la regla no
aplicara. En la interfaz serial, el flujo de datos entrante tendra como origen PC2 y de salida
tendra como origen PC1. Dado lo anterior, si yo diseo una ACL con una regla que diga
permitir 172.17.20.20 0.0.0.0, sta regla slo encontrara paquetes coincidentes en la interfaz
fa 0/0 si la aplico de entrada y en la interfaz serial 0/0 si la aplico de salida.

Ejemplos de ACLS
Supongamos la ACL formada por las siguientes 4 reglas:
access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

Comandos IOS Cisco

Configuracin de las ACL estndar
Los pasos generales para configurar ACLs son 3:
1. Crear la ACL en modo de configuracin global
2. Aplicar la ACL en una interfaz indicando la direccin del trfico al que se le va a aplicar
3. Verificar su funcionamiento
La creacin de la ACL consiste en crear una secuencia de reglas con un mismo identificador,
cuyo orden filtre el trfico segn los objetivos. Cada regla tiene la forma access-list <n> [ permit
| deny ] <referencia1> <wildcard1>, donde n es el nmero que identifica la ACL (0 a 99 1300
a 1999 para ACLs estndar) y referenciaN/wildcardN son los pares con los que se compararn
los paquetes para aplicarles la accin . Entonces una ACL tiene la forma:
* access-list <n> permit <referencia1> <wildcard1>
* access-list <n> deny <referencia2> <wildcard2>
Como todas las reglas coinciden en el nmero (n), la ACL est compuesta por todas las reglas
listadas. Para simplificar, puse permit y deny pero en las reglas se puede elegir cualquiera de
las dos segn los objetivos perseguidos. Todas las ACLs terminan implcitamente en una regla
deny any, es decir, al final de la lista, cualquier paquete que no haya correspondido con
ninguna regla se va a descartar por defecto.
Para aplicar una ACL, sta ya debe estar creada. Las listas de acceso se aplican en una
interfaz, por lo tanto hay que ingresar en modo de interfaz y el comando tiene la forma ip
access-group <n> [in | out] donde n es el nmero comn a todas las reglas de la ACL y las
palabras in/out indican en qu sentido se aplicarn las reglas y esto tiene importantes
implicaciones: el trfico en una direccin tiene ciertas direcciones IP origen pero en la otra
direccin stas mismas direcciones sern IP destino.
* interface serial 0/0
* ip access-group <n> [in|out]
Finalmente verificar la ACL se hace con varios comandos, uno es show access-list, que
muestra todas las listas de acceso activas y cuntos paquetes han correspondido (match) con
cada regla. El comando que muestra si una interfaz tiene una ACL aplicada y en qu direccin

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

es show ip interface, este comando muestra mucha informacin, por la mitad de toda esa
informacin dice inbound ACL Outbound ACL.
* show access-list
* show ip interface serial 0/0
Configurar ACL extendida
A diferencia de lo que sucede con la ACL estndar, las extendidas permiten especificar hacia
dnde se dirige el trfico y con sta caracterstica, yo puedo bloquear o permitir un trfico
mucho ms especfico: slo trfico que proviene del host pero se dirige a una red en particular
o a otro host en particular o slo el trfico de una red que se dirige a otra red en particular. El
truco se logra con el hecho de permitir comparar las direcciones destino de los paquetes contra
la acl, no slo las direcciones origen. Dentro de lo que hemos venido manejando, hablamos
que una acl est compuesta por un conjunto de reglas todas con el mismo identificador, que
cada regla era una lnea compuesta por una accin y una condicin que el paquete debe
cumplir para aplicarle la accin (permitir o denegar). Las condiciones en las acl estndar estn
compuestas por una direccin de referencia y una wildcard que dice qu bits de la direccin
origen de los paquetes se deben comparar con la direccin de referencia, en las acls
extendidas se especifica dos pares de direcciones de referencia/wildcard, un par para la
direccin origen de los paquetes y otro par para la direccin destino de los mismos. Vamos a
extender el ejemplo que venimos usando y usar sta idea de filtrado ms granular.
El requisito dado es permitir un host de una red, el resto de la red la vamos a bloquear y
cualquier otra red la vamos a permitir. Para extender el ejemplo digamos que queremos
permitir el trfico del host, excepto lo que vaya a un host particular, digamos el 172.16.1.1, y
que de la red completa queremos permitir lo que vaya a un servidor en especial de la empresa,
digamos el 192.168.2.1. Las reglas de la acl estndar nos sirven de inicio, como de costumbre
lo ms especfico lo vamos a poner de primero en la regla para evitar que las reglas ms
generales incluyan a las particulares.
* access-list 100 deny ip 192.168.1.1 0.0.0.0 172.16.1.1 0.0.0.0
* access-list 100 permit ip 192.168.1.1 0.0.0.0 0.0.0.0 255.255.255.255
* access-list 100 permit ip 192.168.1.0 0.0.0.63 192.168.2.1 0.0.0.0
* access-list 100 deny ip 192.168.1.0 0.0.0.63 0.0.0.0 255.255.255.255
* access-list 100 permit ip any any
En sta lista observamos varias cosas nuevas: ip, las acl extendidas no slo permiten
especificar las direcciones origen y destino sino discriminar por protocolos e incluso por
parmetros particulares de cada protocolo pero eso lo veremos luego, por lo pronto lo
importante es que ip indica que todos los protocolos que se encapsulan dentro de ip sern
afectados por sta lista de acceso. En este caso, la palabra ip para los protocolos es similar a
any en las direcciones, casi todo se encapsula en ip por lo tanto especificar ip es como
especificar cualquier protocolo (de capa 4 en adelante). En vez de ip se puede poner un
protocolo equivalente o de capa 4, por ejemplo se puede filtrar icmp, tcp o udp, cambiando la
palabra ip por stas ltimas.
El parmetro established permite respuestas al trfico que se origina desde una red, si se
produce una coincidencia si el datagrama TCP tiene ajustados los bits ACK o reset (RST) que
indican que el paquete pertenece a una conexin existente. Sin el parmetro established en la
sentencia de ACL, los clientes pueden enviar trfico a un servidor Web, pero no lo reciben de
ese servidor.
Otra cosa importante y nueva es un segundo par de direccin de referencia/mscara wildcard,
ste segundo par compara la direccin destino de los paquetes con la direccin de la regla.
Para las acls extendidas, el paquete debe coincidir tanto en la direccin origen como en la
destino.
Finalmente, la direccin de referencia 0.0.0.0 con mscara wildcard 255.255.255.255. Como
esta mscara es todo unos, eso significa que ningn bit del paquete se compara con la
direccin de referencia, es decir, no importa qu escriba en la direccin de referencia cualquier
destino coincide. Esta mscara es lo mismo que any, debido a que la mscara es equivalente a
cualquier direccin y puede usarse tanto para el origen como para el destino.
Explicacin de la ACL

Planificacin y Administracin de Redes

Listas de control de acceso (ACL)

La primera regla aplica deny slo si el paquete tiene como origen la direccin 192.168.1.1 y
direccin destino 172.16.1.1, por lo tanto slo el trfico especfico de entre esos host se
deniega, la segunda regla permite el resto del trfico del host hacia cualquier destino. La
tercera regla permite el trfico de la red 192.168.1.0/26 hacia el host 192.168.2.1. La 4a regla
complementa a la anterior y niega todo el trfico de la red, como sta regla general esta
despus de la especfica, el trfico comparado con sta regla ya no coincidi con el trfico
dirigido al servidor, que es una condicin ms especfica dentro de la misma red. Finalmente
cualquier trfico que no coincida con las reglas anteriores se permite sin importar de dnde
provenga y hacia dnde vaya.
Finalmente y para no dejar incompleto el ejemplo, hay que instalarla en una interfaz por la que
pase el trfico que se quiere interceptar y recordar que el sentido en el que se instala la acl,
indica cules sern las direcciones origen y destino (que se invierten si se invierte el sentido del
trfico).
* interface serial 0/0
* ip access-group 100 in
Las listas de acceso extendidas no difieren de las estndar ms que en las caractersticas
mencionadas, por lo tanto los comandos usados para verificar las estndar siguen siendo
vlidos.
* show ip interface serial 0/0
* show ip access-list
Las acls extendidas son mucho ms eficientes en el filtrado que las acls estndar, pero como
ya he mencionado en otras entradas, las acls son mecanismos de clasificacin de trfico y
direcciones y hay algunas aplicaciones que se corresponden mejor con las acl estndar que
con las extendidas, por lo tanto se siguen usando tanto como las extendidas.
Eliminar ACL
La forma no de este comando elimina la ACL estndar. Para eliminar la ACL, se utiliza el
comando de configuracin global no access-list. La ejecucin del comando show access-list
confirma que la lista de acceso ha sido eliminada.
La palabra clave remark se utiliza para la documentacin y facilita considerablemente la
comprensin de las listas de acceso.
ACL nombrada
Las ACL nombradas tienen una gran ventaja sobre las ACL numeradas porque son ms fciles
de editar. A partir del software IOS de Cisco versin 12.3, las ACL IP nombradas le permiten
borrar entradas individuales en una ACL especfica. Puede usar secuencias de nmeros para
insertar sentencias en cualquier parte de la ACL nombrada. Si utiliza una versin anterior del
software IOS de Cisco, puede agregar sentencias slo al final de la ACL nombrada. Como
puede borrar entradas individuales, puede modificar su ACL sin necesidad de borrar y luego
reconfigurar toda la ACL.
Comentarios en las ACL
Puede usar la palabra clave remark para incluir comentarios (observaciones) sobre entradas en
cualquier ACL IP estndar o extendida. Las observaciones facilitan la comprensin y el anlisis
de la ACL. Cada lnea de observacin est limitada a 100 caracteres.
Editar ACL
Las ACL nombradas tienen una gran ventaja sobre las ACL numeradas porque son ms fciles
de editar. A partir del software IOS de Cisco versin 12.3, las ACL IP nombradas le permiten
borrar entradas individuales en una ACL especfica. Puede usar secuencias de nmeros para
insertar sentencias en cualquier parte de la ACL nombrada. Si utiliza una versin anterior del
software IOS de Cisco, puede agregar sentencias slo al final de la ACL nombrada. Como
puede borrar entradas individuales, puede modificar su ACL sin necesidad de borrar y luego
reconfigurar toda la ACL. Para insertar una lnea basta precederla del numero de orden.