Listas de control de acceso o

ACL.

Listas de control de acceso o ACL.

Una ACL es una lista secuencial de sentencias de permiso o

denegacin que se aplican a direcciones IP o protocolos de capa
superior.

La ACL puede extraer la siguiente informacin del encabezado del

paquete, probarla respecto de las reglas y decidir si "permitir" o
"denegar" el ingreso segn los siguientes criterios:
Direccin IP de origen
Direccin IP de destino
Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores

y probarla respecto de las reglas. La informacin de las capas
superiores incluye:
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino

ACL

ACL

La ACL se revisa de arriba a abajo, una

lnea a la vez, y se busca un patrn que
coincida con el paquete entrante.

Las tres P

Puede configurar una ACL por protocolo,

por direccin y por interfaz.
Una ACL por protocolo: para controlar el flujo de
trfico de una interfaz, se debe definir una ACL
para cada protocolo habilitado en la interfaz.
Una ACL por direccin: las ACL controlan el
trfico en una direccin a la vez de una interfaz.
Deben crearse dos ACL por separado para
controlar el trfico entrante y saliente.
Una ACL por interfaz: las ACL controlan el trfico
para una interfaz, por ejemplo, Fast Ethernet 0/0.

ACL, tareas

Las ACL realizan las siguientes tareas:

Limitar el trfico de red para mejorar el rendimiento de sta.

Brindar control de flujo de trfico.
Proporcionar un nivel bsico de seguridad para el acceso a la red.
Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces
del router.
Controlar las reas de la red a las que puede acceder un cliente.
Analizar los hosts para permitir o denegar su acceso a los servicios de
red.
Las ACL inspeccionan los paquetes de la red segn un criterio, como
direccin de origen, de destino, protocolos y nmeros de puerto.
Adems de permitir o denegar el trfico, una ACL puede clasificar el trfico
para darle prioridad en la lnea.

Cmo funcionan las ACL

Las listas de acceso definen el conjunto de reglas que
proporcionan control adicional para los paquetes que
ingresan a las interfaces de entrada, paquetes que pasan a
travs del router y paquetes que salen de las interfaces de
salida del router.

Las ACL no actan sobre paquetes que se originan en el
mismo router.

Las ACL se configuran para ser aplicadas al trfico entrante o

saliente.
ACL de entrada: los paquetes entrantes se procesan antes de ser
enrutados a la interfaz de salida.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de
salida y luego son procesados a travs de la ACL de salida.

ACL de entrada

ACL de salida

ACL Cisco: estndar y extendidas.

Hay dos tipos de ACL Cisco: estndar y extendidas.

ACL estndar
Las ACL estndar le permiten autorizar o denegar el
trfico desde las direcciones IP de origen. No importan el
destino del paquete ni los puertos involucrados.

ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de
varios atributos, por ejemplo: tipo de protocolo,
direcciones IP de origen, direcciones IP de destino, puertos
TCP o UDP de origen, puertos TCP o UDP de destino e
informacin opcional de tipo de protocolo para una mejor
disparidad de control.

Tipos de ACL

Numeracin de las ACL

Ubicacin adecuada de las ACL

ACL extendidas lo ms cerca posible del
origen del trfico denegado. De esta
manera, el trfico no deseado se filtra sin
atravesar la infraestructura de red.

ACL estndar no especifican las
direcciones de destino, colquelas lo ms
cerca del destino posible.

ACL Estandar = Destino

ACL Extendida = Origen

Mejores prcticas de las ACL

Configuracin de las ACL estndar

Para configurar las ACL estndar numeradas en un router Cisco,

primero debe crear la ACL estndar y, luego, activarla en una
interfaz.
El comando de configuracin global access-list define una ACL
estndar con un nmero entre 1 y 99. El software IOS de Cisco
Versin 12.0.1 extendi el rango y permite desde 1300 a 1999.
Estos nmeros adicionales son denominados ACL IP expandidos.
Para crear una ACL numerada nombrada 10 que permita la red
192.168.10.0 /24, debe ingresar:
R1(config)# access-list 10 permit 192.168.10.0

Para eliminar la ACL, se utiliza el comando de configuracin global

no access-list <nmero acl>.
show access-list

Configuracin de las ACL estndar

Mscaras wildcard

Una mscara wildcard es una secuencia de

dgitos binarios que le indican al router qu
partes del nmero de subred observar.
Las mscaras wildcard utilizan las siguientes
reglas para hacer coincidir sus unos y ceros
binarios.
Bit 0 de mscara wildcard: hacer coincidir el
valor de bits correspondiente de la direccin
Bit 1 de mscara wildcard: ignorar el valor de
bits correspondiente de la direccin

Mscaras wildcard

Palabras clave de la mscara de bits wildcard

La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica

que todos los bits de direcciones IP deben coincidir o que slo un
host coincide.
La opcin any reemplaza la direccin IP y la mscara
255.255.255.255. Esta mscara indica que debe ignorarse toda la
direccin IP o que deben aceptarse todas las direcciones.

Palabras clave de la mscara de bits wildcard

Procedimientos de configuracin de las ACL estndar

ACL para controlar el acceso VTY

Cisco recomienda utilizar SSH para conexiones administrativas a
routers y switches. Si la imagen del software IOS de Cisco en su router
no admite SSH, puede mejorar parcialmente la seguridad de las lneas
administrativas restringiendo el acceso VTY.

El comando access-class para filtrar sesiones de Telnet entrantes y
salientes mediante direcciones de origen y para aplicar filtros a las
lneas VTY, puede utilizar las sentencias de ACL estndar para controlar
el acceso VTY.

La sintaxis del comando access-class es:

access-classaccess-list-number {in [vrf-also] | out}

El parmetro in restringe las conexiones entrantes entre un dispositivo

Cisco particular y las direcciones de la lista de acceso, mientras que el
parmetro out restringe las conexiones salientes entre un dispositivo
Cisco particular y las direcciones de la lista de acceso.

ACL para controlar el acceso VTY

Cuando configure las listas de acceso en las VTY, tenga en

consideracin lo siguiente:
Slo se pueden aplicar listas de acceso numeradas a las VTY.
Deben establecerse las mismas restricciones en todas las VTY
porque un usuario puede intentar conectarse a cualquiera de
ellas.

Edicin de las ACL numeradas

Comentarios en las ACL

ACL estndar nombrada

Visualizar los contenidos de las ACL

Edicin de ACL nombradas

Las ACL nombradas son ms fciles de editar.
A partir del software IOS de Cisco versin 12.3,
las ACL IP nombradas permiten borrar entradas
individuales en una ACL especfica.

Puede usar secuencias de nmeros para insertar
sentencias en cualquier parte de la ACL
nombrada.

Si utiliza una versin anterior del software IOS,
puede agregar sentencias slo al final de la ACL
nombrada.

Como puede borrar entradas individuales, puede
modificar su ACL sin necesidad de borrar y luego
reconfigurar toda la ACL.

Edicin de ACL nombradas

ACL extendidas
ACL extendidas numeradas del 100 al 199
y del 2000 al 2699, ofrecen un total de
799 ACL extendidas posibles.

A las ACL extendidas tambin se les
puede asignar un nombre.

Las ACL extendidas se utilizan con ms
frecuencia que las ACL estndar porque
proporcionan un mayor control.

ACL extendidas

ACL extendidas

Configuracin de ACL extendidas

Sin el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un servidor Web,
pero no lo reciben de ese servidor.

Cmo aplicar una ACL a una interfaz

Tipos de ACL complejas

ACL dinmicas
Las ACL dinmicas comienza con la aplicacin de una
ACL extendida para bloquear trfico que atraviesa de
router.

Los usuarios que deseen atravesar el router son
bloqueados por la ACL extendida hasta que utilizan
Telnet para conectarse al router y ser autenticados.

En ese momento, se interrumpe la conexin a Telnet,
y se agrega una ACL dinmica de nica entrada a la
ACL extendida existente.

Esta entrada permite el trfico por un perodo
determinado; es posible que se produzcan errores
por inactividad y superacin del tiempo de espera.

ACL dinmicas

ACL dinmicas

ACL dinmicas

ACL reflexivas
Los administradores de red utilizan las ACL
reflexivas para permitir el trfico IP en sesiones
que se originan en su red y, al mismo tiempo,
denegar el trfico IP en sesiones que se originan
fuera de la red.

Estas ACL permiten que el router administre el
trfico de sesin en forma dinmica.

El router examina el trfico saliente y, cuando ve
una conexin, agrega una entrada a una ACL
temporal para permitir la devolucin de
respuestas.

Las ACL reflexivas contienen slo entradas
temporales.

ACL reflexivas
Las ACL reflexivas proporcionan una forma ms
exacta de filtrado de sesin que una ACL extendida
que utiliza el parmetro established presentado
anteriormente.

Si bien son similares en cuanto al concepto del
parmetro established, las ACL reflexivas tambin
funcionan para UDP e ICMP, que no tienen bits ACK
ni RST.

Las ACL reflexivas slo pueden definirse con ACL IP
extendidas nombradas. No pueden definirse con ACL
numeradas ni estndar nombradas ni con otras ACL
protocolo.

Las ACL reflexivas pueden utilizarse con otras ACL
estndar y extendidas estticas.

Beneficios de las ACL reflexivas

Ayudan a proteger la red de piratas informticos y
pueden incluirse en un firewall.

Proporcionan un nivel de seguridad contra ataques de
suplantacin de identidad y de denegacin de
servicios.

Las ACL reflexivas son mucho ms resistentes a los
ataques de suplantacin de identidad porque deben
coincidir ms criterios de filtro antes de dejar
ingresar un paquete. Por ejemplo, se verifican las
direcciones de origen y de destino y los nmeros de
puerto, no solamente los bits ACK y RST.

Son fciles de utilizar y, comparadas con las ACL
bsicas, proporcionan un mayor control de los
paquetes que ingresan a la red.

ACL reflexivas

ACL reflexivas

ACL reflexivas

ACL basadas en el tiempo

La ACL basada en el tiempo es similar en funcin a la

ACL extendida, pero admite control de acceso basado
en el tiempo.
Para implementar las ACL basadas en el tiempo, debe
crear un rango horario que defina la hora especfica del
da y la semana.
Debe identificar el rango de tiempo con un nombre y,
luego, remitirse a l mediante una funcin.
Las restricciones temporales son impuestas en la misma
funcin.

ACL basadas en el tiempo

ACL basadas en el tiempo

Paso 1. Defina el rango de tiempo para implementar la ACL y darle el nombre

EVERYOTHERDAY, en este caso.

Paso 2. Aplique el rango de tiempo a la ACL.

ACL basadas en el tiempo

Paso 3. Aplique la ACL a la interfaz.